Beiträge

Informationssicherheit

Mit Informationssicherheit befassen, sonst nutzen die digitalen Chancen wenig

Die Mittelstand 4.0-Agentur Kommunikation hat im Hause Bundesdruckerei eine Dialogveranstaltung in Form eines World Cafés veranstaltet, Thema: „Sicherheit im digitalen Wandel“. Die Dokumentation ist jetzt als Broschüre erschienen.

Täglich werden Menschen Opfer von Identitätsdiebstählen. Sie bekommen offiziell aussehende Nachrichten, die zur Preisgabe wichtiger Identitätsdaten auffordern. Das reicht von Online-Bezahlservices die Kundendaten samt Passwörtern wollen bis zu Online-Shops, die angeblich eine wichtige Änderung der Zugangsdaten durchführen. Werden diese Daten irrtümlich preisgegeben, kann ein teurer Schaden drohen.

Die Gewährleistung sicherer Identitäten ist für kleine und mittlere Unternehmen ein wesentlicher Faktor für erfolgreiche Geschäftsbeziehungen. Das Interesse und der Informationsbedarf rund um das Thema sind riesig. Am 11. Mai 2017 fand in der Bundesdruckerei die Dialogveranstaltung „Sichere Identitäten“ statt. Gemeinsam ausgerichtet von der Mittelstand 4.0-Agentur Kommunikation, dem Verein Sichere Identität Berlin-Brandenburg e.V. und den Unternehmenerverbänden Berlin-Brandenburg UVB, diskutierten Experten und rund 40 Gäste in einem World Café aktuelle Herausforderungen der Digitalisierung. Es gab fünf Thementische:

  • Digitalisierung von papierbasierten Prozessen mit E-Signatur, geleitet von Tatami Michalek, Geschäftsführer secrypt GmbH
  • Datenschutz 2.0 – Neues aus der EU ab Mai 2018 (EU-DSGVO), Dirk Clemens, Datenschutzbeauftragter der Bundesdruckerei
  • IT-Sicherheit – eine Hürde für die Umsetzung der Digitalisierung in Unternehmen?, Prof. Dr. Marian Margraf, Institut für Informatik, Fachbereich Mathematik und Informatik der FU Berlin
  • ID-Management – Identitäten ohne Passwort, Tatiana Gayvoronskaya, Team Security Tech, Hasso-Plattner Institut
  • Vertrauliche E-Mails – Neues zum Wirtschafts- und Knowhow-Schutz, Andreas Nold, Chief Commercial Officer Zertificon Solutions GmbH

Die Teilnehmer nutzen die Möglichkeit sich auszutauschen, sich zu vernetzen und Herausforderungen in einer wertschätzenden und offenen Atmosphäre zu diskutieren. Da alle Veranstaltungsteilnehmer schon mit dem Thema „Sichere Identitäten und IT-Sicherheit“ vertraut waren, konnte schnell und konstruktiv an Problemlösungsszenarien gearbeitet werden.

Broschüre „Dokumentation der Veranstaltung „Sichere Identitaeten“ herunterladen

Schadsoftware

Schadsoftware kommt nicht durch die Luft auf Ihren Rechner

Die Digitalisierung löst in Unternehmen auch Angst aus: Denn über fünf Einfalltore können Cyberkriminelle in ihre Systeme eindringen. Dabei gibt es einfache Regeln, mit denen man sich konsequent schützen kann. Die TU Darmstadt hat dazu ein kostenfreies Schulungsprogramm mit vier Modulen entwickelt.

Ein kleines hessisches Unternehmen kauft regelmäßig Produkte bei einem Handelspartner in Asien. Der Mitarbeiter, der die Geschäfte finanziell abwickelt, erhält eine Mail von dem gewohnten Absender in Asien. Darin steht, die Bankverbindung habe sich geändert. Der nächste Rechnungsbetrag – 150.000 Euro –  sei bitte auf das neue Konto zu überweisen. Der Mitarbeiter in Hessen tut dies.

Fehler! Er ist Opfer eines so genannten Social Engineering-Angriffs geworden. „Hätte er den erweiterten Mail-Kopf geöffnet, hätte er gesehen, dass die wahre Absenderadresse nicht die gewohnte war, sondern eine andere. Außerdem hätte er auch bei dem Handelspartner in Asien anrufen können“, sagt Michael Rühl vom Polizeipräsidium Südhessen. Ihm ist vor zwei Jahren in seiner Zeit als Ermittler genau dieser Fall begegnet. Inzwischen leitet er die polizeiliche Beratungsstelle „Cybercrime“ und klärt Unternehmen und Privatleute über die Tricks der Betrüger im Netz auf. Das schwächste Glied sei immer noch der Mensch, der einzelne Mitarbeiter, sagt Rühl. „Schadsoftware kommt nicht durch die Luft auf Ihren Rechner. Wichtig ist, dass jeder einzelne Mitarbeiter geschult ist und Bescheid weiß. Und nicht nur der Chef.“ Grundsätzlich gebe es immer zwei Vorsorgevarianten, die man am besten miteinander kombiniert, sagt Oliver Berg, der bei der Sparkasse Darmstadt die Abteilung „Mediale Vertriebswege“ leitet: erstens die technische und zweitens die Aufklärung der Mitarbeiter. Drei Mal im Jahr werden in der Bank alle Mitarbeiter darin geschult: „Wie erkenne ich eine Gefahrensituation?“ In jedem Fall sollten die fünf größten Einfallstore für Cyberkriminelle bekannt sein:

Tor 1: Infizierte USB-Sticks oder CDs

Schadsoftware kann über infizierte USB-Sticks oder CDs auf einen Firmenrechner und somit ins System des ganzen Unternehmens gelangen. Damit können zum Beispiel Daten verschlüsselt oder von außen ausgelesen werden. Wie kann man verhindern, dass Mitarbeiter fremde USB-Sticks oder CDs verwenden? „Bei uns sind alle USB-Zugänge gesperrt oder gar nicht mehr vorhanden, genauso wie CD-Laufwerke. Will ein Mitarbeiter einen fremden USB-Stick verwenden, muss dieser vorher durch die Prüfung unserer Systemadministratoren“, sagt Berg. Hier setzt die Sparkasse konsequent auf die technische Verhinderung leichtsinnigen Verhaltens.

Tor 2: Betrügerische E-Mails (Phishing)

„Erst denken, dann klicken“, warnt Aufklärer Rühl von der Polizei. Immer, wenn der Absender einer Mail eine Aktion vom Lesenden fordert, müsse man automatisch denken „Stop! Macht dieser Klick Sinn?“ Oft wird Schadsoftware per Mailanhang als Bewerbung oder Rechnung getarnt. Auch Links können zu Virusseiten führen. Hier muss man genau schauen: Entspricht der Link dem gängigen Muster? www.unternehmen.de oder.com?

Beispiel hierzu: https://www.secuso.informatik.tu-darmstadt.de/fileadmin/user_upload/Group_SECUSO/Research/Results/NoPhish/NoPhish_Flyer_de.pdf

Die Sparkasse nutzt auch hier zusätzlich technischen Schutz: Alle Mails mit Anhang werden besonders geprüft. Auf Tippfehler oder andere Auffälligkeiten dürfe man sich bei betrügerischen E-Mails nicht mehr verlassen, sagt Oliver Berg. „Die kriminellen Mails werden immer besser.“ Dazu gehört auch, dass die Absender auf den ersten Blick vertraut aussehen können.

Tor 3: DDos-Attacken und Ransomware (Erpressungstrojaner)

Diese Angriffe haben das Ziel, den Nutzern den Zugriff auf ein Computersystem unmöglich zu machen oder Firmenwebseiten unerreichbar zu machen. „Davon betroffen sind viele kleine und mittlere Unternehmen, auch viele Onlineshops“, sagt Michael Rühl von der Polizei. Nach der Attacke kommt eine Zahlungsaufforderung. Wird diese beglichen, werden die Seiten meist wieder freigegeben. „Viele Unternehmen bezahlen diese oft erschwinglichen Beträge, um den Geschäftsausfall und den Reputationsverlust einzudämmen.“ Gegen solche Angriffe kann nur eine entsprechende softwaretechnische Aufrüstung helfen.

Tor 4: Fingierte Anrufe

Ein Anrufer gibt sich als Mitarbeiter von Microsoft oder einer anderen bekannten seriösen Firma aus. Unter einem Vorwand soll dem Anrufer ein Fernzugang auf den Computer gestattet werden. Zumeist gaukeln die Anrufer eine Bereinigung Ihres PCs vor und fordern im Anschluss eine Bezahlung der vermeintlich erbrachten Dienstleistung. Hierzu wird nach Kreditkartendaten oder TAN-Nummern für’s Onlinebanking gefragt.

Tor 5: Kollegen

Oliver Berg von der Sparkasse gibt einen weiteren Aspekt zu bedenken: „Achte auf die Kollegen!“ Möglich ist, dass Mitarbeiter nicht nur unbedarft in eine Falle klicken, sondern dies absichtlich tun. Sei es aus Profitgier oder weil sie von außen unter Druck gesetzt werden. „Zum Beispiel, wenn ein angeblicher Kollege am Telefon ein internes Passwort von mir haben will“: Auch hier ist Wachsamkeit geboten.

Unkomplizierte Schulung

Die Forschungsgruppe SECUSO der Technischen Universität Darmstadt bietet eine frei verfügbare und kostenfreie Schulung zur Erkennung betrügerischer Nachrichten an. Diese besteht aus vier Modulen und einem Quiz. Die Schulungseinheiten wurden innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware entwickelt.

Aufklärungsvideo zum Thema:

IT-Security

4 Schulungsmodule gegen Social Engineering

Mit der Digitalisierung stehen auch kleine und mittlere Unternehmen (KMU) vor der Herausforderung, sich gegen Angriffe aus dem Internet schützen zu müssen. Diese Angriffe können Konsequenzen wie Imageverlust oder Umsatzeinbußen haben. Die meisten Einbrüche in IT-Infrastrukturen von Unternehmen lassen sich auf Informationen zurückführen, die über so genannte Social Engineering-Angriffe erbeutet wurden.

Unter „Social Engineering“ werden Angriffe auf die IT-Infrastruktur verstanden, welche keine technischen Schwachstellen ausnutzen, sondern den Menschen als Nutzer der Technik . Eine weit verbreitete Methode des Social Engineerings ist es, betrügerische Nachrichten mit gefährlichen Inhalten zu versenden, um an Daten von Internetnutzern zu gelangen.

Betrügerische Nachrichten sind:

  1. Nachrichten mit der Aufforderung zur Herausgabe privater Daten
  2. Nachrichten mit gefährlichen Dateianhängen
  3. „klassische Phishing“- Nachrichten, also Nachrichten mit gefährlichen Links.

Entsprechend wichtig sind:

  • die Sensibilisierung der Mitarbeiter für das Thema und klare Handlungsanweisungen im Verdachtsfall.
  • Die Mitarbeiter müssen verstehen, welche Tricks Angreifer anwenden und wie Angreifer vorgehen. Andererseits brauchen sie praktische Regeln und technische Unterstützung, woran sie betrügerische Nachrichten erkennen können.

Schulung und Materialien für kleine und mittlere Unternehmen

Große Unternehmen gehen das Problem seit einigen Jahren mit großen Kampagnen an. Dieser Ansatz ist für KMU in der Regel nicht praktikabel. Deshalb haben wir – die Forschungsgruppe SECUSO der Technische Universität Darmstadt und die usd AG – im Projekt „KMU AWARE – Awareness im Mittelstand“ praxistaugliche Maßnahmen zum Bewusstmachen des Problems und der Weiterbildung von Mitarbeitern entwickelt. Unter anderem gibt es eine Schulung, die in KMU eingesetzt werden kann, um Mitarbeiter hinsichtlich betrügerischer Nachrichten zu sensibilisieren und aufzuzeigen, wie sie sich gegen solche schützen können. Die Schulung steht in mehreren Formaten zur Verfügung, auf die wir später eingehen.

Schulung zur Erkennung betrügerischer Nachrichten

Modul 1: Einführung in das Thema Nachrichten mit gefährlichem Inhalt
Hier erfährt der Nutzer, wie Betrüger vorgehen und welcher Schaden entstehen kann, wenn Empfänger solcher Nachrichten auf den Betrug hereinfallen.

Modul 2: Erkennung von unplausiblen Nachrichten mit gefährlichem Inhalt
Dieses Modul zielt darauf ab, betrügerische Nachrichten bereits anhand der unzureichenden Plausibilität bezüglich Absender und Inhalt der Nachricht zu erkennen.
Ziel: Nach Modul 2 betrügerische Nachrichten erkannt werden, die zum Beispiel stark fehlerhafte Sprache einsetzen und deren Design von dem gängigen Design des Absenders abweicht.

Modul 3: Erkennung von plausiblen Nachrichten mit gefährlichen Links
In diesem Modul geht es darum, Links in Nachrichten zu prüfen, das heißt, die tatsächliche Webadresse hinter dem Link zu finden und den sogenannten Wer-Bereich in dieser Webadresse zu identifizieren. Dort kann der Mitarbeiter auch prüfen, ob der Wer-Bereich einen Bezug zu dem (vermeintlichen) Absender und/oder Inhalt der Nachricht hat.
Ziel: Nach Modul 3 sollen betrügerische Nachrichten erkannt werden, deren Links zu anderen Zielen als dem erwarteten führen.

Modul 4: Erkennung von plausiblen Nachrichten mit gefährlichen Anhängen
In Modul 4 geht es darum, Anhänge von Nachrichten daraufhin zu prüfen, ob diese ein gefährliches Dateiformat haben oder nicht zu dem Absender der Nachricht passen.
Die Struktur der inhaltlichen Module (2-4) ist in Form von drei Komponenten definiert:

Sensibilisierung: Alle drei Module enthalten einen sogenannten Teaser, welcher für die Wissensvermittlung sensibilisieren soll. Dieser veranschaulicht die Problematik anhand von zwei Beispiel-Nachrichten, die sich nur minimal unterscheiden: einer nicht betrügerischen (plausiblen) Nachricht und einer betrügerischen Nachricht, die sich jedoch nur schwer als solche erkennen lässt.

Wissensvermittlung: Als zentrales Element der Schulungseinheiten ist die Wissensvermittlung strukturiert. Zunächst wird eine Regel zur Erkennung der jeweiligen Kategorie betrügerischer Nachrichten (unplausible mit gefährlichem Inhalt, plausible mit gefährlichen Links, plausible mit gefährlichen Anhängen) vorgestellt. Ein Beispiel für eine solche Regel ist: „Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität“. Im Anschluss an jede Regel wird diese erklärt. Im Folgenden wird jede genannte Regel anhand von Beispielen zur Anwendung der jeweiligen Regel veranschaulicht. Im nächsten Schritt werden jeweils Strategien aufgezeigt, welche Betrüger einsetzen, um das Erkennen betrügerischer Nachrichten der jeweiligen Kategorie zu erschweren. Ein Beispiel für eine solche Angreiferstrategie ist: „Die Überprüfung der Webadresse wird in einigen Nachrichten mit gefährlichen Inhalten dadurch erschwert, dass ein Link in einer Nachricht als vorgetäuschte Webadresse abgebildet wird. Die Webadresse im Text stimmt hierbei nicht mit der Webadresse überein, die man aufruft, wenn man auf den Link (in den Beispielen Screenshots einer Webadresse im Text) klickt.“ Abschließend werden die Strategien jeweils anhand von Beispielen veranschaulicht, um zu vermitteln, wie diese Strategien erkannt werden können.

Anwendung: Zur Festigung des erworbenen Wissens enthält jedes Modul Übungen mit Nachrichten in unterschiedlichen Kontexten. Dabei wird darauf geachtet, dass die Übungen die volle Bandbreite der Angreiferstrategien abdecken.

Materialien zur Erkennung betrügerischer Nachrichten

Ein Schwerpunkt der Arbeit von KMU AWARE liegt auf den „klassischen Phishing“- Nachrichten mit gefährlichen Links (Modul 3). Grund dafür sind die teilweise komplexen Angreiferstrategien innerhalb dieses Moduls. Zur Durchführung eines solchen Angriffs versenden Betrüger im Namen verschiedener Institutionen oder Personen Nachrichten (z.B. in Form von E-Mails, Facebook-Nachrichten oder SMS), mit denen sie ihre potenziellen Opfer zum (voreiligen) Klicken auf einen gefährlichen Link bewegen wollen. Zu diesem Modul wurden zahlreiche Materialien, Übungen und interaktive Tools entwickelt, die unabhängig voneinander oder auch zusammen eingesetzt werden können und den Nutzer dazu befähigen, solche Angriffe besser zu erkennen und so seine IT-Sicherheit zu verbessern – am heimischen PC bzw. Smartphone wie auch am Arbeitsplatz:

Android App und Online-Training – Lernspiel für das Smartphone bzw. zur Nutzung im Browser

Diese setzen das Schulung inklusive aller Module (Sensibilisierung, Wissensvermittlung und Anwendung) spielerisch um. App und Online-Training bestehen aus unterschiedlichen Leveln, die aufeinander aufbauen und vom Spieler sukzessive durchlaufen werden müssen. Wird ein Level nicht erfolgreich bestanden, muss es wiederholt werden, um das Training erfolgreich beenden zu können. Nach erfolgreicher Teilnahme können Spieler ein entsprechendes Zertifikat anfordern, welches als Motivation dient, das Spiel bis zum Ende zu durchlaufen.

Schulungsunterlagen für das Selbststudium

Die Schulungsunterlagen für das Selbststudium in Form eines Foliensatzes stehen in Kurz- und Langfassung zur Verfügung. Während die Kurzfassung den Lernenden in erster Linie sensibilisieren soll und das Wissen zur Erkennung betrügerischer Nachrichten vermitteln soll, beinhaltet die Langfassung zusätzlich Übungen zum Festigen des erworbenen Wissens.
Flyer, Infokarte und Poster mit einer Übersicht der wichtigsten Regeln zur Erkennung von Nachrichten mit gefährlichen Links : Die Nutzung dieser Materialien bietet sich an, um in kurzer Zeit die zentralen Lerninhalte zu vermitteln, und um eine „Gedankenstütze“ zur Verfügung zu haben. Während Flyer und Infokarte auch als selbständige Lernmaterialien eingesetzt werden können, bieten sie sich insbesondere als Ergänzung zu den umfangreicheren Lernmaterialien (Android App, Online-Training und Schulungsunterlagen) an.

Zu den Materialien werden drei Quiz angeboten, welche vor der Lernmaßnahme (Erhebung des Wissensstandes), direkt im Anschluss an die Maßnahme (Erhebung des Lernerfolgs) sowie einige Wochen oder Monate nach der jeweiligen Maßnahme (Erhebung des langfristigen Lernerfolgs) durchgeführt werden können.

Alle Materialien sowie weiterführende Informationen zum Thema „betrügerische Nachrichten“ stehen kostenlos zur Verfügung unter:

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/erkennung-betruegerischer-nachrichten/

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/nophish/

Zusätzlich zu den hier vorgestellten Materialien bietet die Technische Universität Darmstadt themenverwandte Tools an, die ebenfalls mit geringem Aufwand im Unternehmen einsetzbar sind:

TORPEDO – Erweiterung (Add-on) für das E-Mail-Programm Thunderbird , das Internetnutzern die Erkennung von Phishing-E-Mails technisch erleichtert, indem beispielsweise der Wer-Bereich von Webadressen hervorgehoben wird. www.secuso.org/torpedo

PassSec+ – Ein Add-On, das Passwörter, Zahlungsdaten und Privatsphäre schützt , indem es sicherstellt, dass Internetnutzer über verschlüsselte Verbindungen kommunizieren. www.secuso.org/passsec

Kontakt:
Technische Universität Darmstadt
Department of Computer Science
SECUSO – Security, Usability and Society
Telefon: +49(0) 6151 16 20813

Über das Projekt KMU AWARE – Awareness im Mittelstand

Ziel des Projekts KMU AWARE ist es, KMU in Deutschland verstärkt für die Gefahren beim Einsatz von IT zu sensibilisieren und ihnen aufzuzeigen, wie sie sich effektiv schützen können. Hierbei stehen drei Themen im Fokus: Das Erkennen von Social Engineering Angriffen, die Verwendung sicherer Passwörter sowie die Verwendung sicherer Privatsphäreneinstellungen.
Diese Themen haben den Vorteil, dass diese nicht nur im Firmenkontext, sondern auch im privaten Kontext relevant sind. Dadurch steigt die Motivation der Mitarbeiter in Unternehmen, an Lernmaßnahmen teilzunehmen.

Verschiedene Institutionen sowie Unternehmen haben Bestandteile der Schulung bereits erfolgreich angewendet und an Evaluationen teilgenommen, z.B. Rolls Royce, die HypoVereinsbank, das Polizeipräsidium Südhessen, die Sparkasse Darmstadt, die Volkshochschule Darmstadt, die Heinrich Emanuel-Merck-Schule und das Hochschulrechenzentrum Darmstadt. Darüber hinaus hat unter anderem das BSI auf seinen Webseiten, Social Media und im Newsletter „BSI für Bürger“ mehrfach auf Schulungsinhalte hingewiesen und diese empfohlen.

KMU AWARE wird im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert. Die Initiative „IT-Sicherheit in der Wirtschaft“ will vor allem kleinen und mittelständischen Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern.

Weitere Informationen zum Projekt KMU AWARE: www.awareness-im-mittelstand.de

Weitere Informationen zur Initiative IT-Sicherheit in der Wirtschaft: www.it-sicherheit-in-der-wirtschaft.de

Foto: pixabay.com/JanBaby