Fraud-liche Weihnachten – Wie Cyberkriminelle die Vorweihnachtszeit für ihre Zwecke nutzen
Weihnachten – das Fest der (Daten-)Diebe: Beliebte Angriffe zur Weihnachtszeit
Alle Jahre wieder springen Cyberkriminelle auf die explodierende Online-Verkaufswelle zur Weihnachtszeit auf. Dabei setzen sie in erster Linie auf die Unachtsamkeit und Nachlässigkeit der Verbraucher:innen, aber auch der Handelsunternehmen. Viel zu oft geht diese Taktik auf. Denn während sich bei den einen alles um den Geschenkekauf und die Weihnachtsvorbereitungen dreht, konzentrieren sich die anderen stärker auf ihr Tagesgeschäft als auf die IT-Sicherheit. Ein idealer Nährboden für unterschiedliche Betrugsversuche.
Ho Ho Hoax! – Gefahren für Privatpersonen
- Phishing: Da Verbraucher:innen ihre Weihnachtseinkäufe verstärkt online tätigen, gehen zeitgleich auch in den E-Mail-Postfächern vermehrt Mails mit Rechnungs- und Zahlungsinformationen ein. Diese Tatsache nutzen Cyberkriminelle gerne für ihre Zwecke: Unter die realen E-Mails mischen sie täuschend echt aussehende Phishing-Mails, mit dem betrügerischen Ziel an Kunden- und Zahlungsdaten zu gelangen. Dabei spekulieren sie darauf, dass E-Mails von den Adressat:innen weniger argwöhnisch betrachtet werden als zu anderen Jahreszeiten.
- Fake-Shops: Weihnachtszeit ist Schnäppchen(suche)zeit. So sind viele Online-Einkäufer:innen in der Vorweihnachtszeit auf der Jagd nach dem günstigsten Preis. Im schlechtesten Falle stoßen sie dabei auf Fake-Shops, also gefälschte Internet-Verkaufsplattformen. Auf den ersten Blick sind diese häufig kaum von den Internetseiten seriöser Anbieter zu unterscheiden, wodurch sie das Vertrauen der Kund:innen gewinnen und zum Kauf verleiten. Haben diese einmal bestellt, erhalten sie trotz Zahlung meist nur minderwertige, falsche oder überhaupt keine Ware.
Wie Verbraucher:innen sich schützen können:
- Schutz vor Phishing:
– Vertrauen ist gut, Kontrolle ist besser: Jeder Link in einer E-Mail sollte vor einem Klick darauf zunächst überprüft werden. Ist der dahinterstehende Absender vertrauenswürdig? Enthält die E-Mail eine persönliche Anrede? Beinhaltet der Text auffallend viele Rechtschreibfehler? Eine unseriöse Adresse als Absender, Anredefloskeln wie „Sehr geehrter Herr/ sehr geehrte Dame“ oder „Hallo,“ sowie übermäßige Fehler weisen auf eine Phishing-Mail hin.
- Fake-Shops erkennen:
– SSL-Verschlüsselung: Online-Bestellungen gehen immer auch mit der Übermittlung persönlicher Daten sowie von Zahlungsinformationen einher. Ob diese Übertragung auch verschlüsselt erfolgt, ist sowohl am Kürzel „https“ als auch am Vorhängeschloss zu Beginn der Adresszeile erkennbar. Vorsicht gilt bei unverschlüsselten Webseiten.
– Zahlungsmodalitäten: Seriöse Online-Shops bieten in der Regel mehrere Zahlungsmöglichkeiten an. Steht dagegen nur Vorkasse zur Auswahl, ist dies ein gutes Indiz für einen unseriösen Shop.
– Impressum: Fehlt eine Impressumsseite oder sind die dort zu findende Angaben entweder unvollständig oder fehlerhaft, ist der Web-Shop als unseriös zu bewerten.
Angriffe auf Unternehmen: Wenn Cyberkriminelle mitkassieren möchten
Für viele Unternehmen ist das (Vor-)Weihnachtsgeschäft die umsatzstärkste Zeit des Jahres. Gleichzeitig sind durch die Urlaubs- und Ferienzeit viele IT-Abteilungen unterbesetzt. Dieses Zusammenspiel macht sie besonders anfällig für Cyberangriffe. Zudem sind Unternehmen in der umsatzstärksten Zeit eher dazu bereit, hohe Lösegelder zu bezahlen, um wieder handlungsfähig zu sein.
- DDoS-Attacken: Für Online-Händler ist wohl vor allem der Ausfall des eigenen Shops ein Horrorszenario. Denn mit jeder Minute, die der Webauftritt nicht verfügbar ist, gehen wertvolle Verkaufschancen verloren. Diese Angst machen sich Cyberkriminelle gerne zunutze: Mit einer enormen Menge an künstlichem Traffic sorgen sie dafür, dass der Webserver überlastet und unter Umständen komplett ausfällt. Häufig sind hier Erpresser:innen am Werk, die von den Betreibern Geld verlangen, damit die Attacken aufhören. Angesichts der enormen Umsatzeinbußen, die durch einen langfristigen Ausfall im Weihnachtsgeschäft drohen, lassen sich Unternehmen eher dazu hinreißen, höhere Summen zu bezahlen.
- Ransomware-Angriffe: Dass IT-Abteilungen zur Weihnachtszeit häufiger unterbesetzt sind, nutzen Internetkriminelle gerne aus, um Ransomware in Unternehmen zu schleusen. Meist gelangt die Erpressungssoftware per E-Mail in Firmen und verschlüsselt wichtige Daten. Dem schließt sich eine Lösegelderpressung an, die in Aussicht stellt, dass die Daten bei Zahlung wieder entschlüsselt werden. Auch in diesem Fall setzen Cyberkriminelle auf die erhöhte Zahlungsbereitschaft im wichtigen Weihnachtsgeschäft.
- Phishing: Ziel von Phishing-Mails können nicht nur Privatpersonen sein, sondern auch Unternehmen. Angesichts der vermehrten Arbeit aus dem Homeoffice und der verstärkten Nutzung von Diensthandys und -laptops auch für private Zwecke, sind Unternehmen häufig ebenfalls von der Phishing-Welle zu Weihnachten betroffen.
Wie Unternehmen sich schützen können:
- Schutz vor DDoS-Attacken:
– Entwicklung eines Belastbarkeitsplans, in dem festgehalten wird, wie der Geschäftsbetrieb im Falle eines Angriffes aufrechterhalten werden kann. Zudem sollten Notfallsysteme eingeplant werden, auf die im Zweifelsfall umgeschaltet werden kann. Optimalerweise ist hier ein Team aus verschiedenen Geschäftsbereichen zuständig
– Angriffserkennungsroutinen entwickeln, um mögliche Angriffe frühzeitig zu identifizieren. Häufig testen Hacker Netzwerke vor der eigentlichen DDoS-Attacke durch kurze Angriffe mit geringem Volumen, um auf diese Weise Sicherheitslücken aufzuspüren. Daher empfiehlt es sich, diesen zuvorzukommen und entsprechende Sicherheitslücken, beispielsweise durch Penetrationstests, frühzeitig zu ermitteln und zu schließen.
– Einsatz von Filter- und Firewallsystemen, um eingehenden Angriffs-Traffic abzufangen, bevor er den Webserver erreicht.
– Nutzung von Challenge-Response-Authentifizierungen, um herauszufinden, ob hinter einer Anfrage auch wirklich eine reale Person steht. Antwortet der Client auf eine Frage korrekt, wird der Zugriff gewährt, andernfalls wird er abgewiesen.
– Etablierung mehrschichtiger Abwehrmodelle (Multi-Layer Defense), um die eigenen Systeme bestmöglich vor Angriffen verschiedener Art zu schützen.
– Penetrationstests, um potenzielle Schwachstellen durch vertrauenswürdige Expert:innen ausfindig zu machen, bevor Angreifer:innen dies tun.
- Schutz vor Ransomware-Angriffen:
– Betriebssoftware auf dem Laufenden halten sowie regelmäßige Sicherheitsupdates und Patches installieren
– Filtersysteme als erste Sicherheitsbarriere einrichten, um die E-Mail-Kommunikation vor Spam und Malware zu schützen
– Mitarbeitende für Ransomware als Bedrohung sensibilisieren. Hilfreich kann hier ein Sicherheitsprotokoll sein, durch das Mitarbeitende besser einschätzen können, ob ein Anhang, ein Link oder eine E-Mail vertrauenswürdig sind
– Regelmäßige Durchführung von Backups, um geschäftskritische Daten auf externen Geräten zu sichern
– Erarbeitung eines Notfallplans, der das weitere organisatorische und geschäftliche Vorgehen festlegt, wenn ein Ransomware-Angriff erfolgreich war
- Schutz vor Phishing:
– Verbannung aller bekannten Phishing-Webseiten auf eine Blacklist
– Sensibilisierung von Mitarbeitenden für das Thema Phishing-Mails. Insbesondere entsprechende Trainings können diese dabei unterstützen, betrügerische Mails schneller zu erkennen und ihren Beitrag zum Schutz des Unternehmens zu leisten.
– Rückgriff auf ein sicheres Passwort-Management, wie beispielsweise die Nutzung der Zwei-Faktor-Authentifizierung statt einfacher Passwörter. Dadurch erhalten Angreifer:innen mit den abgegriffenen Anmeldedaten alleine keinen Zugang zum jeweiligen Account.
TÜViT wünscht eine schöne, aber vor allem sichere, (Vor-)Weihnachtszeit.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de