Was jeder über IT-Sicherheit wissen sollte
Pressemitteilung der Universität Hamburg, Arbeitsstelle für wissenschaftliche Weiterbil-dung vom 24.06.2015
Schutz vor Hacker- und Insider-Angriffen
Fehlende oder unzureichende Konzepte und Maßnahmen im Bereich der Informationssi-cherheit können zu erheblichen Schäden für die Wirtschaft führen. Das Echo von den Ed-ward Snowden Enthüllungen ist noch nicht verhallt, als im Juni Angriffe auf die IT des Bundestages bekannt werden, bei denen Daten an bislang unbekannte Hacker abgeflos-sen sind. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde bisher auf 14 Rechnern der Trojaner nachgewiesen. Dass auch große Unternehmen nicht gefreit vor diesen Angriffen sind, zeigen z.B. die erfolgreichen Hackerangriffe auf Sony und auf die Kreditkartenunternehmen Visa und Mastercard. Und man muss leider davon ausgehen, dass die Dunkelziffer bei der Cyberkriminalität besonders hoch ist. Zum einen, weil nur ein gewisser Prozentsatz von Hackerangriffen überhaupt erkannt wird, zum anderen weil der Datenklau für die betroffenen Einrichtungen eine peinliche Angelegenheit ist, die möglichst nicht an die Öffentlichkeit gelangen soll.
Allerdings: besser als nachbessern oder gar vertuschen ist die rechtzeitige Vorbeugung. Denn vor Hackerangriffen kann man sich schützen! Es gibt einfache Maßnahmen, um die eigenen Daten und Hardware zu schützen.
Einfache Tipps zum Schutz vor Cyber-Kriminalität
von Dr. Matthias Bonnesen, Universität Hamburg
- Updates: Neben Lücken in Software ist auch der Mensch selbst häufig Ursache für die Entwendung von vertraulichen Daten. Als wichtigste Maßnahme, um sich vor solchen Angriffen zu schützen sollten Benutzer von IT-Systemen regelmäßig alle notwendigen Sicherheitsupdates einspielen und einen stets aktualisierten Viren-scanner installiert haben.
- Unbekannter E-Mail-Absender: E-Mails von unbekannten Absendern sollte gene-rell misstraut werden.
- Gefälschter Absender: bei gezielten Angriffen auf Personen kann jedoch die Ab-senderadresse gefälscht sein. Auch beim Angriff auf den Bundestag wurde die Ab-senderadresse von Angelika Merkel genutzt.
- Anhänge von „ .exe“- Dateien sollten nie ohne Rückfrage des angeblichen Absen-ders ausgeführt werden. Häufig sind diese Anhänge in Archivdateien (meist .zip) versteckt oder der Angreifer versucht den Anhang durch eine weitere Endung wie .pdf zu tarnen, wie z.B. durch „Rechnung.pdf.exe“. Hier sollte man sich nicht täuschen lassen; es handelt sich um eine ausführbare Datei, die jeglichen Schad-code installieren kann. Schadcode innerhalb einer solchen Archivdatei wird von den Virenscannern des Mailservers häufig nicht erkannt.
- Links: Ebenfalls gern genutzt sind Emails, die Links auf präparierte Webseiten ent-halten, auf denen sich gefährlicher Schadcode befindet. Deshalb solle man äußerst skeptisch sein, wenn eine Mail Links enthält.
- Ausführen von Scripten unterbinden: Generell können Webseiten mit Schad-software infiziert sein und auf diese Weise den Rechner befallen. Es besteht jedoch die Möglichkeit, das Ausführen von Scripten zu unterbinden. Hierzu gibt es Plugins für den Browser, wie z.B. „NoScript“. Gelangt man auf eine mit Schadsoftware prä-parierte Webseite, bleibt der Rechner verschont, da die bösartigen Programme nicht ausgeführt werden. Es besteht die Möglichkeit, für ausgewählte Webseiten Scripte zu erlauben.
- Persönliche Daten: Auch sollte man sich davor hüten, persönliche Daten per Email weiterzugeben.
- Vorsicht bei Mails mit einer Aufforderung zum Antworten, aber ohne persönliche Anrede. Statt eines Namens erfolgt die Anrede mit „Sehr geehrter Kunde, sehr ge-ehrte Kundin“.
- Daten auf Webseiten eingeben: Gleichermaßen beliebt sind Links auf Webseiten, wo persönliche Daten eingegeben werden sollen, nicht selten Benutzer- oder sogar Bankdaten. Zu beachten ist, dass in dem Linktext jeder beliebige Text angegeben werden kann, obwohl der Link auf eine ganz andere Seite führt. Hat man einen Link angeklickt, sollte man sich genau ansehen, welche URL (Internet-Adresse) im Browser erscheint. Häufig hat die URL keine Ähnlichkeiten mit dem hinterlegten Linktext, auf den man geklickt hat. Zuweilen werden aber auch bekannte Domains vorgetäuscht. So wird z.B. anstatt „www.sparkasse.de“ eine völlig andere Domain aufgerufen, die nur im Unterverzeichnis den Banknamen aufweist wie z.B. www.be-truegerdoamin.com/sparkasse.de/index.php oder der vorgetäuschte Seitenname befindet sich in der Subdomain: www.sparkasse.de.betruegerdomain.com. Auch in diesen Fällen handelt es sich nicht um die URL einer Bankseite. Hinzu kommt, dass gefälschte Webseiten meist nicht verschlüsselt sind. Befindet man auf der Login-Seite einer echten Bank, erfolgt die Übertragung ausnahmslos verschlüsselt. Des-halb sollte im Browser immer am Anfang der URL https://.. erscheinen, wobei das ‚s‘ für die verschlüsselte Verbindung steht.
- Onlinebanking: Generell sollte man Bankseiten, auf denen man sich einloggt, nicht durch Anklicken von Links besuchen, sondern selber die URL in den Browser ein-geben. Wer ganz sicher gehen will, kann ein eigenes, nur für Internetbanking vor-gesehenes Betriebssystem nutzen, das den Rechner von CD/DVD oder schreibge-schützen USB-Stick startet und den Zugriff auf die Festplatte komplett verbietet.
Befolgt man diese Hinweise beim beruflichen wie auch beim privaten Umgang mit der IT, so sinkt die Wahrscheinlichkeit, Opfer von Cyberkriminalität zu werden, drastisch.
Professionelles Informationssicherheitsmanagement
Für Unternehmen und Behörden reichen diese einfachen Schutzmaßnahmen nicht aus. Um größere und angreifbarere Serverstrukturen vor Hacker- und Insiderangriffen zu schützen, bieten sich sowohl kryptografische Verfahren als auch Intrusion-, Detection- und Intrusion-Prevention-Systeme an. Zudem ist entsprechend ausgebildetes Personal not-wendig. Die Universität führt regelmäßig Weiterbildungsseminare zum Thema IT-Sicher-heit in Unternehmen und Behörden durch. Das dreiwöchige Seminar „IT-Security-Ma-nagement“ und die zweitägige Schulung „ISO 27001-Zertifikat auf der Basis des IT-Grund-schutzes" richten sich an Personen mit IT-Vorkenntnissen.
Weitere Informationen und Anmeldung
Dr. Matthias Bonnesen
m.bonnesen"AT"aww.uni-hamburg.de