Datenschutzgrundverordnung für Dummies - Christian Szidzek

Скачать книгу

      Auch das Phishing fällt unter die Kategorie Hackerangriff. Hier wird auf Ihrem System ebenfalls eine Schadsoftware installiert, indem Sie einen infizierten Link öffnen und sich dann auf dem täuschend echt nachgebauten angeblichen Internetportal Ihres Social-Media-Anbieters oder Ihres Online-Zahlungsdiensteanbieters wiederfinden. Dort werden Sie dann aufgefordert, sich einzuloggen und bestimmte Aktionen durchzuführen. Bei Eingabe Ihrer Zugangsdaten schreibt das Schadprogramm diese mit und übermittelt sie an den Hacker. Dieser kann die Zugangsdaten dann benutzen, um über Ihren echten Onlinebanking-Account Ihr Bankkonto zu plündern oder peinliche Gegenstände im Internet unter Ihrem Namen zu erwerben.

      Social Engineering

      Es geht aber noch viel einfacher, fremde Systeme zu infiltrieren, als sich mühsam in IT-Systeme einzuhacken. Das Einhacken in Menschen ist meist viel effizienter. Das Ausnutzen menschlicher Schwäche bezeichnet man als Social Engineering.

      Ein fataler Fall des Social Engineerings in der Version des sogenannten CEO-Fraud in jüngerer Zeit in Deutschland verlief so, dass Angreifer den Urlaub eines Geschäftsführers abwarteten, um dann dem leitenden Buchhalter am Telefon gegenüber aufzutreten als der Geschäftsführer selbst, der sich aus dem Urlaub heraus meldete. Trotz langjähriger Tätigkeit in dem Unternehmen bemerkte der Buchhalter nicht, dass tatsächlich eine andere Person am Telefon war als sein Geschäftsführer. Es ginge um den Kauf von Firmenanteilen an Konkurrenzunternehmen in zweistelliger Millionenhöhe, so der vermeintliche Geschäftsführer. Der arme Buchhalter wurde davon überzeugt, dass nur er selbst eingeweiht werde in das Vorhaben, da er als langjähriger Mitarbeiter das höchste Vertrauen des Geschäftsführers genieße. Das derart entgegengebrachte Vertrauen schmeichelte dem Angestellten offensichtlich derart, dass er nach einigem Hin und Her seine Bedenken über Bord warf und einen zweistelligen Millionenbetrag auf ein Konto bei der Alpha-Centauri-Bank (Name geändert) auf Sirius (Name geändert) überwies. Genaugenommen waren es rund 30 Millionen Euro. Das Geld ist bis heute weg.

      In einem weiteren Fall schaltete sich ein angeblicher Mitarbeiter eines Unternehmens, das die IT-Systeme der Hausbank einer in Europa ansässigen Hotelkette umstellen sollte, ein in die Korrespondenz zwischen Hotelbetreiber und der Hausbank. Um angeblich die erfolgreiche Umstellung des Systems zu testen, sollte die Hotelkette eine Reihe von Testüberweisungen tätigen. Der gutgläubige Buchhalter überwies in mehreren Tranchen insgesamt rund 500.000 Euro. Im anschließenden Gerichtsprozess konnte nur noch festgestellt werden, dass das Geld irgendwo in Osteuropa versackt und abgehoben worden war.

      Im Kleinen findet Social Engineering nahezu täglich auf die eine oder andere Weise statt. Oft verbirgt sich dahinter noch nicht einmal kriminelle Energie. Eltern wollen vom langjährigen Hausarzt wissen, wie es um den Gesundheitszustand erwachsener Kinder steht, oder Eheleute sorgen sich bei der Bank um die familiäre Vermögenslage und wollen in Erfahrung bringen, ob der Partner erneut ohne Rücksprache existenzgefährdende Kredite aufgenommen hat und Ähnliches. Gerade Ärzte, die noch dazu einer Schweigepflicht unterliegen, befinden sich hier oft in einem fast ausweglosen Dilemma zwischen rechtlichen Vorgaben und dem Bemühen, ihren Patienten und deren Familien zu helfen.

      Passwortausspähung

      Wichtige Informationen sind regelmäßig über Passwörter geschützt. Das soll sicherstellen, dass nur solche Personen auf die geschützten Daten zugreifen können, die dazu besonders autorisiert sind. Leider werden Passwörter aber immer wieder von Hackern ausgespäht oder mit anderen Worten geknackt. Es gibt Verhaltensweisen, die dies begünstigen. Dazu zählt der oft laxe Umgang mit Passwörtern, aber oft auch einfach nur die Auswahl schwacher Passwörter.

      Laxer Umgang mit Passwörtern

      Der laxe Umgang mit Passwörtern stellt für die Datensicherheit eine große Gefahr dar. Immer wieder neigen Mitarbeiter dazu, anderen Mitarbeitern ihre Zugangsdaten zu Ihrem E-Mail-Account oder bestimmten Bereichen im betriebseigenen IT-System bekannt zu geben. Der Grund besteht oft in der Erleichterung von Alltagstätigkeiten. Dabei wird gerne übersehen, dass die erfolgte Verwendung dieser Zugangsdaten vor Gericht ein klares Beweisanzeichen dafür ist, dass die Zugangsdaten von dem Berechtigten selbst und nicht von Dritten verwendet wurden. Die damit einhergehende Beweislastumkehr führt dazu, dass der Berechtigte, dessen Zugangsdaten missbraucht wurden, beweisen muss, dass nicht er das System kompromittiert hat, sondern ein anderer. Das ist in vielen Fällen technisch kaum möglich. Auch das langjährige Vertrauen in Ihre Kollegen sollte Sie nicht dazu verleiten, diesen Ihre Authentifizierungsdaten oder Passwörter anzuvertrauen. Es gibt Fälle, in denen Ihre Kollegen selbst vielleicht gar kein Interesse haben, die Daten zu missbrauchen. Was aber, wenn sie von krimineller Seite unter Druck gesetzt werden? Auch kleine, auf Bildschirmen aufgeklebte Post-it-Zettelchen mit Passwörtern oder Bankkarten, auf denen das Passwort aufgeschrieben ist, sind immer wieder zu beobachten und machen die besten IT-Sicherheitseinstellungen zunichte.

      Schwache Passwörter

      Aber auch schwache Passwörter sind ein Einfallstor für Angriffe von außen. Stark sind Passwörter dann, wenn sie aus

       mindestens acht Zeichen bestehen,

       Groß- und Kleinschreibung beinhalten und

       Zahlen und Sonderzeichen verwenden.

      Das ist an sich ganz einfach, wird aber oft aus bloßer Unbedarftheit – böse Zungen würden von Faulheit sprechen – nicht eingehalten. Am besten ist es deshalb, Systeme zu verwenden, die bereits bei der Vergabe von Passwörtern durch die Benutzer automatisch eine Prüfung der Passwortstärke vornehmen und schwache Passwörter von vorneherein nicht akzeptieren. Schwierigkeiten bereitet es aber auch oft, angesichts der Vielzahl von Passwörtern, die nahezu überall zu vergeben sind, einen Überblick über diese zu behalten. Das kann dann dazu führen, dass immer wieder dieselben Variationen von Ausgangspasswörtern verwendet werden. Schlimmstenfalls kommt dasselbe Passwort gleich bei verschiedenen Accounts zum Einsatz. Wer dieses Passwort kennt, kann in kurzer Zeit sämtliche Accounts knacken.

Die Stärke Ihrer Passwörter können Sie auf verschiedenen Internetseiten überprüfen. Geben Sie dort doch einmal das Passwort: Meier1109 – eine beliebte Kombination aus Name und Geburtsdatum – ein, und Sie werden feststellen, dass es nicht länger als eine Sekunde dauert, dieses Passwort zu entschlüsseln. Wie aber komplizierte Passwörter merken? Es gibt einen einfachen Trick: Merken Sie sich einen Satz und verwenden Sie als Passwort die jeweiligen Anfangsbuchstaben der Wörter, wie zum Beispiel Oma pflückt im Wald 20 Erdbeeren! Das Passwort wäre dann OpiW20E! Lassen Sie nun dieses Passwort ebenfalls durch den Check laufen, und Sie werden sehen, dass der Rechenvorgang jetzt anstelle einer Sekunde einen Monat dauert, um das Passwort zu knacken. Um wie viele Male dies länger ist als eine Sekunde, dürfen Sie selbst ausrechnen. Fügen Sie noch weitere Stellen dazu, sitzt Ihr Hacker einige Jährchen vor seinem Rechner. Wenn Sie Ihr Passwort nun in regelmäßigen Abständen immer wieder ändern, sind Sie auf der sicheren Seite. Vermeiden Sie es unbedingt, Eigennamen oder Begriffe in einem Passwort zu verwenden. Dann muss nicht mehr gerechnet werden. Es bedarf dann lediglich eines automatisierten Abgleichs gegen Wörterbücher, und das geht sehr schnell.

      Einsparungen

      Auch Einsparungen an der falschen Stelle machen Angreifern das Leben leicht. Je sensibler Ihre Daten sind, desto härtere Maßnahmen zur Gewährleistung der Datensicherheit sollten Sie ergreifen. Oft beharren Unternehmen aber leider auf völlig veralteten IT-Strukturen. Das mag nostalgische Gründe haben oder ist Ausfluss eines kognitiven Irrtums, nämlich dem Fehlschluss aus

Скачать книгу