Wie schütze ich mich?
Aktuelle Informationen zum Thema IT-Sicherheit
Allgemeines
- Phishing-Emails zielen inzwischen nicht nur auf Bankkunden oder Paypal-Nutzer, sondern gegen fast alle Dienste mit persönlichen Daten.
- Phishing-Attacken richten sich z.B. gegen DHL-Packstationen, Online-Shops wie Amazon, Ebay, auf Festnetz- und Mobilfunk-Anbieter, Online-Gamer, Facebook, Twitter oder an Freemail-Provider.
- Phishing-Emails setzen inzwischen nicht nur auf Konto-oder Passwort-Aktualisierungen, sondern täuschen auch falsche Überweisungen, Abbuchungen oder Lieferungen vor, die man in seinem Konto prüfen soll.
- Kriminelle arbeiten oft mit einer emotionalen Sprache bzw. versuchen mit Einschüchterung wie Fristen oder Terminen zu bestimmten Aktivitäten zu verleiten.
- Viele Email-Programme auf Smartphones erlauben es nur schwer, Header/Body einer Email zu prüfen und z.B. versteckte Links oder das Sender-Spoofing zu erkennen. Vergewissern Sie sich deshalb im Idealfall zusätzlich auf einem Computer.
- Nachgebaute Phishing-Seiten unterscheiden sich optisch kaum von den echten Webseiten, z.B. einer Bank.
Wie bleibe ich geschützt?
- Folgen Sie uns auf Facebook oder Twitter. Wir zeigen Ihnen dort regelmäßig Screenshots und Beispiele aktueller Phishing-Emails.
- Auf den Webseiten von Phishtank oder IsItPhishing.org können Sie prüfen, ob es sich bei Emails oder Links um Betrug handelt.
Woran erkenne ich Phishing-Emails
- Phishing-Emails sind inzwischen kaum von echten Emails zu unterscheiden. Sie setzen auf echte Templates oder enthalten realistische Signaturen und Kontaktdaten.
- Aufgrund der vielen Datendiebstähle enthalten Phishing-Emails immer öfter auch Ihre Daten, wie z.B. Ihren Namen, Telefonnummer oder Ihre Anschrift.
- Seien Sie im Zweifel immer skeptisch. Wenn Sie eine Email bekommen, dass von Ihrem Konto ein Betrag abgebucht wurde, klicken Sie trotzdem niemals auf den Link oder die angebliche Rechnung.
- Selbstverständlich möchten Sie dies zur Sicherheit persönlich prüfen – rufen Sie dann aber bitte die Seite Ihrer Bank oder von Paypal manuell im Browser auf.
- Angebliche Kundennummern sind in Phishing Emails meist gefälscht.
- Ein Rechnungsbetrag ist bewusst niedrig gehalten – eine Abbuchung von 39,99 EUR ist realistischer als eine Summe von 14711,15 EUR.
- Phishing Emails werden sprachlich immer besser, dennoch enthalten Sie noch immer 1-2 leichte Rechtschreibfehler, Wörter in anderen Sprachen oder nicht-gebräuchlichen Satzbau. Aktuell sind die Personen mit guten Grammatik-Kenntnissen im Vorteil, denn die richtige Komma-Setzung in Phishing-Emails ist weiterhin miserabel.
Wie schütze ich mich?
- Setzen Sie auf einen Anti-Viren-Schutz mit einem Spam-und Phishing-Filter.
- Setzen Sie einen Anti-Viren-Schutz inkl. Spam- und Phishing-Filter auch auf Ihrem Smartphone oder Tablet ein.
- Öffnen Sie niemals die Anhänge von Emails unbekannter Personen.
- Klicken Sie niemals auf die Links in den Emails unbekannter Personen.
- Sollten Sie dennoch auf eine Phishing-Seite gelangen, laden Sie dort niemals die dort angebotene Software herunter.
- Seien Sie immer skeptisch, wenn Sie im Internet aufgefordert werden, ihre Daten zu aktualisieren.
- Weiterleitungen über die Phishing-Nachricht, können legitimen Webseiten erstaunlich ähnlichsehen.
- Achten Sie beim Besuch eines Webshops, einer Bank, oder sonstigen Webseite, wo Sie persönliche Daten hinterlegt haben, auf das Sicherheitszertifikat – das grüne und geschlossene Vorhängeschloss zu Beginn der Browserzeile.
Wie sie sich vor Ransomware schützen
Allgemeines
- Halten Sie Ihr Betriebssystem, Ihren Browser, die Plugins, die installierten Programme, Treiber und Ihr gesamtes System stets aktuell
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge
- Deaktivieren Sie standardmäßig die Makros in Ihren Office-Programmen
- Laden Sie Dokumente und Programme nur aus vertrauenswürdigen Quellen herunter
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software auf allen Ihren Geräten
Ransomware verschlüsselt auch Smartphones, Mac und Linux-Systeme – schützen Sie sich auch auf solchen Systemen
Wie schütze ich mich?
- Setzen Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und vermeiden Sie das Arbeiten mit vollen Admin-Rechten
- Richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Setzen Sie zusätzlich auf einen verhaltensbasierten Antiviren-Schutz , welche neben Ihren regulären AV-Programm zusätzlichen Schutz gegen aktuelle und künftige Bedrohungen von Ransomware bieten.
Backups
- Machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf.
- Setzen Sie ein Programm ein, welches automatisch Backups anlegt oder nutzen Sie die Bordmittel Ihres Betriebssystems dazu ein
- Trennen Sie die Backups von Ihrem System und bewahren Sie diese getrennt auf. Die neueste Generation von Ransomware sucht gezielt nach Backups auf externen Festplatten, Netzlaufwerken oder in der Cloud und verschlüsselt diese mit
- Ein Backup hilft auch nur dann, wenn Sie auch in der Lage sind, es wieder einzuspielen. Machen Sie sich damit ebenfalls vertraut, bevor es zum Ernstfall kommt.
Der beste Schutz und einzige Schutz vor Ransomware ist Ihr Backup
Weitere Informationen
- Folgen Sie uns auf Facebook oder Twitter. Wir zeigen Ihnen dort regelmäßig Screenshots und Beispiele aktueller Ransomware
- Unsere Ransomware-Archiv gibt Ihnen einen Überblick über aktuelle Ransomware und zeigt Ihnen, ob Sie sich mit einem Decryptor entschlüsseln lässt.
Wie Sie sich vor Spam schützen können
Wie schütze ich mich vor Spam-Emails?
- Schützen Sie Ihre Email-Adresse, die Sie für wichtige Kommunikation wie mit Ihrer Bank, bei Bewerbungen oder mit Freunden und Familie verwenden.
- Legen Sie sich eine zweite, oder gar dritte Email-Adresse für Newsletter, Online-Shops, Webdienste oder Logins für öffentlichen W-LANs an.
- Vermeiden Sie, dass der Versender eine Bestätigung über die Validität Ihres Email-Accounts bekommt, z.B. durch automatische Abwesenheits-Benachrichtigungen.
- Deaktivieren Sie den Empfang von HTML-Emails in Ihrem Email-Programm wie Outlook oder Thunderbird. So wird vermieden, dass z.B. Cookies nachgeladen werden.
- Hinterlassen Sie Ihre Email-Adresse nicht im Klartext im Internet, z.B. in Gästebüchern, Blog-Kommentaren oder Online-Foren.
- Wenn Sie Ihre Email-Adresse nicht zwingend angeben müssen, dann tun Sie das auch nicht.
- Setzen Sie einen Spam-Filter ein, Ihr Freemail-Provider bietet dies meist kostenlos an.
- Setzen Sie einen Anti-Viren-Schutz ein, und achten Sie darauf, dass dieser auch Ihre Emails beim Empfang scannt.
- Halten Sie Ihr System aktuell und installieren Sie regelmäßig Updates.
Wie verhalte ich mich beim Erhalt einer Spam richtig?
- Antworten Sie nicht auf Spam-Emails, auch nicht, wenn ein Unsubscribe oder Abmelde-Link eingefügt ist.
- Öffnen Sie niemals einen Anhang eines unbekannten Absenders.
- Klicken Sie nicht auf Links in den Emails, dadurch lässt sich Ihre Email-Adresse validieren und Sie erhalten in Zukunft noch mehr Spam.
- Absender-Adressen lassen sich leicht manipulieren, achten Sie darauf, ob der Empfänger mit der Email-Adresse übereinstimmt (Email-Spoofing).
Hinterfragen Sie den Inhalt und die Versprechen in Spam-Emails.
- Medikamente und Kosmetik sind meist gefälscht und oft wirkungslos – Sie gefährden Ihre eigene Gesundheit mit solchen Produkten.
- Erotik- und Dating-Angebote per Spam-Email sind meist äußerst kostenpflichtig und versprechen selten Erfolg.
- Finanz-oder Börsenangebote sind in der Regel zwielichtig, wenden Sie sich lieber an Ihren Finanzberater.
- Seien Sie bei Angeboten als Mittelsmann für Finanzaktionen sehr vorsichtig, genauso wie bei möglichen “Erbsachen”. Sie machen sich unter Umständen sogar strafbar.
- Seriöse Anbieter von Elektronik-oder Haushalts-Produkten schreiben Ihnen nicht ungefragt unpersönliche Massen-Emails.
- Spammer wollen nur “das Beste” von Ihnen – Ihr Geld. Achten Sie gut darauf.
Wie bleibe ich geschützt?
Tipps zum sicheren Online-Banking
Was ist zu beachten?
Ihre Bank wird Sie niemals per Email zur Aktualisierung Ihrer Online-Daten auffordern, auch nicht per Telefon!
- Reagieren Sie nicht auf Phishing E-Mails und deren Anhänge bzw. SMS oder Anrufe.
- Verwenden Sie beim digitalen Online-Banking nur starke Passwörter.
- Setzen Sie nur aktuelle Browser wie z.B. Chrome und Firefox ein und halten Sie diese auf dem neuesten Stand.
- Nutzen Sie die Zwei Faktor Authentifizierung, wenn diese angeboten wird.
- Überprüfen Sie regelmäßig die Kontenbewegung bei Ihrer Bank.
- Betreiben Sie nur Online-Banking von eigenen bzw. von vertrauenswürdigen Geräten.
- Wenn Sie Online-Banking vom Smartphone oder Tablet betreiben, halten Sie sich an die selben Sicherheitsstandards (Updates, AV-Schutz usw.) wie bei Ihrem PC.
- Richten Sie sich Limits bei der Bank ein (Tages-, oder Dispo-Limits).
- Installieren Sie grundsätzlich einen Antiviren-Schutz auf dem Rechner und aktualisieren Sie das Programm regelmäßig.
- Achten Sie besonders bei Bankgeschäften auf eine gesicherte Verbindung und vermeiden Sie offene oder unsichere WLANs, z.B. in Cafes oder Hotels.
- Betreiben Sie Online-Banking nur in eigenen Netzwerken bzw. nutzen Sie dazu eine VPN-gesicherte Übertragung.
- Achten Sie bei der Eingabe ihres Logins beim Online-Banking darauf, dass Ihnen niemand über die Schulter schaut.
- Wenn Sie sich bei einer Email nicht sicher sind, kontaktieren Sie im Zweifel Ihre Bank.
Weiterführende Links
- Besuchen Sie den Abschnitt über Phishing und lernen Sie, wie man sich allgemein vor Phishing schützt.
- Folgen Sie uns auf Facebook oder Twitter. Wir zeigen Ihnen dort regelmäßig Screenshots und Beispiele aktueller Phishing-Emails.
- Auf den Webseiten von Phishtank oderIsItPhishing.org können Sie prüfen, ob es sich bei Emails oder Links um Betrug handelt.
- Wenn Sie merken, dass unbekannte Zugriff auf Ihr Bankkonto erlangt haben, wenden Sie an den Sperr-Notruf oder rufen Sie die Nummer 116 116 an.
Angriffsszenarien
Phishing der Zugangsdaten-Daten
- Die sicherste Abwehr erhalten Sie, wenn Sie bei E-Mails die angeblich von der Bank kommen grundsätzlich nicht auf eingebettete Links klicken.
- Rufen Sie die Website Ihrer Online-Bank stattdessen manuell durch Eingabe der Adresse bzw. Lesezeichen im Browser auf. Sofern Ihre Bank etwas von Ihnen “möchte”, sollten Sie die Information in Ihrem Online-Bankkonto vorfinden.
Viren und Trojaner
- Viren und Trojaner installieren sich oft unbemerkt z.B. durch das Öffnen einer Datei aus einer Email oder per Download.
- Meist bietet hier ein aktuelles Antiviren Schutzprogramm, in Kombination mit einem 2nd Opinion-Scanner, Schutz vor diesen Schädlingen.
- Diese Programme erkennen Banking-Trojaner meist an ihrem Verhalten und blockieren diese vor der Installation auf Ihrem Computer.
Man-in-the-Middle-Angriff
- Bei einem Man-in-the-Middle-Angriff sitzt der Angreifer im gleichen Netzwerk wie der Anwender.
- Der Angreifer kann dabei den kompletten Netzwerkverkehr mitlesen und kann so die Zugangsdaten wie PIN und TAN des Anwenders ausspionieren.
Man-in-the-Middle-Angriff funktionieren nur in unverschlüsselten Netzwerken, wie z.B. in Cafes oder Hotels. Seien Sie deshalb besonders in solchen Netzen Bank vorsichtig.
Telefon-Anrufe
- Immer häufiger versuchen Kriminelle per Anruf an die Online-Daten Ihrer Opfer zu kommen, in dem Sie sich als Mitarbeiter einer Bank ausgeben.
- Dabei versucht der Anrufer den Kunden dazu zu bewegen eine Software, meist ein Trojaner, zu installieren.
- Keine Bank wird Sie jemals auffordern, per Telefon Ihre Online-Banking-Daten zu aktualisieren.
Wie man ein starkes* Passwort erstellen kann
Woraus besteht ein starkes Passwort?
- Ein starkes Passwort sollte Groß- und Kleinbuchstaben enthalten. (a-z, A-Z)
- Ein starkes Passwort sollte Zahlen enthalten. (0-9)
- Ein starkes Passwort sollte Sonderzeichen enthalten. (!@#$%^*()_+|~-=`{}[]:”;’?,./)
- Ein starkes Passwort sollte min. 10 Zeichen enthalten. Generell gilt: je länger, desto stärker!
Was sollte ein starkes Passwort nicht enthalten?
- Ein starkes Passwort sollte kein Wort enthalten, was sich z.B. in einem Wörterbuch befindet oder aus Eigennamen zusammensetzt – unabhängig von Sprache, Dialekt, Jargon oder Slang, etc.
- Ein starkes Passwort sollte keine persönlichen Informationen enthalten, wie die Namen von Familienmitgliedern, Haustieren, Adressen oder Geburtsdaten.
Wie merke ich mir dann ein starkes Passwort?
- Starke Passwörter kann man sich einfach merken, wenn man es z.B. auf einem Liedtitel oder Sprichwort aufbaut. Beispiel: “This May Be One Way To Remember” und das Passwort könnte lauten: “TmB1w2R!” oder “Tmb1Wry~”.
- Passwort-Manager wie KeePass erstellen automatisch starke Passwörter und speichern diese in einem Schlüsselbund. Man muss sich nur noch ein einziges Passwort, dass des Schlüsselbunds, merken.
Weitere Tipps
- Wenn Du ein neues Kennwort vergibst, verwende kein Passwort, welches Du bereits in der Vergangenheit benutzt hast.
- Verwende jedes Passwort nur einmal, egal ob für deinen Laptop, Online-Spiel, Social Media, WebShop usw.
- Wann immer es geht, verwende nicht die “Passwort merken”-Funktionen von Anwendungen wie z.B. im Browser oder bei mobilen Apps.
- Speichere oder notiere Dir deine Passwörter niemals im Klartext, bspw. in einem Word-Dokument, Text-Datei, PostIt oder einem Notizbuch.
- Achte darauf, dass Dir bei der Passwort-Eingabe niemand über die Schulter schaut.
- Das stärkste Passwort bleibt unsicher, wenn Du bei Sicherheitsfragen zur Passwort-Wiederherstellung auf unsichere Antworten setzt, die sich per Social Engineering leicht herausfinden lassen. Beispiel: “Was lautet der Name deiner Mutter”.
- Lege Passwörter nicht auf Funktionstasten (Hotkeys) ab.
- Ändere ein Passwort auch schon bei dem Verdacht auf Kenntnisnahme durch Dritte.
- Bevorzuge Dienste, die auf Zwei-Faktor Authentifizierung setzen.
*Anmerkung: Stark vs. Sicher
Wir verzichten bewusst auf die Aussage “Sicheres Passwort”, denn kein Passwort ist 100% sicher. Wir geben euch bloß Tipps, wie ihr ein möglichst starkes Passwort erstellt, welches sich nur sehr schwer und mir sehr viel Aufwand entschlüsseln lässt. Auch Passwörter bestehen nur aus Binär-Zahlen, die sich per Brute-Force Attacke knacken lassen. Mal schneller, mal langsamer. Social Engineering oder gravierende Sicherheitslücken bei Diensten, denen Ihr euer Passwort anvertraut habt, stellen andere Schwachstellen dar. Sogar die als “Unknackbar” geltende Verschlüsselung per Quantenkryptografie hat 2015 ihren Nimbus verloren.
Weiterführende Links
Tipps zum Absichern Ihres WLAN
WLAN Verschlüsselung
- WLAN Router bieten verschiedene Möglichkeiten, um den Datenverkehr und die Anmeldung eines Benutzers zu verschlüsseln und zu sichern. Verwenden Sie stets die aktuellste Methode und verzichten sie auf den sogenannten Mixed Mode (WPA + WPA2) – dieser stellt zwar sicher, dass sie auch mit älteren Geräten kommunizieren können, bremst die WLAN Geschwindigkeit allerdings auf maximal 54 Mbit/s ab.
- WEP (unsicher und veraltet)
- WPA (sicher und veraltet)
- WPA2 (sicher und aktuell)
Das WLAN Passwort
- Meist steht auf der Unterseite Ihres Routers bereits ein voreingestelltes Passwort für Ihr WLAN. Ändern Sie dieses unbedingt und verwenden Sie dazu ein starkes Passwort wie hier beschrieben.
- Auch die voreingestellten Zugangsdaten zu Ihrem WLAN Router, also das Admin-Passwort und wenn möglich den Admin-Login Namen, sollten Sie umgehend ändern! Kombinationen von Root/Admin und ähnliches sind innerhalb von Sekundenbruchteilen zu knacken. Schalten Sie auch den Administrator Zugang über WLAN aus, falls sie diesen nicht unbedingt benötigen. So können Sie auf die Adminstrationsoberfläche Ihres Routers nur über LAN zugreifen und sperren damit potentielle Angreifer von außen aus.
WPS – Die Verbindungshilfe
- WPS – WiFI-Protected_Setup hilft ein Gerät mit dem Router zu verbinden, ohne umständlich das WLAN Passwort eintippen zu müssen.
- Bei WPS-PBC drücken Sie dazu einen Knopf am Router (oder aktivieren den Mechanismus in der Administrationsoberfläche Ihres Routers). Das erste WLAN Gerät, welches sich nun per WPS mit dem Router verbinden möchte, bekommt das Passwort übermittelt.
- Bei WPS-Pin legen Sie in Ihrem WLAN-Router einen achtstelligen Pin an welche das zu verbindende Gerät dem Router übermitteln muss, um das WLAN Passwort mitgeteilt zu bekommen. Allerddings ist diese Methode immer aktiv und kann demzufolge nach sehr leicht angegriffen werden.
- Wenn Sie nicht auf den Komfort von WPS verzichten wollen und öfter neue Geräte in Ihr WLAN aufnehmen, so verwenden Sie aus Sicherheitsgründen WPS-PCB und verzichten Sie auf das unsicherere WPS-Pin Verfahren. Schalten Sie WPS ab, wenn Sie es nicht benötigen.
Weitere Tipps
- Haben Sie oft Bekannte oder Gäste zuhause und wollen Sie diesen WLAN Zugang gewähren? Richten Sie den Gast Zugang in Ihrem WLAN Router ein. Dieser richtet einen eigenen Zugang ins WWW für Ihre Gäste ein und trennt Ihr WLAN und den Zugang zu Ihrem Intranet von diesem ab.
- WLAN unsichtbar machen. Wenn Sie die Übertragung der SSID also des Namens Ihres WLANs abschalten, so ist ihr WLAN nach außen unsichtbar. Mit speziellen Tools kann es immer noch gefunden und auch angegriffen werden, es erschwert einem Angreifer aber die Arbeit. Nachteilig ist hier allerdings, dass einige Geräte nicht mit versteckten SSID zurechtkommen und dass Sie beim Einrichten neuer Geräte die SSID manuell eintragen müssen.
- Vergeben Sie feste IP Adressen für Ihre Geräte. So können Sie die DHCP Funktion Ihres WLAN Routers abschalten und verhindern zuverlässig, dass sich neue Geräte mit Ihrem WLAN verbinden können. Ein Nachteil ist allerdings der hohe Aufwand – jedes Gerät muss individuell eingerichtet werden.
- Einfacher ist es dagegen, Ihr WLAN so zu konfigurieren, dass es nur Verbindungen von Geräten mit bestimmten MAC-Adressen (quasi eine Individuelle Kennung jedes Netzwerkgerätes) zulässt. Der MAC-Filter lässt sich in Ihren Router-Einstellungen konfigurieren und lässt nur die eingetragenen MAC-Adressen zu. Leider lässt sich auch diese Hürde für einen Angreifer überwinden – die Kombination der verschiedenen Verfahren legt die Messlatte aber sehr hoch, so dass potentielle Angreifer oft abgeschreckt werden und sich einfacheren Zielen zuwenden.
- Aktualisieren Sie ihre Routersoftware. Überprüfen Sie auf den Webseiten Ihres Routerherstellers regelmäßig, ob Patches und Updates für Ihren Router angeboten werden. Zwar erscheinen diese sogenannten Firmwareupdates nicht allzu häufig, es lohnt sich aber regelmäßig zu überprüfen, ob der Hersteller Updates anbietet, die eventuelle Schwachstellen beseitigen oder neue Funktionen zur Verfügung stellen.
Weiterführende Links