Ein Blick zurück auf 2019

Wenn ein Jahr zu Ende geht, bli­cken wir ger­ne zurück. Aus dem Blickwinkel der Informationssicherheit fal­len zwei Dinge auf: Schädliche E‑Mails stel­len nach wie vor die größ­te Gefahr dar – im Privaten als auch in der Firma. Auch in die­sem Jahr sind gro­ße Datenlecks dar­auf zurück­zu­füh­ren, dass die abso­lu­ten Grundlagen für den sorg­sa­men Umgang mit Informationen nicht ein­ge­hal­ten wor­den oder Mitarbeiter nicht acht­sam genug agier­ten.

In Deutschland sorg­te Anfang des Jahres der soge­nann­te Doxing-Hack für Schlagzeilen. Dabei wur­den pri­va­te und inti­me Informationen von fast 1.000 Politikern, Journalisten und Prominenten ver­öf­fent­licht.

Wie sich her­aus­stell­te, war die Vorgehensweise, an die­se Daten zu gelan­gen, kei­ne moder­nen tech­ni­schen Angriffe, son­dern viel­mehr Beharrlichkeit, Geduld und Akribie. Der unbe­dach­te Umgang mit Passwörtern oder die mehr­fa­che Nutzung von schwa­chen Passwörtern führ­ten zu dem erfolg­rei­chen Angriff.

Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wur­den nicht nur sen­si­ble Informationen der Konteneigner gestoh­len, son­dern auch von den Personen, mit denen sie im Kontakt stan­den. Als die Mobilnummer des Politikers Christian Lindner ver­öf­fent­licht wur­de, haben Neugierige ihn auf WhatsApp kon­tak­tiert, um her­aus­zu­fin­den, ob die Nummer tat­säch­lich kor­rekt ist:

Was ler­nen wir dar­aus?

  1. Wir tra­gen nicht nur Verantwortung für den Schutz unse­rer Daten, son­dern auch für die derer, mit denen wir kom­mu­ni­zie­ren.
  2. Starke Passwörter sind wich­tig – immer und über­all.

Dass wir die­se Passwörter schüt­zen soll­ten, ver­deut­licht auch die Veröffentlichung von fünf gros­sen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wur­den in den soge­nann­ten Collections 1–5 in die­sem Jahr ins­ge­samt 2,1 Milliarden (ja, Milliarden!) der­ar­ti­ge Kombinationen ver­öf­fent­licht. Ob Deine E‑Mail-Adressen davon auch betrof­fen sind, kannst Du u.a. auf der eng­li­schen Seite https://haveibeenpwned.com über­prü­fen.

Dieses Jahr hat uns auch gezeigt, dass schäd­li­che E‑Mails nach wie vor ein rie­si­ges Problem dar­stel­len. So wur­de ins­be­son­de­re der deutsch­spra­chi­ge Raum in die­sem Jahr ins­be­son­de­re durch den Virus «Emotet» stark in Mitleidenschaft gezo­gen. Dieser ver­sen­det glaub­wür­di­ge E‑Mails, die bei uns Vertrauen erzeu­gen sol­len. Absender, Signaturen, Betreffzeilen sehen kor­rekt aus und erzeu­gen somit Vertrauen. Ziel ist es, dass wir auf Links kli­cken, damit sich im Nachgang eine Schadsoftware auf unse­rem Rechner instal­liert, die uns erpres­sen möch­te oder Zugangsdaten steh­len will.

Daher prü­fen Sie immer erst, bevor Sie einen Link in einer Mail kli­cken, ob das Ziel des Links ver­trau­ens­wür­dig ist. Aktivieren Sie nur im abso­lu­ten Ausnahmefall Makros von ange­häng­ten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefähr­li­chen Mails — bei­spiels­wei­se mit unserem Phishing-Training.

Noch ist der Schaden, der durch Emotet ent­stan­den ist, nicht abschätz­bar – aber die zahlreichen, teils dramatischen Vorfälle, die durch die Medien gingen, zeich­nen ein erschre­cken­des Bild.

2019 hat sehr ein­drück­lich gezeigt, dass sen­si­bi­li­sier­te, acht­sa­me Mitarbeiter ein ent­schei­den­der Faktor für den Schutz von Informationen sind. Wir möch­ten uns bei allen Kunden und Partnern für ein erfolg­rei­ches SECUTAIN-Jahr bedan­ken und wün­schen Ihnen ein siche­res und acht­sa­mes 2020!