Social Engineering – Schutz vor Angriffen


Beim Thema Cyber-Crime sind schon lange nicht mehr nur Computersysteme und Netzwerke im Visier der Angreifer sondern auch die NutzerInnen dieser Systeme. Beim Social Engineering nutzt der Angreifer den “Faktor Mensch”, um die Sicherheitssysteme zu überweinden.

Social Engineering

Social Engineering – kurz zusammengefasst

Oft stehen Angreifer dank aktueller Software und Systeme, Firewalls und Virenscannern vor verschlossener Tür. In diesem Fall versuchen sie durch die gezielte Täuschung oder Verschleierung der eigenen Identität das Opfer zu manipulieren. Dabei wird das Opfer dazu verleitet, sensible Daten herauszugeben oder Schadsoftware auf dem System zu installieren. Die Folgen eines solchen Angriffs reichen dann von kleineren Zwischenfällen und eventuellem Datenverlust bis hin zu kompletten Produktionsausfällen, Industriespionage oder Sabotage. Weiterhin besteht die Gefahr eines möglichen Reputationsverlust.

Wie funktioniert Social Engineering?

Das Social Engineering hat viele Parallelen zum Trickbetrug, bei denen das Opfer durch seine menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität manipuliert werden. Der Angreifer täuscht gezielt eine falsche Identität vor und verleitet das Opfer durch konkret formulierte Aufforderungen vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf einem Computer zu installieren.

Die Angriffsmethoden unterscheiden sich dabei sehr stark von einer einfachen E-Mail mit der Aufforderung zur Überweisung eines Geldbetrages auf das Konto des Angreifers bis hin zur sorgfältig geplanten Industriespionage, bei der der Angreifer in mehreren Schritten bzw. Angriffen das Opfer vertrauliche Firmeninformationen entzieht.

Wie erkenne ich Social Engineering?

Ein ganz zentrales Werkzeug bei Angriffen mithilfe von Social Engineering ist die Täuschung der Identität oder die Vortäuschung falscher Tatsachen. Der Angreifer gibt sich beispielsweise als MitarbeiterIn eines bekannten Dienstleisters oder Lieferanten aus, als TechnikerIn oder als MitarbeiterIn eines in der Öffentlichkeit stehenden Unternehmens wie Banken, Logistikfirmen, Telekommunikationsunternehmen oder Internetplattformen (z. B. PayPal, Microsoft, Facebook). Bei großen Unternehmen kann es auch vorkommen, dass der Angreifer sich als Kollege ausgibt. Hierbei nutzt der Angreifer die Anonymität unter den vielen Mitarbeitern aus. Ist das Vertrauen zum Opfer einmal aufgebaut, kann der Angreifer seine Ziele verfolgen wie z. B. vertrauliche Informationen (z. B. Zugangsdaten) abzuziehen oder einen Geldbetrag zu überweisen. Dabei baut der Angreifer auch oft einen künstlichen Druck beim Opfer auf, sodass er sein Handeln nicht überdenken kann und ggf. auch Sicherheitsvorkehrungen übergeht.

Die Kommunikation beim Social Engineering findet meistens per E-Mail digital statt. Gezielte Angriffe können aber noch eine Stufe weitergehen und der Angreifer kommuniziert per Telefon oder kommt z. B. als Handwerker zum Opfer. Auch mit Unterstützung von der bereits heute weit entwickelten künstlichen Intelligenz (KI) kann die Kommunikation erfolgen in dem z. B. die Stimme am Telefon manipuliert wird und auf einmal die Stimme des Chefs zu hören ist. Das 2018 im Internet erschienene Deepfake Video von Barak Obama veranschaulicht sehr gut, wozu ein Angreifer mit dem “Werkzeug” KI fähig ist. In diesem gefälschten Video beschimpft der ehemalige US-Präsident seinen damaligen Nachfolger Donald Trump als “Volldepp”.

Zur Vorbereitung eines gezielten Angriffs werden Informationen über das Opfer häufig aus privaten und beruflichen Sozialen Netzwerken gezogen, aus einer abgefangenen E-Mailkommunikation durch die Kompromittierung eines E-Mailpostfaches oder auch auf persönlichem Wegen direkt bei Familie/Freunde/Kollegen. Dabei reichen schon wenige Informationen wie z. B. Hobbys aus, um das Vertrauen des Opfers zu gewinnen.

Welche Formen von Social Engineering gibt es?

Das Social Engineering umfasst ein breites Feld an Angriffsmethoden. Deshalb möchte ich hier nur die beliebtesten Formen aufführen.

Phishing

Die bekanntesten Form des Social Engineering ist das Phishing und damit hat sicher schon jeder einmal seine Erfahrung gemacht. Hierbei ist das Angriffsziel die Zugangsdaten wie z. B. Passwörter. Durch vertrauensvoll wirkende E-Mails soll das Opfer dazu gebracht werden, auf einen Link zu klicken und auf einer Zielseite seine Zugangsdaten einzugeben. Ein klassisches Beispiel sind hier gefälschte E-Mails und Webseiten von Banken, auf denen das Opfer seine Bankdaten wie Passwort oder auf TAN-Nummer eingeben soll.

CEO Fraud

Eine weitere Form ist das sogenannte CEO Fraud (CEO-Betrug). Hierbei versucht der Angreifer in einem Unternehmen, Entscheidungsträger oder befugte MitarbeiterInnen so zu manipulieren, dass diese vermeintlich im Auftrag des Chefs Überweisungen hoher Geldbeträge veranlassen.

Baiting

Beim Baiting macht sich der Angreifer die Neugierde seines potentiellen Opfers zu Nutze. Dabei wird ein digitaler oder physischer Köder eingesetzt, hinter dem sich zumeist Schadsoftware verbirgt. Bei dem Köder kann es sich beispielsweise um einen E-Mailanhang handeln, der ein vermeintlich brisantes Dokument beinhaltet. Aber auch ein USB-Stick mit scheinbar interessanten Daten weckt das Interesse des Finders, diesen an seinem Computer anzustecken worüber letztendlich die Schadsoftware installiert wird. Das Baiting ähnelt dem Phishing, es unterscheidet sich aber dadurch, dass es etwas Konkretes unzwar den Köder verspricht.

Pretexting

Das Pretexting als weitere Form wird gerne in Verbindung mit anderen Social Engineering Formen kombiniert und ist in den meisten Fällen eine Vorstufe eines nachgelagerten Angriffes. Der Angreifer erfindet hierbei eine glaubwürdige, aber erfundene Geschichte zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Dabei werden gerne extra dafür angelegte E-Mailadressen, Telefonnummern und Webseiten zur Verifizierung der Geschichte zur Hilfe genommen. Das Hauptziel des Angriffes sind persönliche und/oder geschäftliche Daten. In den meisten Fällen gibt der Angreifer vor, die Daten zur Identitätsfeststellung oder für die Ausführung von Dienstleistungen zu benötigen. Dabei kann er sich als Techniker, aber auch interner Mitarbeiter, Polizist, Lieferant usw. ausgeben.

Tailgating

Social Engineering finden nicht nur digital statt, sondern umfassen auch Angriffe in der realen Welt – darum geht es beim Tailgating. Hierbei geht es um das physische Eindringen des Angreifers in den gesicherten Bereich eines Unternehmens. Dort gelangt man normalerweise durch entsprechende Zugangskontrollen nicht hinein. Diese Zugangskontrollen umgeht der Angreifer mithilfe von Pretexting. So kann der Angreifer beispielsweise vorgeben, der vorher angekündigte Elektriker oder der neue Kollege zu sein. Der Angriff kann aber auch durch einen tatsächlich im Unternehmen angestellten Mitarbeiter erfolgen.

Wie kann man sich gegen Social Engineering schützen?

Die Angreifer nutzen zusammengefasst zwei Dinge aus: einmal unsere menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst bzw. Respekt und einmal unklare Regellungen in Unternehmensabläufen. Daher ist es nicht einfach, einen sicheren Schutz aufzubauen. Grundsätzlich minimieren aber folgende Punkte das Risiko eines erfolgreichen Angriffs:

  • Haben Sie ein gesundes Misstrauen gegenüber der Person, die Ihnen Fremd ist und stimmen Sie sich vor der Preisgabe von Informationen mit Ihrem Vorgesetzten ab.
  • Nutzen Sie als Mitarbeiter regelmäßig sogenannte Security-Awarness-Schulungen bzw. bieten Sie diese als Unternehmer Ihren Mitarbeiter an. Dadurch findet eine Sensibilisierung im Bereich der IT-Sicherheit statt.
  • Binden Sie einen Informationssicherheits-Experten ein, um Ihre Unternehmens-Prozesse auf IT-Sicherheit und potentielle Angriffsziele zu überprüfen.
  • Teilen Sie nicht zu viele und am besten keine beruflichen Informationen in sozialen Netzwerken. Diese könnten vom Angreifer für Täuschungsversuche missbraucht werden.
  • Geben Sie keine Zugangsdaten per Telefon oder E-Mail heraus. Seriöse Unternehmen wie Banken erfragen solche sensiblen Informationen niemals über solche Kanäle.
  • Prüfen Sie E-Mails von unbekannten Absendern genau. Absender, Betreff und Anhang sind dabei die drei wichtigsten Aspekte. Fragen Sie beim geringsten Verdacht auf einen Angriff mit einem Anruf beim Absender nach oder stimmen Sie sich mit einem Kollegen oder Vorgesetzten ab. Im Zweifel antworten Sie einfach überhaupt nicht. Falls der Absender wirklich etwas von Ihnen möchte, fragt er über einen anderen Kanal erneut nach.
  • Lassen Sie sich nicht unter Druck setzen und nehmen Sie sich Zeit bei der Prüfung. Niemand wird es Ihnen übel nehmen.
  • Das Homeoffice ist außerhalb des Unternehmens ebenfalls ein gern genutztes Angriffsziel. Achten Sie daher auch beim Arbeitsplatz zu Hause auf die IT-Sicherheit.

IT-Sicherheit im Homeoffice

Homeoffice

Das Homeoffice boomt – die IT-Sicherheit leider nicht! Viele Menschen arbeiten im Homeoffice und dabei ergeben sich auf Grund der unterschiedlichen häuslichen, technischen und organisatorischen Gegebenheiten Gefahren für die IT-Sicherheit.

Grundregeln der IT-Sicherheit im Homeoffice

Im Folgenden habe ich die wichtigsten Grundregeln zusammengefasst, die auch im Homeoffice die IT-Sicherheit gewährleisten:

  1. Sicherer Zugriff auf das Firmen-Netz
    Für den Zugriff auf die Netze Ihrer Firma nutzen Sie bitte immer den VPN-Zugang. Sprechen Sie dazu am besten Ihre IT-Abteilung an. Bauen Sie den VPN-Zugang nur in einem sicheren und vertrauenswürdigen LAN/WLAN auf.
  2. Eindeutige Kontaktstellen und Kommunikationswege
    Klären Sie mit Ihrem Vorgesetzten eindeutige Kontaktstellen und Kommunikationswege. Verifizieren Sie eventuell neue Kontaktdaten mit dem entsprechenden Kollegen/Vorgesetzten.
  3. Vorsicht vor Phishing
    Auch im Homeoffice besteht die Gefahr von Phishing E-Mails oder auch Anrufen. Seien Sie dabei genauso wachsam wie im Büro. Verifizieren Sie seltsam wirkende Anweisungen mit einem Rückruf beim Vorgesetzten, bevor Sie diese ausführen.
  4. Dokumente mit erhöhtem Schutzbedarf
    Stimmen Sie bitte mit Ihrem Vorgesetzten ab, wie Sie Dokumente mit erhöhtem Schutzbedarf z. B. vertrauliche Vertragsdokumente bearbeiten sollen. Dabei kann Sie auch Ihr IT-Sicherheitsbeauftragter beraten.
  5. Zutritts- und Zugriffsschutz
    Im Homeoffice besteht meist nicht die gleiche infrastrukturelle Sicherheit wie im Büro. So ist der häusliche Arbeitsplatz oft auch für Besucher und Familienmitglieder zugänglich. Daher muss sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können. Das bedeutet, dass der Zugriff auf Ihre dienstliche IT bei Nichtnutzung gesperrt ist und das keine sensitiven Informationen frei zugänglich sind. Räumen Sie dazu nach Arbeitsende Ihren Arbeitsplatz auf und schließen Sie wenn möglich alle Dokumente und die dienstliche IT z. B. in einem Schrank ein. Weiterhin sollte Ihr PC oder Notebook über eine entsprechende Verschlüsselung verfügen, sodass bei Verlust die Daten auf dem Gerät sicher vor Zugriffen Dritter sind. Sprechen Sie dazu am besten Ihre IT-Abteilung an.
  6. Datensicherung
    Speichern Sie Ihre Arbeit nicht lokal auf Ihrem Arbeitsplatz-PC sondern immer auf den Servern Ihrer Firma.
  7. Zeitnahe Meldungen von Sicherheitsvorfällen
    Melden Sie zeitnah Sicherheitsvorfälle (z.B. Verlust Laptop, Mobilfunkgeräte, Einbruch etc.) an Ihren Vorgesetzten und ggf. an Ihren IT-Sicherheitsbeauftragten.
  8. Entsorgung vertrauenswürdiger Dokumente und Datenträger
    Bitte entsorgen Sie vertrauenswürdige Dokumente und Datenträger nicht privat sondern transportieren Sie sie zurück ins Büro und entsorgen Sie diese dort auf bekanntem Wege.
  9. Support im Homeoffice
    Stimmen Sie mit Ihrem Vorgesetzten ab, wie der Support im Homeoffice gewährleistet ist. Es kann sein, dass Ihr PC oder Notebook für den Support aus der Ferne erst noch vorbereitet werden muss z. B: Remote-Berechtigungen oder die Installation von Support-Tools.

Quick-Check der Initiative #wirvsvirus

Mit dem “Quick-Check Test” der der Initiative #wirvsvirus der Bundesregierung können Sie prüfen, wie viele der Maßnahmen Sie bereits umgesetzt haben und was sie tun können, um die IT-Sicherheit im Homeoffice zu verbessern.
(Quelle: https://virus-foerdert-viren.netlify.com/)

Phishing-Mail geöffnet – Was nun?

Das sogenannte Phishing ist eine Form von Social Engineering und mit einer Phishing-Mail versucht der Angreifer sensible Daten wie Kennungen und Passwörter zu stehlen. Die teils täuschend echt wirkenden E-Mails sollen das Opfer dazu bringen, die enthaltenen Links oder Dateianhänge zu öffnen. Über gefälschte Internetseiten oder mit einer entsprechenden Schadsoftware werden dann die sensiblen Daten abgegriffen. Jetzt hast du so eine Phishing-Mail geöffnet und stellst dir die Frage – Was nun?

Phishing

Wie gefährlich ist das Öffnen einer Phishing-Mail?

Der erste Schritt ist Ruhe bewahren und einen Überblick verschaffen. Die meisten fragen sich natürlich erstmal – Ist jetzt schon was passiert? Sind schon Daten abgeflossen oder ist der Computer schon mit Schadsoftware infiziert? Sind meineDaten übertragen worden? Die Antwort lautet: Nein. Normalerweise hat das bloße Öffnen einer Phishing-Mail keine negativen Konsequenzen. Denn in der Regel möchte der Angreifer, dass du auf einen Link in der E-Mail klickst oder den Anhang der E-Mail öffnest. Bist du beiden “Aufforderungen” nicht gefolgt, besteht keine Gefahr.

Allerdings können E-Mails im HTML-Format eine Gefahr darstellen. Denn im Quellcode der E-Mail könnte ein Schadcode einprogrammiert sein, der beim Öffnen der E-Mail ausgeführt wird, ohne das du auf einen Link klickst. Diese Art kommt allerdings nicht so häufig vor. Möchtest du dich vor dieser Variante von Phishing-Mails schützen, musst du in deinem E-Mail-Programm die Anzeige der E-Mail im HTML-Format deaktivieren.

Eine Anleitung zur Deaktivierung des HTML-Formats in E-Mails findet ihr für Microsoft Outlook hier und für Mozilla Thunderbird hier.

Link oder Anhang der Phishing-Mail geöffnet

Wenn du auf einen Link in einer Phishing-Mail angeklickt hast, wirst du in den meisten Fällen auf eine gefälschte Webseite weitergeleitet. Hier sollst du deine sensiblen Daten wie z. B. deine Bankdaten eingeben, welche direkt zu dem Angreifer übertragen werden. Es kann aber auch sein, dass du auf eine gehackte Webseite weitergeleitest wirst, von der automatisch ein Schadcode auf deinem PC ausgeführt wird.

Öffnest du einen Anhang einer Phishing-Mail, wird so gut wie immer Schadsoftware in Form von Viren oder Trojaner im Hintergrund automatisch auf deinem PC installiert. Die Schadsoftware wird dabei oft in harmlos wirkenden Word-Dokumenten, Text-Dateien oder PDFs versteckt. Sie kann wiederum im Hintergrund Daten ausspionieren, deine Dateien verschlüsseln (Ransomware) und dich damit erpressen oder den Online-Datenverkehr manipulieren z. B. beim Online-Banking. 

Aber egal was du am Ende geöffnet hast, es ist Gefahr im Verzug!

Hast du irgendetwas aus der Phishing-Mail geöffnet, musst du schnell handeln. Dabei gilt als erstes Ruhe bewahren! Im besten Fall hat dein Computer-System oder dein Virenscanner bereits den Angriff abgewehrt. Aber da kannst du dir nicht sicher sein. Daher melde den Vorfall umgehend deiner IT-Abteilung im Unternehmen. Gibt es diese nicht, kannst du auch einen IT-Dienstleister oder Systembetreuer kontaktieren. In jedem Fall wird dir dort geholfen.

Handelt es sich um deinen privaten PC, trenne als erstes dein PC vom Netzwerk und somit auch vom Internet, in dem du das Netzwerkkabel am PC entfernst oder das WLAN deaktivierst. Den PC nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen, da sonst noch größere Schäden entstehen können und auch der Schaden nicht vollständig nachvollzogen werden kann. Als nächstes solltest du dir unbedingt einen Fachmann zurate ziehen. Du kannst dein PC natürlich auch selbst wieder mit entsprechender Software wie Malwarebytes bereinigen, aber 100 Prozent sicher kannst du nicht sein.

Wie schütze ich mich?

Für den Schutz vor Schadsoftware empfiehlt das Bundesamt für Sicherheit und Informationstechnik (BSI) folgende Maßnahmen: 

  • Grundsätzlich Vorsicht beim Umgang mit E-Mails von unbekannten Absendern. Prüfen Sie die E-Mail mit einem Kurzcheck.
  • Keine Nutzung privilegierter Nutzerkonten wie einem Admin-Konto mit vollen Schreibrechten auf alle Systeme.
  • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme insbesondere Web-Browser, Browser-Plugins, E-Mail-Programme, Office-Anwendungen, PDF-Dokumentenbetrachter.
  • Nutzung von Antiviren-Software auf dem PC und einer Firewall, im besten Fall der Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
  • Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
  • Regelmäßiges Anlegen von Backups wichtiger Daten. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
  • Daten und Programme nur von vertrauenswürdigen Quellen herunterladen.
  • Alle Nutzerkonten dürfen nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
  • Deaktiviere Makros und OLE-Objekten in Microsoft Office. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
  • Verwende Plain-Text statt HTML für E-Mails.
  • E-Mails mit ausführbaren Dateien wie .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc. im Anhang – auch in Archiven wie .zip – sollten im Unternehmen blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.
  • Netzwerk-Segmentierung nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.

Quelle: BSI

Kurzcheck für mehr E-Mail-Sicherheit

Kurzcheck für mehr E-Mail-Sicherheit

Spam-Mails sind der Hauptgrund für die Infizierung von Computern durch Schadprogramme. Ransomware steht dabei an der Spitze, die durch schadhafte Mail-Anhänge ganze Systeme infizieren. Zu diesem Ergebnis kommt eine aktuelle Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch die Allianz für Cyber-Sicherheit. Die Auswirkungen reichen vom Befall einzelner Arbeitsplatzrechner über den Ausfall von Teilen der IT-Infrastruktur bis hin zum Totalverlust wichtiger Daten. Häufige Ursache ist der Mensch, welcher zu unbedacht die elektronische Post öffnet.

Mit einem Kurzcheck der E-Mail können Sie das Risiko einer Infizierung schon stark mindern. Dazu müssen Sie sich folgende Fragen beantworten, bevor Sie eine E-Mail öffnen.

  1. Ist der Absender bekannt?
  2. Ist der Betreff sinnvoll?
  3. Wird ein Anhang von diesem Absender erwartet?

Kurzcheck

In Kombination liefern die Antworten dieser Fragen einen guten Anhaltspunkt für die Entscheidung, ob Sie die E-Mail als vertrauenswürdig einzustufen können.

In vielen Spam-Mails ist der Betreff bewusst vage formuliert, damit Sie als Empfänger neugierig werden. Dabei werden Formulierungen gewählt wie “Ihre Rechnung”, “Mahnung”, “Dringende Nachricht” oder “Fax”. Hier ist von Ihnen besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, vor allem wenn Mail-Anhänge beigefügt sind. Erhalten Sie beispielsweise eine E-Mail mit dem Betreff „Mahnung“ von einem Dienstleister, den Sie kennen, aber keine Zahlung offen haben, könnte dies ein Hinweis für eine Spam-Mail sein. Auch schlecht formulierte E-Mails sind ein klarer Hinweis auf Spam-Mails. Daher ist es wichtig, dass Sie jede E-Mail hinterfragen: Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang kein stimmiges Bild, sollten Sie die E-Mail noch vor dem Öffnen löschen. Selbst der kleinste Zweifel sollte Anlass sein, diese E-Mail nicht zu öffnen. Alternativ besteht auch die Möglichkeit, persönlich beim Absender nachzufragen oder einen Experten über die E-Mail schauen zu lassen. Im Unternehmen könnte dazu die IT-Abteilung oder der IT-Dienstleister kontaktiert werden. Dazu werden u. a. die Meta-Daten der E-Mail überprüft, in der klar hervorgeht, woher die E-Mail wirklich kommt.

Spam-Mail angeklickt, was nun?

Manchmal kommt es dann doch vor, dass Sie auf eine sehr gut gestaltete Spam-Mail reinfallen und diese anklicken bzw. auf einen in der Spam-Mail enthaltenen Link oder sogar einen Anhang. Dann ist Vorsicht geboten. Wie Sie damit umgehen, habe ich in einem weiteren Beitrag in diesem Blog beschrieben.

Sichere Videokonferenzsysteme

Videokonferenz

Videokonferenzsysteme haben sich in den letzten Jahren im Bereich Funktionsumfang und Komfort sehr weiterentwickelt. Gerade in der aktuellen COVID-19-Krise ist die Nachfrage nach Videokonferenzsysteme stark gestiegen und ist für viele Firmen ein wichtiges Werkzeug für den täglichen Arbeitsablauf. Eine Konferenz per Web-Anwendung mit Sprache und Video in Verbindung mit Chat und dem Teilen von Desktops und Anwendungen bis hin zur gemeinsamen Bearbeitung von Dokumenten mit einer einzigen Plattform ist mittlerweile problemlos möglich und ersetzt in manchen Bereichen komplett die klassische Telefonkonferenz und E-Mail-Kommunikation. Ein solches Videokonferenzsystem kann betriebssystemübergreifend eingesetzt werden egal ob Windows-PC, iMac von Apple oder das Handy (iPhone oder Android).

Kurzum, es gibt offensichtlich nur Vorteile, solch ein System einzusetzen. Das allerdings nur die halbe Wahrheit, denn die Nutzung vieler Videokonferenzsysteme ist möglicherweise datenschutzrechtlich problematisch. Das Beispiel der Negativ-Schlagzeilen des beliebten US-Amerikanischen Anbieters Zoom Video Communications zeigt, dass in der Praxis noch große Unsicherheit im Umgang mit der Datenschutzgrundverordnung (DSGVO) herrscht beim Einsatz sicherer Videokonferenzsysteme. Dabei bieten die für den Datenschutz verantwortlichen Behörden aktuell keine große Unterstützung und stellen nur sehr allgemein formulierte Hinweise und FAQs wie z. B. der Hamburgische Datenschutzbeauftragte zur Verfügung.

Datenschutzrelevante Anforderungen

Die DSGVO beschreibt den Datenschutz für technische Einrichtungen u. a. in Art. 25. Daher sollten folgende datenschutzrelevanten Anforderungen bei der Auswahl des Videokonferenzsystems beachtet werden:

  • EU-Anbieter immer vorziehen, nur diese Anbieter unterliegen der DSGVO-Anforderungen
  • Verschlüsselte Verbindung der Kommunikation
  • Bildschirmübertragung müssen eine Zustimmung voraussetzen
  • Gesprächsverläufe und Aufzeichnungen sollten nach Gesprächsende gelöscht werden können bzw. sicher abgelegt werden
  • Geschäftliche Nutzung muss verfügbar sein, da hierfür auch andere Datenschutzregeln seitens des Anbieters gelten als bei privater Nutzung
  • Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter
  • Angaben zu den technischen und organisatorischen Maßnahmen des Anbieters müssen zur Verfügung gestellt werden

BSI veröffentlicht Kompendium für Videokonferenzsysteme

Eine sehr gute Unterstützung bei der Einführung eines Videokonferenzsystems bietet das aktuell vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Kompendium für Videokonferenzsysteme. Es richtet sich an Entscheider, Planer, Beschaffer, Betreiber, Administratoren, Auditoren und auch Endnutzer, die über die Videokonferenzlösung Inhalte bzw. Informationen mit normalem und erhöhtem Schutzbedarf austauschen wollen. Dabei orientiert sich die Vorgehensweise und Struktur des Kompendiums am BSI IT-Grundschutz-Kompendium.

Das Kompendium für Videokonferenzsysteme soll bei der Absicherung aktueller Videokonferenzlösungen über den gesamten Lebenszyklus von der Planung bis zum Rückbau unterstützen und berücksichtigt dabei insbesondere auch Bereiche mit erhöhtem Schutzbedarf. In 9 Kapiteln werden Themen beschrieben, wie die Betrachtung zum Funktionsumfang, der technische Aufbau moderner Videokonferenzsysteme, operative Aspekte (Planung, Nutzung und Betrieb) sowie die Analyse der Gefährdungslage, Sicherheitsanforderungen und Umsetzungsempfehlungen. Weiterhin werden im letzten Kapitel Hilfsmittel zur Beschaffung einer Videokonferenzlösung bereitgestellt, die Auswahlkriterien und ein Beispiel für ein Leistungsverzeichnis liefern.

Update März 2021: Microsoft Teams, WebEx, Zoom und Co. lassen keine DSGVO-konforme Nutzung zu

Der Berliner Datenschutzbeauftragte hat am 18.02.2021 die gängigen Videokonferenzsysteme unter die Lupe genommen und entsprechende Hinweise veröffentlicht. Die Bewertung bezieht sich auf Software-as-a-Service (SaaS) Dienste. Dabei sind die großen Anbieter wie Microsoft Teams, WebEx und Zoom für die rechtskonforme Nutzung nicht zu empfehlen.

Telegram als Alternative zu WhatsApp?

WhatsApp ist zwar der bekannteste Messanger weltweit, aber viele Nutzer sind unzufrieden mit dem Datenschutz und der Sicherheit. Eine tolle Alternative scheint der Messanger von Telegram zu sein. Über 500 Mio. Downloads stehen im Android Playstore zu Buche. Das zeigt mittlerweile eine ähnliche Beliebtheit wie WhatsApp. Wer nun aber meint, hier besser aufgehoben zu sein, dem möchte ich ein paar wichtige Informationen geben.

WhatsApp und Telegram

Telegram in Bezug auf Privatsphäre unbrauchbar

Bei Telegram sind die Chats standardmäßig nicht Ende-zu-Ende-verschlüsselt. Das findet erst statt, wenn der Nutzer das explizit einstellt und die sogenannten geheimen Chats benutzt. Reguläre Chats sind zwar dennoch verschlüsselt, werden aber auf den Telegram-Servern gespeichert, wodurch theoretisch ein Dritter Zugriff auf die Daten hat. Weiterhin ist das Verschlüsselungsprotokoll bei Telegram ein proprietäres Protokoll, wodurch es keine Veröffentlichung des Quellcodes gibt. WhatsApp nutzt dagegen den quelloffenen Algorithmus von Signal zur Ende-zu-Ende-Verschlüsselung. Weiterhin ist zwar die Client-Software auf dem Mobilgerät quelloffen aber nicht die Serversoftware. Dadurch können unabhängige Sicherheitsexperten keine Bugs oder Sicherheitslücken aufdecken. Auch der Standort der Telegram-Server ist nicht bekannt und damit auch nicht die dort geltenden Datenschutzgesetze. Also ist Telegram eigentlich gar keine Alternative zu WhatsApp. Im Gegenteil, WhatsApp macht es sogar besser. Das hat nur den Nachteil, das es zu Facebook gehört und Stück für Stück in das Imperium integriert wird.

Als sichere Alternative mit guter Verschlüsselung empfehle ich ganz klar den Signal-Messenger. Dieser ist im Gegensatz zu Telegram komplett quelloffen. Zudem wurde Signal von Krypto-Experten entwickelt, für die Datenschutz und Sicherheit wichtig sind und nicht der Profit durch exessives Datensammeln. Weiterhin wird die Infrastruktur von einer gemeinnützigen Stiftung betrieben, die sich dem Datenschutz verschrieben hat.

Also wechselt bitte nicht von einem Datenschutz-Alptraum in den Nächsten und nutzt stattdessen den Signal-Messanger! Nur dann sind Eure Daten sicher und werden nicht zweckentfremdet.

E-Mail-Verschlüsselung leicht gemacht mit EasyGPG

cyber-securityE-Mail-Verschlüsselung ist ein wichtiger Baustein für die Vertraulichkeit, Integrität und Authentizität bei der Kommunikation via E-Mail. Aber nur die sogenannte Ende-zu-Ende-Verschlüsselung (E2E-Verschlüsselung) kann das gewährleisten. Übliche E-Mail-Programme bringen diese Funktion in der Regel nicht automatisch mit. Wenn Sie Ihre E-Mails verschlüsseln möchten, können Sie Ihr E-Mailprogramm wie z. B. Outlook oder Mozilla Thunderbird aber mit wenig Aufwand aufrüsten. Eine Teil-Verschlüsselung erfolgt allerdings schon während des Transports der E-Mail zum Empfänger.

Transportverschlüsselung nicht ausreichend

Mittlerweile Standard ist die sog. Transportverschlüsselung, in der die E-Mailprovider zwischen den Knotenpunkten des Nachrichtenweges die Verbindungen verschlüsseln. Allerdings werden die E-Mails auf den Servern der Provider unverschlüsselt zwischengespeichert. Und damit sind die E-Mails lesbar und können gelesen und manipuliert werden.

Nichtdestotrotz ist eine Transporverschlüsselung wichtig und sollte mit dem Verschlüsselungsprotokoll TLS mindestens in der Version 1.2 erfolgen. Welche Transporverschlüsselung zur Verfügung steht, können Sie bei Ihrem E-Mailprovider erfragen.

E-Mail-Verschlüsselung mit EasyGPG

Ein Verfahren zur E-Mail-Veschlüsselung ist das OpenPGP, bei dem es ein Schlüsselpaar gibt, mit dem Sender und Empfänger die E-Mail ver- und entschlüsseln. Dieses Verfahren wird auch asymmetrisches Verfahren genannt, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden. Verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers über den auch dessen Signatur geprüft werden kann. Mit dem zweiten sog. privaten und geheimen Schlüssel, den nur der Empfänger besitzt und durch ein Passwort geschützt ist, entschlüsselt dieser die erhaltene E-Mail.

Der Austausch der öffentlichen Schlüssel ließ sich bisher in der Praxis nicht so einfach realisieren und ein einheitlicher Übertragungstandard existiert auch nicht. Mit dem Verschlüsselungsverfahren „EasyGPG“ hat das BSI den Vorgang des öffentlichen Schlüsseltausches vereinfacht und eine Möglichkeit geschaffen, diesen direkt über den E-Mail-Anbieter wie z. B. posteo.de oder  mailbox.org automatisiert versenden zu lassen. Natürlich lässt sich “EasyGPG” auch in gängigen E-Mailprogrammen wie bei Thunderbird mit Enigmail und bei Microsoft Outlook mit dem freien Plugin Gpg4win integrieren. Weitere Informationen zum “EasyGPG” finden Sie auf der BSI-Webseite sehr anschaulich erklärt.

Alternative S/MIME

Das S/MIME (Secure/Multipurpose Internet Mail Extensions) Protokoll ist eine Alternative zum “EasyGPG” und funktioniert ähnlich wie das o. g. Verfahren mit einem Schlüsselpaar. Diese Funktion wird ebenfalls auch von gängigen E-Mailprogrammen unterstützt. Allerdings werden die benötigten Schlüsselpaare dabei üblicherweise nicht von den Nutzern selbst erzeugt und verteilt, sondern von Organisationen oder Firmen und sind zumeist kostenpflichtig. Daher eignet sich S/MIME vor allem für Unternehmen oder Behörden und weniger für den privaten Gebrauch.

Mozilla’s Firefox Monitor prüft und informiert über gestohlene Daten

Firefox Monitor prüft und informiert über gestohlene Daten

Mozilla´s neuer in Zusammenarbeit mit Troy Hunt’s “Have I Been Pwned” vorgestellter Dienst namens Firefox Monitor prüft, ob persönliche Daten wie eine E-Mail-Adresse zum Beispiel nach einem Hack im Internet veröffentlicht wurde.

Über die Webseite https://monitor.firefox.com gelangt Ihr auf direktem Wege zum neuen Tool und könnt mit der Prüfung beginnen. Im oberen Bereich der Website könnt Ihr Eure E-Mailadresse eingeben und mit einem Klick auf den “Scan” prüfen, ob diese E-Mail-Adresse zusammen mit anderen persönlichen Daten durch Hacks oder Leaks im Internet veröffentlich wurden. Die Prüfung erfolgt gegen die Datenbank der bekannten Webseite von Troy Hunt´s “Have I Been Pwned”.

Weiterhin besteht die Möglichkeit, dass Ihr Euch im unteren Bereich der Webseite registrieren könnt, um bei zukünftigen möglichen Kompromittierungen Eurer E-Mailadresse benachrichtigt zu werden.

Mehr Informationen auf “Have I Been Pwned”

Firefox Monitor liefert zwar die selben Funktionen wie die Webseite von “Have I Been Pwned”, allerdings liefert die Webseite von Troy Hunt teilweise detaillierte Ergebnisse und Erklärungen. Die Mozilla-Variante listet lediglich die Dienste auf, bei deren Hack oder Leak die E-Mail-Adresse kompromittiert wurde, finden sich auf haveibeenpwned.com auch die zugehörigen Listen, mit denen die E-Mail-Adresse im Internet veröffentlicht wurde sowie Hintergrundinformationen zu den entsprechenden Leaks.

Firefox Monitor nur eines von vielen neuen Features

Firefox Monitor ist nur eines von vielen Features, die Mozilla diesen Herbst veröffentlichen möchte, um das Web für Firefox-Nutzer(innen) noch sicherer zu machen. In der kürzlich von Mozilla vorgestellten Roadmap für einen noch besseren Tracking-Schutz werden Funktionen wie Cross-Site-Tracking blockieren bereitgestellt, die helfen sollen, den persönlichen Datenschutz im Web noch besser durchsetzen zu können.

Probiert den neuen Dienst am besten direkt mal aus und prüft, ob Ihr von einem Hack betroffen seid. Informationen bei Identitätsmissbrauch könnt Ihre in meinem Ratgeber “Hilfe bei Identitätsmissbrauch” finden.

 

Kostenloser Online-Kurs des BSI zum Thema IT-Sicherheit

Das BSI bietet ein frei zugänglichen Online-Kurs zur IT-Sicherheit an, welcher auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1,-2 und -3 basiert.

BSI kstenloser Online-Kurs
Bild: Bundesamt für Sicherheit in der Informationstechnik

Was bietet der Online-Kurs

Der Kurs betrachtet in neun Lektionen die IT-Grundschutz-Vorgehensweise. Damit möchte das BSI besonders neuen Anwendern den Einstieg in die Vorgehensweise des IT-Grundschutzes erleichtern. Am Ende jeder Lektion gibt es entsprechende Testfragen, um den Kenntnisstand zu überprüfen.

Der Online-Kurs steht sowohl Online als auch im PDF-Format zur Verfügung.

BSI_Notfallmanagement
Bild: Bundesamt für Sicherheit in der Informationstechnik

Neben dem Kurs zum IT-Grundschutz hat das BSI auch einen Online-Kurs zum Thema Notfallmanagement veröffentlich. Dieser enthält die wichtigsten Aspekte des Notfallmanagements gemäß BSI-Standard 100-4 und deren Anwendung. Der Schwerpunkt liegt hier auf die Planungsaktivitäten, womit angemessene Notfallvorsorgekonzepte entwickelt werden können.

Den Online-Kurs zum Notfallmanagement sowie die PDF-Version finden Sie hier.

An wen richtet sich der Online-Kurs

Empfehlenswert sind beide Kurse sicher für Anwender aus Wirtschaft und Verwaltung sowie Studierende. Besonders können kleine und mittelgroße Unternehmen den jeweiligen Kurs zur Betrachtung sowie Prüfung der eigenen IT-Sicherheit nutzen.

 

Facebook – So schützt ihr eure Daten

Facebook Daten schützen

Facebook ist aktuell durch den Cambridge Analytica-Fall sehr stark in der Presse vertreten. Dabei geht es vorangig um den Missbrauch von Nutzerdaten der Facebook-Anwender. Das zeigt, wie schnell persönliche Daten in fremde Hände gelangen können. Aus diesem Grund ist es wichtiger denn je, mit seinen Daten sensibel umzugehen und sie zu schützen. Dafür bietet Facebook bereits einige Einstellungen, die zum Schutz eurer Daten kritisch überprüft werden sollten. Es ist möglich, selbst zu steuern, welche Informationen in Facebook preisgegeben werden sollen. Auf Süddeutsche.de gibt es dazu den aktuellen Bericht “So füttert man Facebook mit möglichst wenig Daten“, den ich sehr empfehlen kann.

Social_MediaGrundsätzlich solltet ihr aber folgende Regeln für die Nutzung sozialer Netzwerke einhalten

  1. Datensparsamkeit – überlegt euch gut, wie und welche Informationen ihr veröffentlichen möchtet. Denn das Netz vergisst nichts. Es gibt in den gängigen Netzwerken auch die Möglichkeit, Informationen öffentlich oder nur einem bestimmten Personenkreis zugänglich zu machen.
  2. Arbeitgeberdaten sind tabu – vertrauliche Daten des Arbeitgebers haben in sozialen Netzwerken nichts zu suchen und können schwerwiegende Konsequenzen für euch haben, falls über euren Account Informationen an die Öffentlichkeit gelangen.
  3. Kontaktanfragen prüfen – nicht jede Kontaktanfrage ist von einem Freund oder der Familie. Es können sich auch Kriminelle dahinter verstecken.
  4. Unterschiedliche Passwörter – verwendet für eure Netzwerke und euren weitern Zugängen wie E-Mailpostfach oder Banking unterschiedliche Passwörter, damit bei einem Datendiebstahl dem Kriminellen nicht direkt alle Zugänge frei zur Verfügung stehen.
  5. Phishing – Neben E-Mails als Medium ist das soziale Netzwerk eine wunderbare Plattform für Kriminelle, um Phishing zu betreiben. Dabei werden z. B. in Beiträgen Links zu Phishing-Seiten verbreitet. Dementsprechend sollten Posts und Beiträge immer kritisch geprüft werden.
  6. Kinder aufklären – ein wichtiger Punkt in der Kindererziehung sollte auch das Thema sein, wie sie mit sozialen Netzwerken umgehen und sie auf die Gefahren sensibilisieren. Nur so können eure Kinder sowohl auf die Sicherheit achten als auch Spaß haben.
  7. Account löschen – falls das soziale Netzwerk mal uninteressant wird, solltet ihr immer eure Daten löschen bzw. vom Betreiber löschen lassen. Wenn ihr ein Angehöriger eines Verstorbenen seid, könnt ihr auch an den Betreiber heran treten und mit entsprechendem Nachweis, den Account löschen lassen. Bei Facebook könnt ihr so ein Fall auf dieser Seite melden https://www.facebook.com/help/contact/?id=228813257197480.
  8. gehackten Account melden – wenn das eigene Konto mal  gehackt wurde, solltet ihr zeitnah den Betreiber informieren. Für solche Fälle stehen entsprechende Anlaufseiten zur Verfügung wie z. B. bei Facebook https://www.facebook.com/hacked.
  9. Digitales Erbe klären – klärt rechtzeitig, wie mit eurem digitalem Erbe umgegangen werden soll. Dies kann zu Lebzeiten z. B. in einem Testament schriftlich festgehalten werden. Dabei spielen Fragen eine Rolle wie:
    • Was soll gelöscht, was soll erhalten bleiben?
    • Was soll mit meinen Daten geschehen?
    • Wer soll auf den Computer Zugriff bekommen?
    • Wer soll meinen Nachlass verwalten bzw. ist Bevollmächtigter?