Hacker nutzen Anlässe wie beispielsweise den Valentinstag intensiver als je zuvor und setzen bei ihren Betrugsversuchen auf ein großes Arsenal – darunter Phishing-E-Mails, gefälschte elektronische Grußkarten mit Malware oder gefälschte Websites von Onlinehändlern, um Kreditkarteninformationen zu stehlen.
Letztes Jahr, als viele Konsumenten im Internet Blumen, Pralinen und andere Geschenke für ihre Liebsten zum Valentinstag gekauft haben, entdeckten die Forscher des Cybersecurity-Unternehmens Checkpoint groß angelegte Cyber-Betrugskampagnen. Im Vorfeld des 14. Februar 2021 verschickten Kriminelle jede Woche über 400 neue Phishing-E-Mails zum Thema Valentinstag, um arglose Nutzer zu überlisten. Das entsprach einem Anstieg von 29 Prozent gegenüber dem Vorjahr. Hacker nutzen Anlässe wie beispielsweise den Valentinstag intensiver als je zuvor und setzen bei ihren Betrugsversuchen auf ein großes Arsenal – darunter Phishing-E-Mails, gefälschte elektronische Grußkarten mit Malware oder gefälschte Websites von Onlinehändlern, um Kreditkarteninformationen zu stehlen.
Cyberkriminelle werden auch dieses Jahr ihre Betrugs- und Angriffsversuche rund um den Valentinstag verstärken, denn sie wissen, dass viele Menschen vor oder während eines Feiertags weniger wachsam sind. Viele Internetnutzer – auch die sonst eher sicherheitsbewussten – werden Betrugsversuche nicht rechtzeitig erkennen. Und wenn die vermeintlich gut gemeinten Geschenkbestellungen während der Arbeitszeit oder am Arbeitsrechner im Homeoffice durchgeführt werden, bekommt so mancher kein Geschenk, dafür aber das Unternehmen, und zwar in Form einer Malware, vielleicht sogar Ransomware.
Daher ist im zeitlichen Umfeld weltweiter Festtage besondere Vorsicht geboten. Mit folgenden fünf Grundsätzen können sich Unternehmen vor Herzschmerz am Valentinstag schützen:
1: Höchste Alarmbereitschaft während der Hochsaison
Es gilt abzuwägen, welchen Gefahren ein Unternehmen zu bestimmten Anlässen und Zeiten unterliegt. Für eine Gärtnerei mit Online-Geschäft sind die Sommermonate die Hochsaison. Für ein Spielwarengeschäft sind die Wochen und Monate vor Weihnachten entscheidend. Ostern, Fasching und Halloween sind die Hochsaison des Süßwaren- und Kostümhandels.
Während solcher Stoßzeiten müssen Unternehmen und die IT-Systeme betriebsbereit sein und reibungslos funktionieren. Das wissen auch die Hacker und sie nutzen jede Gelegenheit, um Unternehmen dann anzugreifen, wann sie am verwundbarsten sind. Wenn Hacker vor oder am Valentinstag die Website einer Blumenhandelskette kompromittieren, ist die Chance für das Erpressen maximaler Lösegeldsummen besonders hoch. Denn der Händler hat ein zentrales Ziel: die Systeme wieder zum Laufen zu bringen, weil jede Stunde Ausfall enorme Umsatzverluste bedeutet. Darum sollten Unternehmen während ihrer spezifischen Hochsaison in höchster Alarmbereitschaft sein und sicherstellen, dass sie über den passenden Schutz verfügen, um Hacker abzuwehren.
2. Sichern und verschlüsseln von Daten
Offline-Backups und Datenverschlüsselung können eine entscheidende Rolle beim Schutz eines Unternehmens vor Ransomware-Angriffe spielen. Backups können im Notfall alle gefährdeten Systeme schnell wiederherstellen. Wichtig dabei ist: Backups müssen offline oder zumindest unangreifbar (immutable) sein, da im Falle eines Ransomware-Angriffs alle online verbundenen Laufwerke verschlüsselt werden.
Die Verschlüsselung sensibler Daten ist zudem empfehlenswert. Wenn Angreifer sensible Daten stehlen, ist ein Erpressungsversuch sinnlos, sofern die Daten sicher verschlüsselt und für die Kriminellen nicht lesbar sind.
3: Mitarbeiter informieren
Fast 90 Prozent der Sicherheitsverletzungen werden durch menschliches Versagen verursacht. Mit einem Schulungsprogramm zum Thema Sicherheit können Mitarbeiter lernen, wie sie Sicherheitsverletzungen verhindern, z. B. woran man Phishing-E-Mails erkennt, die fast der Hälfte aller Ransomware-Angriffe Tür und Tor öffnen.
Zudem sollten Mitarbeiter wissen, wie eine gute Cyberhygiene realisierbar ist – vor allem jetzt, da die Mitarbeiter ihre Arbeit oft von zuhause aus erledigen. Grundlegende Maßnahmen, wie z. B. die regelmäßige Erstellung von Sicherungskopien der Daten an verschiedenen Orten gehört dazu. Außerdem sollten Mitarbeiter die Daten immer dort speichern, wo das Unternehmen für den Datenschutz und die Datensicherheit bereits gesorgt hat – eine private Cloud oder ein USB-Stick gehören in den meisten Fällen nicht dazu.
4: Grundregel: Multi-Faktor-Authentifizierung wo auch immer möglich
81 Prozent der Sicherheitsverletzungen passieren aufgrund gestohlener oder schwacher Passwörter und jede Woche werden von Cyberkriminellen Millionen Passwörter gestohlen. Mit der Multi-Faktor-Authentifizierung (MFA) kann man sich trotz gestohlener Passwörter schützen. MFA bringt eine zusätzliche, effektive Sicherheitsebene für Systeme und ist eine der einfachsten und besten Möglichkeiten, das Unternehmen vor einem Hack zu schützen.
Das Hinzufügen eines zweiten Authentifizierungsfaktors, wie Google Authenticator, ist für den Schutz von Konten unerlässlich. Die Verwendung einer Passwort-Wallet, die alle Passwörter speichert und lange, komplexe Passwörter für jedes Konto erstellt, ist ebenfalls empfehlenswert.
5: Verteidigungsmaßnahmen Testen
Auch die vermeintlich beste Datensicherung ist nur dann wertvoll, wenn sie in der Lage ist, die Daten vollständig und schnell wiederherzustellen. Um dies sicherzustellen, hilft nur testen. Zudem sollte die gesamte Sicherheitsstruktur im Unternehmen regelmäßig auf Schwachstellen geprüft werden. Eine hervorragende Möglichkeit sind Penetrationstests. Ein Pen-Test ist ein simulierter Angriff auf ein Unternehmen, bei dem die Sicherheit die IT-Infrastruktur überprüft wird. Ein gründlicher, professioneller Pen-Test kann zwischen 10.000 und 30.000 Euro kosten. Zu teuer? Die durchschnittlichen Kosten für eine Datenpanne liegen inzwischen bei 3,5 Millionen Euro.
Am Valentinstag wie auch an allen anderen Tagen sollten keine Herzen gebrochen werden. Es gilt geeignete Maßnahmen zu ergreifen, um das Unternehmen vor Cyberangriffen zu schützen. Ist dies gewährleistet, kann der 14. Februar gebührend gefeiert werden – anstatt verzweifelt zu versuchen, verlorene Daten mit oder ohne Erpressungszahlungen wiederherzustellen.