Ein Blick zurück auf 2019
Wenn ein Jahr zu Ende geht, blicken wir gerne zurück. Aus dem Blickwinkel der Informationssicherheit fallen zwei Dinge auf: Schädliche E‑Mails stellen nach wie vor die größte Gefahr dar – im Privaten als auch in der Firma. Auch in diesem Jahr sind große Datenlecks darauf zurückzuführen, dass die absoluten Grundlagen für den sorgsamen Umgang mit Informationen nicht eingehalten worden oder Mitarbeiter nicht achtsam genug agierten.
In Deutschland sorgte Anfang des Jahres der sogenannte Doxing-Hack für Schlagzeilen. Dabei wurden private und intime Informationen von fast 1.000 Politikern, Journalisten und Prominenten veröffentlicht.
Wie sich herausstellte, war die Vorgehensweise, an diese Daten zu gelangen, keine modernen technischen Angriffe, sondern vielmehr Beharrlichkeit, Geduld und Akribie. Der unbedachte Umgang mit Passwörtern oder die mehrfache Nutzung von schwachen Passwörtern führten zu dem erfolgreichen Angriff.
Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wurden nicht nur sensible Informationen der Konteneigner gestohlen, sondern auch von den Personen, mit denen sie im Kontakt standen. Als die Mobilnummer des Politikers Christian Lindner veröffentlicht wurde, haben Neugierige ihn auf WhatsApp kontaktiert, um herauszufinden, ob die Nummer tatsächlich korrekt ist:
Was lernen wir daraus?
- Wir tragen nicht nur Verantwortung für den Schutz unserer Daten, sondern auch für die derer, mit denen wir kommunizieren.
- Starke Passwörter sind wichtig – immer und überall.
Dass wir diese Passwörter schützen sollten, verdeutlicht auch die Veröffentlichung von fünf grossen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wurden in den sogenannten Collections 1–5 in diesem Jahr insgesamt 2,1 Milliarden (ja, Milliarden!) derartige Kombinationen veröffentlicht. Ob Deine E‑Mail-Adressen davon auch betroffen sind, kannst Du u.a. auf der englischen Seite https://haveibeenpwned.com überprüfen.
Dieses Jahr hat uns auch gezeigt, dass schädliche E‑Mails nach wie vor ein riesiges Problem darstellen. So wurde insbesondere der deutschsprachige Raum in diesem Jahr insbesondere durch den Virus «Emotet» stark in Mitleidenschaft gezogen. Dieser versendet glaubwürdige E‑Mails, die bei uns Vertrauen erzeugen sollen. Absender, Signaturen, Betreffzeilen sehen korrekt aus und erzeugen somit Vertrauen. Ziel ist es, dass wir auf Links klicken, damit sich im Nachgang eine Schadsoftware auf unserem Rechner installiert, die uns erpressen möchte oder Zugangsdaten stehlen will.
Daher prüfen Sie immer erst, bevor Sie einen Link in einer Mail klicken, ob das Ziel des Links vertrauenswürdig ist. Aktivieren Sie nur im absoluten Ausnahmefall Makros von angehängten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefährlichen Mails — beispielsweise mit unserem Phishing-Training.
Noch ist der Schaden, der durch Emotet entstanden ist, nicht abschätzbar – aber die zahlreichen, teils dramatischen Vorfälle, die durch die Medien gingen, zeichnen ein erschreckendes Bild.
2019 hat sehr eindrücklich gezeigt, dass sensibilisierte, achtsame Mitarbeiter ein entscheidender Faktor für den Schutz von Informationen sind. Wir möchten uns bei allen Kunden und Partnern für ein erfolgreiches SECUTAIN-Jahr bedanken und wünschen Ihnen ein sicheres und achtsames 2020!