Kontakt

Wie Sie sich vor ID-Diebstahl schützen

Christoph Heichinger
05.03.18 09:26

Hand auf’s Herz – wie hoch ist die Wahrscheinlichkeit, dass Ihnen der „echte“ George Clooney aus Afrika ein E-Mail schickt, indem er Sie um Geld bittet und verspricht, es höchstpersönlich zurückzugeben? Nicht besonders hoch. Trotzdem fallen derzeit zahlreiche Menschen genau auf diese Betrugsmasche herein. „Grundsätzlich gibt es einen Tipp von uns: dass man den Hausverstand einschaltet“, rät Vincenz Kriegs-Au, Pressesprecher vom Bundeskriminalamt (BKA).

E-Mails wie diese werden nicht zwangsläufig von fremden Adressen verschickt. Betrüger hacken z.B. das Passwort eines Accounts und verschicken im Namen des Besitzers an dessen Kontakte dubiose Nachrichten, in denen um Geld oder die Bestätigung von Konto- oder personenbezogenen Daten gebeten wird.

Da man den vermeintlichen Absender kennt, wird der Aufforderung oft Folge geleistet. Immer populärer wird auch CEO-Fraud, indem sich Täter als Geschäftsführer des Unternehmens ausgeben.

Was ist ID-Diebstahl?

Was hier passiert ist Identitäts (ID)-Diebstahl. Das Beratungsunternehmen PriceWaterhouseCoopers (PWC) definiert:

“Als Identitätsdiebstahl wird die missbräuchliche Nutzung personenbezogener Daten (der Identität) einer natürlichen Person durch Dritte bezeichnet. Dabei gibt es zahlreiche Möglichkeiten, wie Kriminelle an die Daten ihrer Opfer kommen. Durch die zunehmende Digitalisierung und die steigende Nutzung sozialer Netzwerke wird es für Kriminelle immer einfacher, fremde Identitäten zu stehlen und missbräuchlich zu verwenden.“

4 wichtige Sicherheitstipps

ID-Diebstahl kann sowohl für Privatpersonen als auch Unternehmen nicht nur enorme finanzielle, sondern auch irreparable Image-Schäden zur Folge haben. Das George Clooney-Beispiel zeigt, wie leichtfertig User mit digitalen Daten umgehen – dabei braucht es nur eine einzelne Schwachstelle, um Firmendaten zu gefährden: „Egal wie viele Millionen Dollar ein Unternehmen in Sicherheit investiert – solange nur eine Person manipulierbar ist, bin ich drinnen“, verdeutlicht der ehemalige Hacker Kevin Mitnick.

Das Risiko lässt sich mit einfachen Maßnahmen wesentlich reduzieren:

1. Bewusstsein schaffen vor Social Engineering

Workshops zum Thema Social Engineering sensibilisieren Mitarbeiter auf ID-Diebstahl. ACP bietet ein Information Security Awareness Training an, indem in vier Phasen ein beispielhafter Angriff auf ein Unternehmen – von der Auswahl der Zielperson bis hin zu einem erfolgreichen Zugriff auf die IT-Systeme – anhand aktueller, tatsächlicher Geschehnisse beschrieben wird.

Um die einzelnen Phasen des Angriffs besser verstehen zu können, werden im Workshop Live-Demonstrationen gezeigt, um den Mitarbeitern die Vorgehensweise krimineller Angreifer zu vermitteln. Eine gefälschte E-Mail mit dem Hinweis auf neue Prämienregelungen wird beispielsweise oft von bis zu 70 Prozent der Mitarbeiter angeklickt.

2. Sicheres Passwort

2017 war „123456“ das meistgenutzte Passwort der Österreicher, erhob das deutsche Hasso-Plattner-Institut (HPI). Passwörter wie diese lassen sich in zwei bis drei Sekunden hacken.

Die Grundregeln für ein sicheres Passwort sind:

  • Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Auf die Länge kommt es an: Je länger das Passwort, desto höher der Zeichenraum, den ein Hacker durchspielen muss.
  • Wechsel alle drei bis vier Monate aller wichtiger Passwörter (z.B. E-Mailaccount)
  • Usability und Security sollten sich nicht ausschließen. Müssen lange und komplexe Passwörter häufig gewechselt werden, wird der Mitarbeiter Alternativwege suchen, z.B. ein Post-It am Bildschirm. Eine mögliche Lösung ist ein fixer und ein variabler Teil des Passwortes, d.h. ein Teil bleibt immer gleich, während einzelne Zeichen regelmäßig getauscht werden.

3. Multifaktor Authentifizierung (MFA)

Homeoffice, Dienstreisen oder Kundengespräche bedeuten Zugriff auf Firmendaten von oft ungesicherten WLAN-Verbindungen aus, z.B. aus der Hotel-Lobby oder einem Kaffeehaus. Zur Absicherung empfiehlt sich eine Multifaktor Authentifizierung.

Wie beim Onlinebanking werden zwei Faktoren zur Authentifizierung abgefragt: Die Login-Daten und ein Passwort, das z.B. per SMS zugeschickt wird. Hacker müssten somit zwei unterschiedliche Kommunikationswege angreifen, was das Risiko minimiert. Übrigens sind Mitarbeiter nicht haftbar, es sei denn es liegt grobe Fahrlässigkeit oder Vorsatz vor.

4. Logging

Zur Früherkennung ungewöhnlicher Aktivitäten empfiehlt sich die automatische Protokollierung von Softwareprozessen: Logging. Arbeitet ein Mitarbeiter z.B. immer von einem Ort aus und werden jedoch plötzlich Aktivitäten im Ausland sichtbar, kann das ein Hinweis auf ID-Diebstahl sein.

Fazit: Catch me if you can 2.0

Frank W. Abagnale, vielen aus dem Film „Catch me if you can“ bekannt, verdankt seine Karriere als Hochstapler neben einigen Spitzfindigkeiten vor allem einem Aspekt: Dem Faktor Mensch – mit all seiner Gutgläubigkeit, Neugierde und Hilfsbereitschaft.

Dieses Verhaltensmuster setzt sich in der digitalen Welt fort. Egal, ob persönliche oder Firmen-Accounts – gesunder Hausverstand und ein sicheres Passwort minimieren die Risiken um ein Vielfaches. Es verhält sich wie mit der Zahnbürste: Täglich benutzen, nicht teilen und regelmäßig wechseln. Unter „Have I been pwned“ lässt sich prüfen, ob die eigene E-Mail-Adresse bereits missbräuchlich verwendet wird.

New Call-to-action

Updates for innovators: Abonnieren Sie unseren Blog.