Unternehmen, genauso wie Privatleute, müssen sich heutzutage intensiv mit den Themen Cyber- und IT-Sicherheit auseinandersetzen. Die fortschreitende Digitalisierung unserer Welt führt dazu, dass immer mehr Angriffe durch Hacker und Cyberkriminelle möglich werden.
Diese nutzen die natürlichen Schwachstellen der User aus, um Daten, Geld und anderes zu erbeuten. Mit verschiedenen Maßnahmen kann sich jeder wirksam vor Angriffen schützen.
Was ist Human Hacking?
Die Begriffe Social Engineering oder Human Hacking bezeichnen Cyberangriffe, die den Menschen und seine Natur in Sachen Cybersicherheit ausnutzen. Dabei werden Opfer dazu gebracht, vertrauliche Informationen weiterzugeben, Überweisungen zu tätigen oder Schadsoftware zu installieren. Vor allem an die Hilfsbereitschaft, an Respekt vor Autoritäten und Angst vor negativen Folgen appellieren die Täterinnen und Täter.
Das Human Hacking findet häufig in Form von E-Mails, Anrufen oder Nachrichten über soziale Medien statt. Die Angriffe sind vergleichbar mit den Handlungen von Trickbetrügern, die auf offener Straße agieren.
Schritt 1: Antivirensoftware und Firewall immer aktuell halten
Der erste Schritt, um sich wirksam vor Cyberangriffen zu schützen, ist, eine geeignete Antivirensoftware zu installieren. Dazu gehört selbstverständlich eine wirksame Firewall. Hochwertige Sicherheitssoftware schützt Systeme vor Angriffen verschiedener Arten. So ist es beispielsweise ebenfalls möglich, eingehende E-Mails vor dem Öffnen auf gefährliche Software, beispielsweise im Anhang, zu untersuchen. Natürlich ist es für einen umfassenden Schutz unumgänglich, die Software stets auf dem aktuellen Stand zu halten. Regelmäßige Updates der Schutzprogramme lassen sich mit wenigen Klicks automatisieren, sodass User sich nicht mehr selbst um diese Aufgabe kümmern müssen.
Schritt 2: Vertrauen ist gut, Misstrauen ist besser
Gerade bei eingehenden Anrufen und E-Mails ist es wichtig, misstrauisch zu sein. Das Bundesamt für Sicherheit in der Informationstechnik hat hierfür den 3 Sekunden Sicherheitscheck entwickelt. Dieser schult User dafür, verdächtige E-Mails sofort zu erkennen. Ist eine E-Mail eingegangen, die der Empfänger so nicht erwartet hat, sollte er auf folgende Details achten, noch bevor er sie öffnet:
- Absender (Name und E-Mail Adresse)
- Betreffzeile
- Anhänge (Dateiformat und Name)
Dabei geht es vor allem darum, ob eine E-Mail Adresse vertrauenswürdig und echt erscheint. Die Betreffzeile sollte aussagekräftig und sinnvoll sein. Betreffe wie „Dringende Nachricht“, „Ihre Rechnung“ oder „Letzte Mahnung“ sind wenig aussagekräftig und damit automatisch verdächtig. Anhänge im HTML-Format sind grundsätzlich als gefährlich einzustufen.
Es ist ratsam, das Unternehmen, von dem eine E-Mail angeblich stammen soll, zu kontaktieren, falls Zweifel an der Seriosität der Nachricht bestehen. Links in E-Mails sind ebenfalls mit Vorsicht zu behandeln, da es sich auch hier um Phishing-Versuche handeln kann. Im Zweifel sollten User die Website direkt über den Browser aufrufen und dort ihre Anmeldedaten eingeben.
Schritt 3: Zwei-Faktor-Authentifizierung und Passwortsicherheit
Um seine persönlichen Daten zu schützen, bieten Websites heute viele verschiedene Möglichkeiten an. Gerade, weil auch Unternehmen von Social Engineering betroffen sind, ist es wichtig, die sensiblen Informationen, die dort gespeichert sind, mehrfach zu schützen. Dafür ist es mittlerweile fast überall möglich, über Sicherheitscodes oder die eigene Handynummer eine sogenannte Zwei-Faktor-Authentifizierung durchzuführen. Viele Betriebssysteme, sowohl für Computer als auch für Smartphones, bieten außerdem sichere Passwörter an. Diese bestehen aus zufällig generierten Abfolgen von Zahlen, Buchstaben und Sonderzeichen und werden automatisch im zusätzlich gesicherten Schlüsselbund des jeweiligen Systems gespeichert. Diese zusätzlichen Wege, die Passwörter zu schützen, erschweren es Hackern, erbeutete Daten von Unternehmen tatsächlich zu nutzen. Trotzdem ist es bei einem bekannten Sicherheitsleck notwendig, die Passwörter auf den betroffenen Websites zu ändern, um Cyberkriminellen keine Chance zu bieten.
Schritt 4: Keine vertraulichen Informationen weitergeben
Auch und gerade in den sozialen Medien sind Cyberkriminelle heute zu finden. Sie geben sich als Freunde aus oder machen dem Opfer Avancen, um an Geld und sensible Informationen zu gelangen. Umso wichtiger ist es, immer aufmerksam bei der Nutzung dieser Dienste zu sein. Privatuser überlegen sehr genau, welche Inhalte sie online teilen. Private Angaben und vertrauliche Informationen über den eigenen Arbeitgeber sind auf Twitter, Instagram oder Facebook grundsätzlich nicht richtig aufgehoben. Auch Unternehmen gehen sehr vorsichtig mit vertraulichen Informationen um und teilen nur fest definierte Inhalte, die kuratiert und öffentlich zugänglich sind.
Bei Nachrichtenanfragen gilt es, zunächst zu überprüfen, ob es sich um eine reale Person handelt. Ist die Person nicht persönlich bekannt, ist Misstrauen an der Tagesordnung. Ist das Profil privat, nur sehr spärlich bestückt oder ganz neu, sind das ebenfalls Warnzeichen. Gerade bei derartigen Anfragen sollten keine privaten oder beruflichen Informationen weitergegeben werden.
Der Faktor Mensch ist beim Social Engineering die größte Schwachstelle. Umso wichtiger ist es, sich selbst zu schulen und mit privaten Daten und Informationen online sehr vorsichtig umzugehen. Vorsicht und Kontrolle sind besser als Nachsicht.