Cybersecurity zu Weihnachten

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Mehr Online-Einkäufe, Posts in den sozialen Medien, Hektik und Aufregung. Die letzten Arbeitsprojekte sind abzuschließen, Geschenke müssen besorgt und Freizeitaktivitäten erledigt werden. Der Fokus auf all das erhöht die Gefahr auf die Cybersicherheit in der Weihnachtszeit. Sie steigern die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs, da User gestresst und häufig auch unkonzentriert sind.

 

Cyberkriminelle warten auf den perfekten Moment, um ein Phishing-E-Mail zu verschicken und das Opfer dazu zu verleiten, auf einen bösartigen Link zu klicken, Zahlungen auf Konten vorzunehmen oder sensible Daten zu übermitteln. Weihnachten bedeutet auch für Cybersicherheitsbeauftragte Anspruch auf Freizeit und Urlaub. Kaum in die Weihnachtsfeiertage verabschiedet, heißt es "Fraud-liche Weihnachten" für Cyberkriminelle. Denn: Warum an Weihnachten nicht mitverdienen, wenn das Fest zur alljährlichen Cyber-Crime-Zeit einlädt? 

Folgende Betrugsformen sind besonders verbreitet und wir empfehlen sowohl im beruflichen wie auch privaten Kontext verstärkt darauf zu achten:  

  • Gefälschte Benachrichtigungen im Namen von "Zustelldiensten" über die Verfolgung von Paketen, 

  • Gefälschte Nachrichten von Online-Shops über fehlgeschlagene Zahlungen, 

  • Gefälschte Online-Shops oder Händler auf E-Märkten, 

  • Meldungen über dringende Passwortänderungen bei E-Banken oder sonstigen Konten, 

  • Gefälschte Rückerstattungs- oder Sendungsverfolgungsseiten, die Ihre Daten wie Ihren Benutzernamen, Ihr Passwort und Ihre Kreditkartendaten stehlen und speichern. Der Erfolg dieser Taktiken beruht auf der erhöhten Dringlichkeit, mit der die Menschen ihre gekauften Waren verfolgen, damit sie rechtzeitig zu Weihnachten ankommen. 

In der Regel werden Banken Sie niemals per E-Mail oder Telefon auffordern, sensible Daten zu übermitteln oder Ihr Passwort zu ändern. Zahlungen in Online-Shops sollten über offizielle Bankdienste abgewickelt werden, nicht durch direkte Überweisungen auf das Konto des Verkäufers.  

Stellen Sie sicher, dass Ihre IT-Abteilungen während der Weihnachtszeit nicht unterbesetzt sind. Cybersecurity-Erkennung und -Reaktion sollten genauso schnell erfolgen wie zu jeder anderen Zeit des Jahres. 

Und das Wichtigste ist, dass User in der Erkennung von Social Engineering durch realitätsnahe Beispiele geschult werden. Mitarbeiter, die einmal auf den Link in einer simulierten Phishing-Kampagne klicken und dafür eine Schulung erhalten, werden in Zukunft sicherlich vorsichtiger sein, wenn sie E-Mail-Nachrichten und deren Anhänge öffnen oder auf Links klicken. 

Aber auch für den privaten Kontext möchten wir einige Punkte mitgeben, welche die Sicherheit erhöhen:  

Achten Sie auf Urlaubs-Phishing, insbesondere auf mobilen Geräten. In der Weihnachtszeit steigt die Zahl der bösartigen E-Mails, die Malware als Anhang enthalten oder Links zu kompromittierten Websites. Mobile Plattformen und soziale Medien werden zu bevorzugten Kanälen für die Verbreitung von Phishing-Nachrichten. In Phishing-Nachrichten werden Sonderangebote angepriesen, die sich die Urlaubszeit zunutze machen, in der besonders viele Online-Einkäufe getätigt werden. Neue Traditionen wie "Black Friday", "Cyber Monday" und Weihnachtseinkäufe werden jedes Jahr von Cyberkriminellen genutzt, um glaubwürdige Angriffe zu kreieren, bei denen es um falsche oder abgelehnte Zahlungen, Rückerstattungen und Sonderangebote geht, um Menschen zur Preisgabe von Zahlungskartendaten und anderen vertraulichen Informationen zu verleiten. 

Wi-Fi-Hotspots sind ein häufig genutzter Angriffsvektor für Hacker. Die Nutzer sind sich der Risiken meist nicht bewusst, denen sie ausgesetzt sind, sobald sie sich mit unsicheren Netzwerken verbinden. Online-Einkäufe über unsichere Wi-Fi-Hotspots können dazu führen, dass die Benutzerkonten von Identitätsdieben und Betrügern missbraucht werden. Seien Sie sich bewusst, dass Antiviren- und ähnliche Software Sie in einem offenen Netzwerk nicht schützen kann und Hacker digital über die Schulter schauen. 

Zusammenfassend können wir folgende Tipps empfehlen, um sicher durch die Weihnachtszeit zu kommen:  

  • Recherchieren Sie, bei wem Sie einkaufen wollen, und stellen Sie sicher, dass er vertrauenswürdig ist. 
  • Lesen Sie die Online-Bewertungen und die Verkaufshistorie. 
  • Senden Sie niemals Kreditkartendaten per E-Mail. 
  • Wenn möglich, geben Sie die URLs von Websites ein, die Sie besuchen möchten, anstatt auf Links zu klicken. So gelangen Sie direkt auf die Website, ohne auf den bösartigen Link klicken zu müssen. 
  • Achten Sie auf gefälschte Websites, die genauso aussehen wie eine andere, aber Ihre Zahlung an ein anderes Konto weiterleiten (und nicht das liefern, was Sie kaufen wollten).  
  • Überprüfen Sie die URL oder wenden Sie sich an den Verkäufer, wenn Sie Zweifel an der Vertrauenswürdigkeit der Website haben.  
  • Achten Sie auch darauf, dass die URL mit "HTTPS" und nicht mit "HTTP" beginnt, denn das "S" garantiert, dass die Seite über ein SSL-Zertifikat verfügt.  
  • Verwenden Sie ein sicheres Passwort. Es muss mindestens 12 Zeichen lang, komplex, mit Zahlen und Symbolen versehen und darf nicht wiederverwendet werden. 
  • Achten Sie auf Rechnungsumleitungen, was zu dieser Jahreszeit häufig vorkommt. In diesem Fall erhalten Sie möglicherweise E-Mails von Lieferanten oder Kunden, die Sie über einen Wechsel des Bankkontos informieren und um Zahlungen auf das neue Konto bitten. Die Wahrscheinlichkeit ist groß, dass es sich bei diesem "neuen Konto" um das Konto des Hackers handelt. 
  • Seien Sie vorsichtig bei öffentlichen WiFi-Netzen, da diese häufig von Betrügern genutzt werden. Geben Sie niemals Ihre Kontodaten ein, wenn Sie mit einem öffentlichen WiFi verbunden sind, und verwenden Sie stattdessen Ihr mobiles Netzwerk oder Ihren Hotspot. 
  • Sichern Sie Ihre Konten mit der 2-Faktor-Authentifizierung. Das bedeutet, dass jedes Mal, wenn Sie Ihr Passwort bei der Anmeldung bei einem Konto eingeben, ein Code an Ihr Telefon gesendet wird, den Sie dann bei der Anmeldung ebenfalls eingeben müssen. 
  • Verwenden Sie eine seriöse Antiviren-Software. 

 

Beispiel für einen Cyber Angriff zu Weihnachten 

Böswillige Cyber-Akteure haben schon oft Feiertage und Wochenenden ausgenutzt, um kritische Netzwerke und Systeme von Organisationen, Unternehmen und kritischen Infrastrukturen anzugreifen und zu stören. Am 24. Dezember 2020 wurden die digitalen Systeme der Scottish Environment Protection Agency (SEPA) angegriffen. Dadurch wurden mehrere ihrer Schlüsselsysteme außer Betrieb gesetzt, was zu erheblichen Störungen bei den Mitarbeitern führte und es ihnen erschwerte, ihre Arbeit zu erledigen. Es wurden zudem mehr als 4.000 digitale Dateien gestohlen. 

In einem Bericht heißt es, der Angriff an Heiligabend habe "eine erhebliche Heimlichkeit und bösartige Raffinesse" gezeigt. Es wurde aber auch bekannt, dass der Cyber-Reaktionsplan der SEPA während des Vorfalls nicht zugänglich war. Dies lag daran, dass der Bericht - zusammen mit dem Notfallplan der Aufsichtsbehörde - auf den von dem Angriff betroffenen Servern gespeichert war und keine Offline-Version oder gedruckte Kopie zur Verfügung stand.  

Quelle: https://www.sepa.org.uk/about-us/cyber-attack/ 

Mit VACE Digital Solutions sind Sie gut gerüstet. Wir bieten gerne den nötigen Support - sei es durch unseren Servicedesk  (Reaktionszeiten auch während der Weihnachtsfeiertage), unsere Disaster Recovery Plans oder durch unsere Experten, welche Security Awareness Trainings bieten. Kontaktieren Sie uns - wir stehen gerne zur Verfügung!