DATA BREACH
Erkennen – Verhindern!

Das Abschließen der Haustüre, das Verriegeln des Autos und ein Sperrcode am Smartphone, sind für uns selbstverständlich. Niemand soll ungefragt in unseren privaten Bereich eindringen und Einblick in unsere persönlichen Angelegenheiten bekommen.

Bei Datendiebstahl, im Englischen Data Breach, nehmen wir die Gefahr oft nicht so ernst. Fehlende Sensibilisierung und Unachtsamkeit sind Grund dafür, dass Sie ein leichtes Opfer von Datendiebstahl werden können. Wie Sie Phishing-Mails und Fake-Gewinnspiele entlarven und sensible Daten schützen, erfahren Sie im Beitrag.

Sie sind gerade am Arbeiten oder surfen privat im Internet. Sie öffnen Ihren E-Mail-Ordner und checken die neuen Nachrichten. Plötzlich eine Mail von einem Ihnen unbekannten Absender. Der Inhalt kommt Ihnen schon etwas eigenartig vor, des Weiteren werden Sie darauf aufmerksam gemacht, dass eines Ihrer Internetkonten gesperrt wurde und Sie folgenden Link klicken müssen, um sich mit Ihren Zugangsdaten neu anzumelden. STOP!

Sie sind gerade Opfer eines versuchten Datendiebstahls durch ein Phishing-Mail geworden.

Mit folgenden Tipps erkennen Sie in Zukunft, wann Sie jemand hinters Licht führen möchte.

Alle Tipps und Informationen können und sollten Sie an Ihren Arbeitsplatz aber auch in Ihrem Privatleben anwenden, um nicht Opfer von Datendiebstahl zu werden.

Das Wichtigste in Kürze

  • Datendiebstahl/ Datenklau/ Data Breach (Datenpanne)

Unter Datendiebstahl versteht man das kriminelle Handeln mit illegalen Methoden, indem geheime bzw. sensible Daten von Unternehmen oder Privatpersonen gestohlen werden.

  • Datenklau im Unternehmen

Täter nutzen den Weg über E-Mails, um an sensible Daten und Informationen zu kommen. Mit sogenannten Phishing-Mails, die oft täuschend echt wirken, werden Sie aufgefordert auf einen Link zu klicken oder Daten freizugeben.

  • Datenklau außerhalb des Unternehmens

Nicht nur online warten die Diebe, auch an öffentlichen Orten sind Sie vor Datendiebstahl nicht sicher. Täter nutzen Unachtsamkeit aus, um kriminelle Aktivitäten durchzuführen oder bringen Sie durch Social Engineering dazu, Informationen von selbst auszuplaudern.

 Bildbeschreibung: Schützen Sie Ihre Passwörter und Zugangsdaten (Bildquelle: Towfiqu barbhuiya, Unsplash).

Die Gefahr im Posteingang

Jeder Mitarbeiter ist in diesem Fall ein potenzielles Angriffsziel. Nur ein Kick auf den Link im täuschend echten E-Mail und der digitale Angriff nimmt seinen Lauf. Bei einem Hack kann der Zugang zu wichtigen Daten und Informationen freigeschalten werden. Datenmissbrauch könnte eine der Folgen sein, oder es wird eine Malware auf der Webseite abgelegt, welche sich verbreitet und IT-Systeme lahmlegt oder blockiert.

Phishing-Mail

Oft erkennt man nicht auf den 1. Blick, dass es sich um eine Phishing-Mail handelt. Einige Punkte gibt es jedoch, die Sie erkennen lassen, dass hier etwas nicht stimmt:

  • Fehlerhaftes Deutsch, Zeichensatzfehler oder fehlende Umlaute:

Dies passiert, weil viele Texte nicht in der deutschen Sprache verfasst wurden und durch einen Übersetzungsdienst übersetzt wurden.

  • Fehlender Name in der Anschrift:

Sind Sie in Ihrem Unternehmen nicht der Erste Ansprechpartner, bekommen Sie wahrscheinlich E-Mails, in denen Sie nicht persönlich angeschrieben werden. Bei Phishing-Mails steht oft: Sehr geehrter Kunde/Sehr geehrter Nutzer. In einigen Fällen kann es jedoch passieren, dass die Täter Ihren Namen bereits herausgefunden haben.

  • Handeln Sie schnell, SONST…:

In Phishing-Mails werden Sie oft angehalten, möglichst schnell zu handeln. Oft begleitet diese Aufforderung zum Handeln auch eine Drohung. Solch eine Handlung könnte sein, die Eingabe von Daten wie PIN oder Passwörter, aber auch das Öffnen einer angehängten Datei oder eines beigefügten Links. Lassen Sie sich nicht von Drohungen wie Kontosperrungen oder Inkassounternehmen-Beauftragungen verunsichern!

  • Links und beigefügte Anhänge:

Sie wurden in der bereits geöffneten Mail aufgefordert, einen Link zu klicken oder einen Anhang zu öffnen? Tun Sie dies nicht! Durch das Anklicken könnte im selben Moment ein Virus auf Ihrem Rechner installiert werden.

  • E-Mail und Header checken!

Sehr gute Phishing-Mails können bereits täuschend echt sein. Eine grammatikalisch richtige Sprache, ein vertrauenswürdiger Absender und keine Drohungen oder schneller Handlungsbedarf wird gefordert? Es gibt noch ein Detail, dass Aufschluss darüber gibt, ob es sich um eine Phishing-Mail handelt.

Aus dem Header kann man Informationen über den Absender, wie die IP-Adresse, auslesen. Wenn der Mailserver nicht mit der E-Mail-Adresse übereinstimmt, können Sie davon ausgehen, dass es sich um eine Phishing-Mail handelt.

Bildbeschreibung: Hacker versuchen an sensible Daten und Informationen zu kommen (Bildquelle: Jefferson Santon, Unsplash).

Tricks außerhalb des Office

Datendiebe werden nicht nur online immer einfallsreicher, sondern auch im realen Leben immer einfallsreicher. Nicht nur über Ihren Computer versuchen Kriminelle an Daten zu kommen, auch außerhalb Ihres Büros müssen Sie vorsichtig mit Informationen aus Ihren Unternehmen umgehen. Vor allem in Zeiten, in denen es nicht mehr notwendig ist im Büro zu sitzen, sondern man auch die Möglichkeit hat im Park oder von in einem Café aus zu arbeiten. Dort könnte der eine oder andere Datenfänger lauern.

Shoulder Surfing

Beim Shoulder Surfing werden Sie und Ihre Arbeit beobachtet. Das Shoulder Surfing ist eine Beobachtungstechnik, die angewendet wird, um bestimmte Informationen oder Daten zu erhalten. Wie im Deutschen übersetzt, wird dem Opfer über die Schulter geschaut. Diese Methode wird vor allem an öffentlichen Orten, wie zum Beispiel in einem Café, angewendet. Ob Sie dabei an Ihrem Laptop sitzen und sich anmelden (Passwort), am Geldautomat stehen (PIN) oder gerade etwas online mit einer Kreditkarte bestellen (KK-Infos).

Lassen Sie sich nicht von Ihrer Umgebung täuschen, Täter verwenden in speziellen Fällen sogar Ferngläser, um an die gewünschten Informationen zu kommen.

Journalistenanfragen

Echter Journalist oder nicht? Hier gilt es, ein paar Dinge immer zu beachten.

Bekommen Sie einen Anruf oder werden direkt bei einem Event über anstehende Projekte oder andere firmeninterne Informationen angesprochen, seien Sie vorsichtig. Auch wenn sich die Person als interessierter Journalist ausgibt, um einen tollen Artikel über Ihr Unternehmen zu schreiben, kann dieser böse Absichten haben. Bei Anfragen direkt über das Telefon oder persönlich, nehmen Sie die Kontaktdaten des Journalisten auf und sagen Sie: „Ich werde dies mit meinem Vorgesetzten besprechen und melde mich dann bei Ihnen.“ Wenn die Person auf Informationen drängt oder sagt, sie hätte keine Zeit mehr, können Sie davon ausgehen, dass dieser kein (seriöser) Journalist war.

Werbegeschenke wie USB-Sticks

Jeder freut sich über Werbegeschenke, vor allem über jene, die einem im Alltag nützlich sein können. Wie zum Beispiel über USB-Sticks, doch genau hier lauert die Gefahr. Gutgläubigkeit und fehlende Sensibilisierung werden besonders ausgenutzt. Geschenkte USB-Sticks können mit Trojanern mit Fernsteuerung versehen sein. Sobald Sie diesen in Ihr Gerät stecken, können Kriminelle die Kontrolle über Ihr Gerät übernehmen.

 

Wenn kein krimineller Gedanke im Hintergrund steckt, sollten Sie trotzdem bei unbekannten USB-Sticks Acht geben. Wurde der Stick in einem mit Schadsoftware geschädigten Computer gesteckt, kann dieser auch Ihr Gerät anstecken.

Bei gefunden USB-Sticks gilt, seien Sie in diesem Fall nicht so neugierig.

Weitere Tipps:

  • Benutzen Sie einen Bildschirmschutz, um nicht gewollte Einblicke in Ihr Gerät zu vermeiden.
  • Hinterlassen Sie Ihren Arbeitsplatz (egal wo Sie gerade arbeiten, Büro/Café etc.) immer so, dass andere keinen Einblick bekommen können
  • Führen Sie wichtige Gespräche nicht in Anwesenheit von Firmenfremden Personen.
  • Lassen Sie sich nicht in Gespräche verwickeln, in denen nach Firmengeheimnissen wie zum Beispiel anstehende Projekte oder Investitionen gesprochen wird.
  • Verwahren Sie Ihre Passwörter (wenn Sie diese in schriftlicher Form festhalten) sicher bei sich und lassen Sie Ihre Notizen nie unbeaufsichtigt.
  • Wenn Sie für sensible Daten Datenträger wie USB-Sticks verwenden, sollten Sie darauf achten, diesen nicht zu verlieren oder aus den Augen zu lassen.
  • Wenn Sie an öffentlichen Orten arbeiten, nutzen Sie unbedingt eine VPN-Verbindung. Hacker können durch öffentliche Wi-Fi-Netzwerke Informationen abfangen
  • Führen Sie regelmäßige Updates und tägliche BackupsBackupsEin Backup bezeichnet die Datensicherung. Darunter wird verstanden, dass eine Sicherungskopie der abgespeicherten Daten erstellt wird. More durch.
  • Verwenden Sie die 2-Faktor-Authentifizierung – mehr dazu HIER

Phishing bei Gewinnspielen

Mit verlockenden Gewinnspielen, in denen eine hohe Summe an Gutscheinen oder hochpreisige Waren, wie Autos, Küchen oder sogar Häuser verlost werden, versuchen Betrüger an Ihre Daten zu kommen.

Vertrauen und Unachtsamkeit der Thematik gegenüber, veranlassen viele Menschen auf sogenannte Fake-Gewinnspiele reinzufallen.

Ob auf Social Media Plattformen wie Facebook oder Instagram, in Ihren E-Mail-Ordner oder auf WhatsApp – in jeder Form schleichen sich diese Gewinnspiele auf Ihren Bildschirm.

Bekannte Unternehmen werden (illegal) dafür genutzt, um das Vertrauen der Opfer zu erschleichen. Nachgebaute Layouts und Logos machen das Fake-Gewinnspiel optisch täuschend echt. Meist werden Sie dazu aufgerufen auf einen Link zu klicken oder private Daten einzugeben, womit Sie bereits den Zugang zu Ihren persönlichen Daten gewähren.

Die Absicht dahinter ist, Daten zu klauen (Weiterverkauf) oder die Installation von Malware (Schadprogramme).

Um auf solche Gewinnspiele nicht reinzufallen, gibt es einige Dinge, die Sie beachten sollten.

Finden Sie Gewinnspiele auf Facebook oder Instagram, sehen Sie sich die Seite genau an.

  • Wie viele Follower hat die Seite?
  • Gibt es ein vollständiges Impressum?
  • Seit wann besteht die Seite?
  • Gibt es eine vertrauenswürdige DomainDomainEine Domain ist eine Internetadresse, die auf eine bestimmte IP-Adresse verweist. z.B. logmedia.at More ?
  • Teilen als Gewinn-Voraussetzung ist bei Facebook nicht erlaubt!
  • Verifizierung des Kontos

Stoßen Sie auf ein Gewinnspiel, an dem Sie unbedingt teilnehmen möchten, checken Sie vorher diese Punkte und machen Sie sich im Internet schlau. Beispielsweise die Webseite mimikama.at veröffentlicht meist zeitnah aktuelle Fake-Gewinnspiele.

Dafür werden geklaute Daten genutzt:

  • Datenverkauf

Hacker verkaufen Ihre Daten an Kriminelle weiter. Die Käufer Ihrer Daten werden diese höchst wahrscheinlich nutzen, um sie für illegale Zwecke zu verwenden.

  • Identitätsdiebstahl

Betrüger nutzen Ihre Identität (also Ihre Daten), um Straftaten zu begehen. Zum Beispiel: Kreditaufnahme, Abschluss von Leasingverträgen, oder illegaler Online-Handel.

  • Passwortdiebstahl

Mit Ihren Passwörtern oder PIN-Codes, haben Kriminelle freie Fahrt, um mit Ihrem Geld zu machen, was auch immer sie wollen. Bevor Sie etwas ahnen, ist ihr Konto bereits leergeräumt oder Sie haben bereits Schulden – falls Sie dies überhaupt rechtzeitig bemerken und zu diesem Zeitpunkt noch auf Ihr Konto zugreifen können.

  • Erpressung

Erpressung, ein altbewährtes aber lukratives Geschäft für Betrüger. Mit Ransomware werden Dateien oder ein Rechner verschlüsselt. Die Täter verlangen zur Freischaltung Lösegeld. Überweisen Sie das Geld und haben Glück, bekommen Sie einen Entschlüsselungscode. Es können aber auch von Ihnen persönliche Daten/Bilder/Informationen gesammelt werden und Sie werden mit der Veröffentlichung dieser erpresst.

  • Zugang ins Unternehmensnetzwerk

Mit oben genannten Phishing-Mails können sich Kriminelle Zugang zum internen Unternehmensnetzwerk verschaffen. Damit haben sie dann möglicherweise Zugang zu sensiblen Daten oder Konten, um diese für illegale Zwecke auszuspionieren oder mit einer Malware zu infizieren.

Fazit

Datendiebstahl ist allgegenwärtig, jeder kann zum Opfer werden. Ein Klick auf den falschen Link reicht aus, um in die Falle zu treten. Deshalb ist es wichtig, auf bestimmte Warnsignale zu achten und sich ständig auf dem Laufenden zu halten.

Verfolgen Sie aktuelle Trends von Data-Breach und Warnungen von Verbraucherzentralen und achten Sie mit unseren Tipps auf wichtige Aspekte, um sich zu schützen.

Nicht nur im privaten Umfeld, auch im Beruf, ist es unverzichtbar sich über Datendiebstahl schlau zu machen, um diesen zu vermeiden.

Haben Sie eine eigene Website oder einen Onlineshop? Dann sehen Sie sich unbedingt die aktuellen Managed System Security-Produkte von LOGMEDIA an.

Lassen Sie sich gerne von unseren Experten persönlich und individuell beraten, oder besuchen Sie unsere Webseite, um weitere Informationen über Security-Produkte zu erhalten. Für einen sicheren Online-Auftritt.

Quellen und weiterführende Links

Nightshift

Basisstationen


LOGMEDIA GmbH
Trattengasse 32
9500 Villach, Austria

Tuchlauben 7a
1010 Wien, Austria

office@logmedia.at
+43 50 977