Cyberkriminalität während der Coronakrise
Sowohl das Bundeskriminalamt als auch das Bundesamt für Sicherheit in der Informationstechnik warnen derzeit vor Cyberkriminellen, welche die Corona-Pandemie ausnutzen, um vermehrt Angriffe zu fahren.
So wurde „Lieferando“ Opfer eines gezielten Angriffs, welcher die Systeme lahmlegte und den Betrieb extrem behinderte. Wenn Kriminelle selbst in diesen Zeiten nicht zurückschrecken, bleibt nicht die Frage, ob, sondern wann auch kritische Infrastrukturen des Gesundheitssektors Opfer von Angriffen werden.
Aktuell wird das Coronavirus vermehrt für Phishing-Attacken genutzt und das mit großem Erfolg. Auch wenn einige Gruppen von Cyberkriminellen bekanntgaben, keine Angriffe auf den Gesundheitssektor auszuüben, ist es nur eine Frage der Zeit bis auch Krankenhäuser betroffen sind. Selbst wenn diese nicht von gezielten Angriffen betroffen sein sollten, so kann man keinen Ärzten und Ärztinnen übelnehmen, wenn nach endlosen Schichten dann doch ausversehen der Link in der Phishing-Mail aufgrund der Hoffnung neuer Erkenntnisse in der Forschung geklickt wird.
Um sich vor diesen Angriffen zu schützen, sollten folgende Sicherheitshinweise unbedingt beachtet werden:
Absender validieren
Durch eine sogenannte E-Mail-Header-Analyse kann der Absender nachvollzogen werden und validiert werden, ob dieser manipuliert worden ist.
Links überprüfen
Phishing-Webseiten und -E-Mails enthalten meist schädliche Links. Diese werden meist hinter bunten Buttons versteckt. Zum Beispiel mit der Aufschrift „Hier Klicken“. Wenn Sie den Mauszeiger ohne zu klicken über den Button bewegen, bekommen sie den wahren Link angezeigt.
Keine unverschlüsselte Übertragung von personenbezogenen Daten
Zum Beispiel Banken fragen niemals personenbezogene Daten per E-Mail ab. Überprüfen Sie stets, zum Beispiel über ein Telefonat mit dem Absender, ob die Anfrage korrekt ist, und übersenden Sie sensible Daten stets verschlüsselt. Investieren Sie lieber ein wenig mehr Zeit in die sichere Übertragung, als unverschlüsselt Informationen zu übersenden.
Achten Sie auf eine sichere Authentifizierung
Nutzen Sie die Verwendung der Zwei-Faktor-Authentifizierung. Sollten durch einen Angriff Login Credentials abhandenkommen, kann dadurch der Eintritt verhindert werden, da selbst, wenn Benutzername und Passwort bekannt sind, noch ein zweiter Faktor den Zutritt versperrt, wie z. B. SMS Tan.
Prüfung von Links auf sogenannte Look-Alike-Domains
Bei den gefälschten Links in den Phishing-Mails handelt es sich häufig um sogenannte „Look-Alike-Domains“. Angreifer kaufen Webadressen, welche ähnlich zu den vorgetäuschten Adressen sind, damit die Angriffe nicht so schnell auffallen.
Dass selbst große Organisationen nicht vor Angriffen oder Fake-News betreffend das Coronavirus gefreit sind, sieht man an der Weltgesundheitsorganisation WHO. Aufgrund falscher Informationen riet die WHO von der Einnahme von Ibuprofen ab, da dies wohl das Risiko auf einen schwereren Verlauf der Erkrankung bedeuten könnte. Die Meldung wurde seitens der WHO zurückgezogen, weil diese aufgrund von Fake-News ausgesprochen bzw. falsch bewertet worden ist.
Dies zeigt einmal mehr, dass schon abseits einer Krise Informationssicherheitsmanagementsysteme aufgebaut und sinnvolle Prozesse implementiert werden sollten, um das IT-Sicherheitsniveau zu erhöhen. Denn wenn eine Krise da ist, sind sowohl Prioritäten als auch Ressourcen knapp.
Denken Sie also nicht, dass das Thema Corona von Cyberkriminellen nicht ausgenutzt wird, und beachten Sie auch in dieser schwierigen Zeit die Sicherheitsbestimmungen Ihres Unternehmens.
Gerade in Krisenzeiten sind operative Maßnahmen gefragt, welche schnell und praktisch umgesetzt werden können. Aus diesem Grund haben wir einen Onlinekurs entwickelt, welcher die Thematik „IT-Sicherheit im Home-Office“ behandelt und Mitarbeitende für die anstehenden Schwierigkeiten sensibilisiert.
Unsere Empfehlungen in diesem Blogbeitrag erfolgen nach ersten eigenen Erfahrungen im Umgang mit Home-Office und in Zeiten von Corona. Wir teilen unsere Erfahrungen sehr gerne mit Ihnen. Wir übernehmen keine Gewähr für die Richtigkeit; insbesondere sind arbeitsrechtliche Fragen in diesem Bereich noch nicht geklärt.
