 © sdecoret - stock.adobe.com In den Medien sind Passwörter seit Jahren ein beliebtes Thema. Vom Spott für unkreative Standardkennwörter über den Diebstahl von Millionen Berechtigungsnachweisen bis zur Frage, wie zeitgemäss Passwörter heute eigentlich noch sind. Tatsache ist, dass die Anzahl der beruflich oder privat benötigten Passwörter steigt. Davon profitieren auch Cyberkriminelle, denn mit jeder Anwendung oder jedem neuen Gerät kommen neue Berechtigungsnachweise und damit für Hacker neue Einstiegsmöglichkeiten in die Systeme ihrer Opfer zu. Ihnen in die Hände spielen dabei eine schlechte Passworthygiene und moderne Angriffstools.
Sechs der gängigsten Angriffstechniken, die Hacker für das Knacken von Passwörtern nutzen und Tipps, wie man sich davor schützen kann. Credential Stuffing Beim Knacken von Accounts ist das sogenannte Credential Stuffing ein beliebtes Vorgehen von Cyberkriminellen. Zugangsdaten werden hierbei aus geleakten Datenbanken auf verschiedenen Plattformen getestet. Automatisierungs-Tools wie SentryMBA machen es dabei auch für unerfahrene Hacker sehr einfach, Passwörter und Nutzernamen auf einer Vielzahl von Webseiten gleichzeitig zu testen. Ein Grossteil des Login-Traffics in Onlineshops stammt bereits von Unbefugten. Besonderer Beliebtheit erfreut sich Credential Stuffing bei Elektronikhändlern und Webseiten von Fluggesellschaften. Der Risikolevel ist hoch. Hacker versuchen Schätzungen zufolge täglich mehrere Millionen Konten mit Hilfe von Credential Stuffing zu knacken. Es liegt vor allem an einer schlechten Passworthygiene, dass Cyberkriminelle mit dieser Methode so häufig ans Ziel kommen. Viele Nutzer verwenden noch immer ein und dasselbe Passwort für verschiedene Konten und Accounts. Wird dieses Passwort geleakt und landet in einer Datenbank im Darknet, sind alle Konten mit diesem Passwort in Gefahr. Deshalb sind für jedes einzelne Konto individuelle Benutzernamen und Passwörter unabdingbar. Beim Erstellen und Rotieren von Passwörtern helfen Passwort-Manager. Phishing Über Phishing, eine Form des Social-Engineerings, versuchen Cyberkriminelle über gefälschte Webseiten oder E-Mails an Zugangsdaten und Passwörter eines Internetnutzers zu gelangen. Phishing erfolgt am häufigsten über E-Mails, die betrügerische Links zu geklonten Webseiten oder einen bösartigen Anhang enthalten. Den ahnungslosen Opfern wird meist ein gefälschtes Anmeldeformular vorgesetzt, über welches die Betrüger sensible Anmeldenamen und Passwörter auslesen können. Der Risikolevel ist hoch. Schätzungen zufolge beginnen 70 Prozent aller Cyberangriffe mit Phishing. Vorsicht und Skepsis ist der beste Schutz vor Phishing-Angriffen. Benutzerkonten sollten ausnahmslos direkt über die Webseite des Anbieters im Browser aufgerufen werden und niemals über Links in E-Mails. Gründlich überprüft werden sollten die Absender einer E-Mail und Anhänge im Zweifelsfall nicht geöffnet werden. Bei sensiblen Accounts sollte generell immer eine Zwei- oder besser Multi-Faktor-Authentifizierung genutzt werden. Password Spraying Cyberkriminelle profitieren ähnlich wie beim Credential Stuffing auch beim Password Spraying von schlechter Passworthygiene. Die Angreifer testen in diesem Fall auf gut Glück beliebte und häufige Passwörter, wie zum Beispiel 123456, passwort, hallo123. Da die meisten Websites wiederholte Passwortversuche erkennen, nutzen Hacker dabei meist mehrere IPs, um ans Ziel zu kommen. Der Risikolevel ist hoch. Laut einer Studie des britischen National Cyber Security Centre nutzen 75 Prozent der Unternehmen Passwörter, die in den Top 1000 der meisgenutzten Passwörter zu finden waren. Dringend vermieden werden sollten einfallslose und beliebte Passwörter. Unbedingt geändert werden sollten vorinstallierte Hersteller- oder Standard-Kennwörter. Einen wichtigen Dienst können auch hier Passwort-Manager leisten. Keylogging Mit Hilfe einer speziellen Hard- oder Software protokollieren Hacker beim Keylogging die Eingaben eines Nutzers in die Tastatur, um auf diese Weise Zugangsdaten für sensible Accounts wie etwa Online-Banking oder Krypto-Wallets auszulesen. Voraussetzung ist dabei die Infizierung des Gerätes mit einer speziellen Keylogging-Malware oder das Anbringen von Keylogging-Hardware am Gerät selbst. Damit ist diese Form der Cyberattacke deutlich schwieriger zu infizieren, als etwa Password Spraying. Im Netz stehen allerdings mittlerweile viele verschiedene Keylogger und andere Spyware-Tools für jedermann zur Verfügung. Der Risikolevel ist mittel. Keylogging ist aufwendig und kommt vor allem bei gezielten Angriffen oder staatlicher Spionage zum Einsatz. Vor dieser Art des Passwortdiebstahls kann man sich weder mit starken Passwörtern noch mit vorsichtigem Verhalten schützen. Es bedarf einer guten Sicherheitslösung, die die Endpunkte vor jeder Art von Malware und bösartigen Aktivitäten schützt, um Keylogging-Infektionen und -Aktivitäten wirksam zu identifizieren und blockieren zu können. Brute-Force Hacker versuchen bei einem Brute-Force-Angriff Passwörter oder Schlüssel durch automatisiertes Ausprobieren herauszufinden. Ein sogenannter Dictionary-Angriff, bei dem die Kriminellen in Sekundenschnelle ein Wörterbuch wahrscheinlicher und beliebter Passwörter ausprobieren, wie etwa Administrator oder 123456, ist die einfachste Form einer solchen Attacke. Das Hashen von geleakten Klartext-Passwörtern ist eine weitere Methode. Angreifer suchen dabei so lange die zu den zufällig ausgewählten Passwörtern gehörigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert übereinstimmt. Listen mit Hashwerten von oft verwendeten Passwörter, auch Rainbow Tabelle genannt, beschleunigen diesen Prozess. Der Risikolevel ist niedrig. Da die Brute-Force-Methode sehr zeitaufwendig und teuer ist, ist das Risiko, Opfer zu werden, eher gering. Cyber-Extortion Kriminelle zwingen bei der relativ neuen Methode der Cyber-Extortion ihre Opfer zur direkten Herausgabe von Zugangsdaten, indem sie sie mit vermeintlich kompromittierendem Material erpressen. Die Betrüger behaupten meist, über sensible Informationen oder Videomaterial zu verfügen, etwa weil sie die Webcam oder den Mail-Account ihres Opfers zuvor gehackt hätten. Der Risikolevel ist sehr niedrig. Das Risiko für Cyber-Erpressung ist sehr gering, obwohl bei den Opfern eine hohe Dunkelziffer bestehen dürfte. Opfer von Cyber-Erpressung kann generell jeder Internetnutzer werden. Der Umgang damit ist stark situationsabhängig und reicht vom Einschalten der Polizei bis hin zum Ignorieren der Forderungen. Experten raten generell, den Forderungen der Erpresser niemals nachzukommen. Fazit Authentifizierungen mit traditionellen Passwörtern bleiben weiterhin Standard, auch wenn biometrische Zugangskontrollen wie Gesichtserkennung und Fingerabdruckscanner zukünftig eine immer wichtigere Rolle spielen werden. Umso wichtiger ist es, der Passwortsicherheit auch den Stellenwert zu geben, den sie verdient - gerade im Unternehmensumfeld. Dazu zählen nicht nur Massnahmen, die die Berechtigungsnachweise direkt betreffen, wie ausreichend starke Passwörter, Passwortrotationen oder das sichere Speichern von Zugangsinformationen, sondern auch Schutzmassnahmen, die darüber hinaus gehen. Sollte es Cyberkriminellen gelungen sein ein Konto zu knacken, braucht es vor allem Endpunktschutz-Lösungen, die Malwareinfektionen in Echtzeit identifizieren und stoppen, Verschlüsselungen durch Ransomware automatisch rückgängig machen und ungewöhnliches Verhalten, wie etwa ausserordentliche Datenaufrufe, melden.
0 Kommentare
 Quelle: AdobeStock - #104072848 Im Juni/Juli 2018 wird die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft treten und die bisherigen Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union ersetzen. Davon betroffen sind praktisch alle Firmen, die Waren oder Dienstleistungen anbieten. Unternehmen haben noch knapp ein Jahr Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen einzustellen. Die bisher massgebende Richtlinie 95/46/EG wird mit Inkrafttreten der EU-DSGVO definitiv aufgehoben. Die wichtigsten Aspekte der Neuregelung im Überblick sind:
Ende des Adresshandels Es entfällt das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen. Künftig ist hierfür eine ausdrückliche Genehmigung der betroffenen Person erforderlich. Beweislastumkehr Bei Verstössen standen bisher die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip. Die Unternehmen müssen beweisen, dass sie rechtskonform arbeiten. Dokumentationspflicht Unternehmen müssen künftig dokumentieren, weshalb sie persönliche Daten verarbeiten. Sie sind zudem verpflichtet, die Sicherheitsmassnahmen konkret nachzuweisen. Mehr Transparenz Wer einem Unternehmen Daten überlässt hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten beispielsweise für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein. Datenmitnahme Wer einen bestimmten Dienst wechselt, soll bei Bedarf seine Daten mitnehme können. Recht auf Vergessen Künftig gibt es ein gesetzlich verbrieftes «Recht auf Vergessen». Die EU-DSGVO regelt dazu, wann nicht mehr benötigte Daten gelöscht werden müssen. Meldeauflagen Datenschutzverletzungen müssen der Europäischen Union und den betroffenen Personen in einem einheitlichen Verfahren gemeldet werden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren. Erweiterte Definition von personenbezogenen Daten Als personenbezogene Daten gelten ausdrücklich IP-Adressen und andere «Online-Identifier». Es wurde eine Definition für das sogenannte Profiling eingeführt. Jegliche Form von automatisierter Datenbearbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden, fällt unter Profiling. Zur vermeintlichen Erleichterung und im selben Zusammenhang wurde die «Pseudonymisierung» eingeführt. Dies bedeutet, dass die entsprechenden Daten ohne zusätzliche Informationen nicht mehr einer identifizierbaren Person zugeordnet werden können. Für Anbieter von e-Health Dienstleistungen ist dies von besonderer Relevanz. Bei Verstössen drohen hohe Geldbussen Es geht jetzt neben einer gründlichen Bestandsaufnahme vor allem darum, Prozesse mit Blick auf den Datenschutz zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Auch das Sicherstellen einer hohen Qualität personenbezogener Daten sollte auf der Tagesordnung der Unternehmen stehen. Bei Verstössen gegen die EU-DSGVO steht den Betroffenen ein Schadensersatzanspruch zu. Zusätzlich sind empfindliche Bussgelder vorgesehen. Die maximale Geldbusse beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten erzielen Jahresumsatzes im vorangegangenen Geschäftsjahr. Bei international agierenden Unternehmen wird der weltweite Jahresumsatz für die Bemessung der Geldbusse zugrunde gelegt. Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz innerhalb der Europäischen Union. Die Verordnung findet aber auch Anwendung, wenn personenbezogene Daten von EU-Bürgern durch ein Unternehmen mit Sitz ausserhalb der EU bearbeitet werden, sofern folgende Voraussetzungen erfüllt sind:
Das neue EU-Datenschutzrecht hat auch für Schweizer Unternehmen grosse Relevanz. Sobald ein Schweizer Unternehmen in der EU geschäftstätig ist oder mit Unternehmen in der EU Personendaten austauschen, ist die neue DSGVO anwendbar.  Quelle: AdobeStock - # 122858050 Heute bewegen sich Unternehmen ganz selbstverständlich in den sozialen Medien wie Facebook, Twitter, LinkedIn oder Xing. Umso wichtiger ist es, den Mitarbeitern praktikable Leitlinien an die Hand zu geben, die ihnen im richtigen Umgang mit den sozialen Medien in Bezug auf das Unternehmen helfen. Solche Leitlinien sind Social Media Guidelines.
Aufgaben von Social Media Guidelines In erster Linie sollen Social Media Guidelines allen Mitarbeitern des Unternehmens Sicherheit im Umgang mit den sozialen Medien geben. Darüber hinaus helfen sie Kommunikationskrisen zu vermeiden sowie rechtlichen Problemen verschiedenster Art vorzubeugen. Social Media nutzen fast alle Mitarbeiter, doch nur die wenigsten machen sich Gedanken um die Auswirkungen ihrer dort getätigten Äusserungen und veröffentlichten Inhalte. Wie schnell Aussagen, Bilder oder sonstige Inhalte den privaten Rahmen verlasen und an die Öffentlichkeit gelangen, darüber ist sich oft gar nicht bewusst, wer auf Facebook mit dem eigenen Freundeskreis kommuniziert. Social Media Guidelines geben hier konkrete Handlungsanweisungen. Social Media Kommunikation im Sinne der Unternehmensziele Bei den Mitarbeitern ein Bewusstsein für die Bedeutung der sozialen Medien zu erzeugen, dazu tragen Social Media Guidelines im Allgemeinen bei. Nicht nur in der Einschränkung von Äusserungen der Mitarbeiter - sofern überhaupt gewollt und rechtlich zulässig - sondern auch die Förderung einer aktiven Social Media Kommunikation im Sinne der Unternehmensziele ist die Aufgabe von Guidelines. Sollen Mitarbeiter auch Markenbotschafter sein, bieten Social Media Guidelines eine gute Möglichkeit sie zu effektiveren und positiveren Botschaftern zu machen. Im Einzelnen lassen sich die Aufgaben von Social Media Guidelines wie folgt zusammenfassen:
Die Inhalte solcher Social Media Guidelines sollten sich an den Eigenschaften und Gegebenheiten des jeweiligen Unternehmens orientieren. Wenig zielführend und häufig zu beobachten in der Praxis ist das blosse Kopieren fremder Guidelines. Eigene Inhalte und einen eigenen Stil zu entwickeln ist von Vorteil. Aus einer Vielzahl von bereits eingesetztes Social Media Guidelines lässt sich ein grobes Grundgerüst extrahieren. Immer wiederkehrende Inhalte sind: Kurze Einführung in das Thema Was sich hinter den einzelnen Begriffen verbirgt, welche Kanäle eine Rolle spielen oder wie grundlegende Wirkungsmechanismen funktionieren, ist manchen Mitarbeitern vielleicht nicht ganz klar. Es lohnt sich daher immer eine kurze Einführung in das Thema und eine Standortbestimmung. Ziele und Strategie der Aktivitäten Damit alle Mitarbeiter wissen, weshalb sich das Unternehmen im Social Media Bereich engagiert, sollten auch die groben Ziele und die Strategie, die das Unternehmen mit den Aktivitäten verfolgt, noch einmal kurz dargestellt werden. Auftreten des Unternehmens Will das Unternehmen auf eine bestimmte Weise auftreten, sollte dies in den Social Media Guidelines festgehalten sein. Dazu gehören zum Beispiel die Ansprache mit »Sie« oder »Du« als auch ein bestimmtes Wording. Verhaltensregeln Social Media Guidelines dienen dazu, dass Verhalten von Mitarbeitern zu regeln, die im Namen des Unternehmens in den sozialen Kanälen agieren. Im Besonderen sollten auch Hinweise zur privaten Nutzung enthalten sein, so lange diese sich auf das Unternehmen auswirken kann. Das Kenntlichmachen von privaten Meinungen oder Äusserungen gehört beispielsweise dazu oder auch die Formulierung »ich« anstatt »wir«. Nutzung für private Zwecke Von grundlegender Bedeutung ist die Frage, ob eine private Nutzung von Social Media Kanälen am Arbeitsplatz erlaubt sind oder nicht. Erlaubt das Unternehmen die Nutzung (auch) zu privaten Zwecken, empfiehlt es sich Grenzen und Regeln zu definieren, zum Beispiel hinsichtlich Dauer, Datenschutz und Sicherheit. Umgang mit rechtlichen Fragen Die meist vielfältigen rechtlichen Fragestellungen zum Social Web bilden einen Schwerpunkt. Der Umgang mit Geheimhaltungserklärungen und geheimhaltungspflichtigen Inhalten, gewünschte und unerwünschte Verhaltensweisen, Urheberrechte, Datenschutz sowie Konsequenzen bei Verstössen spielen beispielsweise eine Rolle. Werden die Social Media Guidelines Bestandteil des Arbeitsvertrages, erhalten sie auch rechtliche Verbindlichkeit. Verstösse können damit zu Abmahnungen oder gar berechtigten Kündigungen führen. Corporate Guidelines Dass jeder einfach drauflos kommuniziert, ist eine der grössten Gefahren im Social Web. Richtlinien wie Corporate Identity und Corporate Wording oder die Unternehmenswerte müssen auch im Netz eingehalten werden. Es empfiehlt sich deshalb in den Social Media Guidelines Verweise auf die jeweils einschlägigen sonstigen Regelungen zu geben. Hilfreich sind auch Beispiele, die Auswirkungen dieser Regelungen konkret auf die Social Media Kommunikation aufzeigen können. Beispiele für Social Media Kommunikation Ebenfalls sinnvoll ist es auch, einige positive sowie negative Beispiele anzuführen. Insbesondere die No-Gos machen abstrakte Verbote greifbar und zeigen Grenzen auf. Vieles, was eigentlich gut gemeint war, kann sich hinterher negativ auswirken. Umgang mit Kritik Hinweise in verschiedenster Form mit Kritik umzugehen sind ebenfalls hilfreich. In der täglichen Praxis Unsicherheiten und Missverständnisse vermeiden helfen klare Linien, wann eine Löschung eines Kommentars angebracht ist, welche Kommentare einer Antwort bedürfen und welche einfach ignoriert werden dürfen oder sollen. Ansprechpartner und Zuständigkeiten Abschliessend sollte in den Social Media Guidelines ein Ansprechpartner mit Kontaktdaten definiert sein, an den sich jeder Mitarbeiter bei Fragen oder Anliegen wenden kann. Es ist ein gewisses Fingerspitzengefühl nötig, um die Akzeptanz von Social Media Guidelines im Unternehmen sicherzustellen. Gerade bei alteingesessenen Mitarbeitern stösst die Einführung neuer Richtlinien oftmals auf wenig Gegenliebe. Entsteht der Eindruck der Beschneidung ihrer privaten Social Media Nutzung, baut sich auch bei jüngeren Mitarbeitern Widerstand auf. Es empfiehlt sich daher schon bei der Erstellung der Social Media Guidelines keinen Top Down Ansatz durchzusetzen, sondern Vertreter der Belegschaft mit ins Boot zu holen. Die spätere Akzeptanz erhöht sich deutlich, wenn Guidelines in einem gemeinsamen Workshop erarbeitet und Stimmen der Mitarbeiter gehört werden. |
Kategorien
Alle
Archiv
September 2020
|
RSS-Feed