Die Kriminalität im Internet wächst. Unter anderem machen «Ransomware-Attacken» regelmässig Schlagzeilen: Bei einem solchen Angriff entwenden Hacker mithilfe von Schadsoftware Unternehmensdaten und verschlüsseln sie. Für die Entschlüsselung stellen sie anschliessend hohe Lösegeldforderungen – wer diesen nicht nachkommt, muss damit rechnen, dass die gestohlenen Daten veröffentlicht werden.

Im Spiel befindet man sich in einer vermeintlich alltäglichen Bürosituation – wird anschliessend aber zur Zielscheibe von Cyberkriminellen. Es gilt, die Ransomware-Attacke so schnell wie möglich zu erkennen und richtig zu reagieren. Die Spielerin oder der Spieler wird dabei vor verschiedene Entscheide gestellt. Wer sich erfolgreich durch alle Aufgabenstellungen durchklickt, erhält am Ende eine persönliche Auswertung und weitere Informationen rund um den Schutz vor Hackerangriffen. Das Spiel kann von Unternehmen beliebig verwendet und in Sensibilisierungskampagnen integriert werden.

Bereits Anfang Jahr prophezeit ein Report der Versicherungsgesellschaft Allianz: Die grösste Gefahr für Unternehmen sind Hackerangriffe. Wie zur Illustration attackierten Hacker im Verlauf des Jahres so viele Unternehmen wie nie zuvor.

Dass die Gefahr aber nicht erst seit 2020 besteht, zeigen die Beispiele der Firmen Meier Tobler und Swisswindows: Das Nebikoner Gebäudetechnikunternehmen Meier Tobler kostete ein Hackerangriff im Vorjahr mehrere Millionen Franken. Noch mehr Aufsehen erregte die Pleite des Mörschwiler Fensterbauers Swisswindows mit rund 170 Mitarbeitenden. Diese sei unter anderem eine Folge eines Cyberangriffs im Frühjahr 2019, sagte der damalige CEO.

Gefahr von Hackern droht insbesondere KMUs, da hier oft das Risikobewusstsein und folglich auch entsprechende Vorsichtsmassnahmen fehlen. Doch es kann auch die Grossen erwischen, das zeigte sich im Mai: Der Bussnanger Zugbauer Stadler Rail wurde von Hackern erpresst. Diese drohten mit der Veröffentlichung sensibler Daten und forderten hohe Geldbeträge. Stadler gab nicht nach und die Erpresser veröffentlichten die Daten.

Opfer von Cyberkriminellen wurden von Frühling bis Herbst auch die ETH, ausserdem drangen Cyberkriminelle in das IT-System der Unternehmensgruppe Metall Zug ein. Den Tätern war es gelungen, interne Buchungen auf falsche Konten umzuleiten. Weitere öffentlich bekanntgewordene Angriffsziele waren die Brugg-Gruppe sowie deren Tochter Fatzer AG. Kurz darauf meldete auch die Swatch-Gruppe einen Angriff. Rund zwei Wochen dauerte es, bis die wichtigsten Systeme wieder liefen.

Im November wurde bekannt: Auch auf die Privatklinikgruppe Hirslanden gab es einen Angriff. Das Unternehmen kam glimpflich davon: Die Versorgung der Patienten wurde nicht beeinträchtigt.

Im Dezember hat es schliesslich auch den Industriekonzern Huber+Suhner erwischt: Nach einem Cyberangriff mit Schadsoftware schaltete das Unternehmen umgehend alle Arbeitsstationen aus, die Produktion war weitgehend lahmgelegt.

Die hier beschriebenen, öffentlich gewordenen Fälle sind allerdings nur die Spitze des Eisbergs. Wie unserem kürzlichen Blog-Beitrag entnommen werden kann, wird geschätzt, dass bereits jedes vierte Schweizer KMU Opfer eines Cyberangriffs wurde.

Cyberangriffe kommen in der Schweiz bei KMU häufig vor. Ein Viertel der Unternehmen mit 4 bis 49 Mitarbeitenden mussten bereits einen solchen Angriff erleben. Rund ein Drittel dieser Firmen wurde durch die Attacke finanziell geschädigt und jedes zehnte angegriffene KMU verlor Kundendaten.

Das zeigt eine aktuelle Studie im Auftrag von Digitalswitzerland, dem Nationalen Zentrum für Cybersicherheit (NCSC) des Bundes, der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW), der Schweizerischen Akademie der Technischen Wissenschaften (SATW) und der Mobiliar.

Trotz dieser hohen Zahl an Cyberangriffen fürchten nur wenige Geschäftsführer, dass ihr Geschäft attackiert werden könnte: Laut der Studie gaben rund zwei Drittel der Geschäftsführer das Risiko eines Angriffs als gering an. Nur 11 Prozent schätzen das Risiko eines Angriffs als gross ein. Befragt wurden für die Studie 503 Geschäftsführer von Unternehmen mit 4 bis 49 Mitarbeitenden in der ganzen Schweiz.

Dem Sicherheitsreport zufolge teilt sich die Entwicklung von Schadprogrammen in zwei Bereiche auf: Einerseits nimmt der Einsatz von Massen-Malware (automatisiert erstellte Schadprogramme) für breit angelegte Online-Attacken weiter stark zu. Anderseits entwickeln Cyberkriminelle vermehrt ausgeklügelte Malware für zielgerichtete Angriffe auf Unternehmen und deren digitale Infrastruktur.

Des Weiteren zeigt der Report auf, dass der Schutz bei Android- und macOS-Systemen nach wie vor mangelhaft ist.

Den AV-TEST Sicherheitsreport 2019/2020 sowie Antworten auf die Fragen zur aktuellen Bedrohungslage finden Sie hier.

Wir werden nicht müde, auf die Gefahren von Phishing aufmerksam zu machen und haben diesem Thema schon den einen oder anderen Artikel gewidmet. Diese Woche hat die Google-Schwester Jigsaw ein Quiz aufgeschaltet, mit dem jeder sein Wissen über die Betrugsmasche testen kann. Das Quiz ist derzeit nur auf Englisch verfügbar. Wer es machen möchte, muss einen fiktiven Namen und eine erfundene E-Mail-Adresse eingeben. Sie dienen lediglich dazu, die Quiz-Mails realistischer erscheinen zu lassen.

Falls Sie vor dem Test einen Refresher benötigen, empfiehlt sich, vorher unser Sicherheitsbriefing zu absolvieren.

Hier geht’s zum Everyday IT Phishing-Briefing
Und hier der Link zu Googles Phishing-Quiz

Wenn E-Mail-Postfächer vor Bestell- und Versandbestätigungen grosser Online-Shops überquellen, versprechen sich Cyberkriminelle eine höhere Trefferquote. Denn eine gut gemachte Phishing-Mail mit korrekter Anrede und einem Hinweis auf angebliche Probleme mit einer Bestellung hat in diesem Umfeld bessere Chancen, Benutzer auf gefälschte Webseiten zu locken. Besonders gefährlich sind E-Mails mit Anhang: Diese können prinzipiell Malware enthalten.

Immerhin gibt es eine zuverlässige Möglichkeit, gefälschte Webseiten im Voraus zu erkennen: Anhand der URL der Webseite, auf der man seine «Daten bestätigen» soll. Meistens reicht es, mit dem Mauszeiger über den Link zu fahren, um sich das anzusteuernde Ziel anzuschauen. Auf Mobilgeräten kann meist länger auf einen Link getippt werden, um sich die URL anzusehen.

Weitere Informationen zum Thema Phishing gibt es hier.

An dieser Stelle haben wir schon des Öfteren auf die Gefahren von Cyberangriffen hingewiesen. Dass es sich dabei keineswegs um eine abwegige Utopie handelt, sondern um ein sehr präsentes Risiko, unterstreicht der kürzliche Vorfall bei «Hellocut». Hellocut ist der schweizweit grösste Anbieter eines Online-Buchungs- und Kassenystems für Coiffeure und hat am 15. November 2018 durch einen Cyberangriff vorübergehend sämtliche Daten verloren – einschliesslich der Daten aller angeschlossenen Salons. Für die betroffenen Betriebe eine äusserst unangenehme Situation und für uns ein Grund zu hinterfragen, inwiefern der Betreiber, aber auch die Kunden selbst, ihren Sorgfaltspflichten nachgekommen sind.

Was ist aus Sicht Everyday IT schiefgelaufen?

Die verheerenden Auswirkungen des Angriffs legen nahe, dass der Anbieter seine IT nicht im Griff hatte. Das ist für den Kunden nicht ohne Weiteres ersichtlich und der Kunde kann es auch nur sehr eingeschränkt beeinflussen.

Andererseits haben sich die Kunden wohl auch zu wenig dafür interessiert, wie ihre geschäftskritischen Daten gespeichert werden.

Dazu ist nun folgendes festzuhalten:

• Jeder Internet-Teilnehmer – auch Sie – kann jederzeit Opfer solcher Angriffe werden.
• Beim Speichern von geschäftsrelevanten Daten sollten Sie daher immer im Vorfeld mögliche Risiken abklären und bewerten. Diese Aufgabe können Sie auch jemandem übertragen.
• Überschreiten bei den identifizierten Risiken die Eintretenswahrscheinlichkeit und das Schadenpotenzial ein bestimmtes Mass (nämlich die Risiko-Toleranzgrenze), müssen Vorkehrungen getroffen werden.
• Da die Aufbewahrung kritischer Geschäftsdaten von höchster Wichtigkeit ist, ist die Risiko-Toleranzgrenze dementsprechend tief. Also muss hier genau hingeschaut werden!

Informationssicherheit: Elementares Kriterium bei der Anbieterwahl

Im Fall der Nutzung von Cloud-Diensten würde es also beispielsweise Sinn machen, sich beim Anbieter nach dessen Schutzmassnahmen zu erkundigen. Bei nicht überzeugenden Antworten sollte entweder ein anderer Anbieter berücksichtigt oder – sofern möglich – die Schutzziele durch eigene Massnahmen gewährleistet werden.

Wer sollte diese Abklärungen vornehmen?

Das Einholen, Einordnen und Bewerten der Auskünfte sollte durch jemanden erfolgen, der die Wirksamkeit der Massnahmen auch tatsächlich beurteilen kann. Denn was für einen Laien zufriedenstellend klingen mag, muss noch lange keinen effektiven Schutz bedeuten. Es lohnt sich, in dieser wichtigen Phase eine Fachperson beizuziehen, welche die Abklärungen erst noch sehr viel schneller und damit kostengünstig erledigen kann.

Sicherheit ist auch eine Vertrauensfrage. Gerne empfehlen wir uns in Informatikfragen als zuverlässigen Partner.

Über das sogenannte Phishing versuchen Cyberkriminelle an geheime Nutzerdaten zu kommen. Dazu verschicken die Angreifer E-Mails und versuchen die Empfänger mit psychologischen Tricks wie dem Erzeugen von Neugier, Angst oder Handlungsdruck dazu zu bringen, auf einen Link zu klicken oder den Anhang zu öffnen. Die Qualität solcher E-Mails und der zugehörigen Webseiten nimmt laufend zu, was Angreifern zu noch besseren Chancen verhilft. Die Erfolgsquote bricht aber drastisch ein, wenn dem Empfänger bekannt ist, wie Phishing-Angriffe in der Praxis üblicherweise ablaufen. Es ist daher sinnvoll, sich das Prinzip eines Angriffs zu verinnerlichen. In der Regel besteht er aus zwei Schritten:

Schritt 1: Versand einer Phising-E-Mail

Im ersten Schritt versenden die Angreifer eine möglichst offiziell anmutende E-Mail. Diese sehen aus, als kämen sie von Banken, Online-Shops oder sonstigen Webseiten mit persönlichen Konten. Dabei wird versucht, das Opfer mit einem der folgenden Ansätze zu einer Reaktion zu verleiten:

• Der Empfänger wird mit einem Problem konfrontiert – häufig geht es darum, dass er seine Daten bestätigen soll. In diesem Fall enthält die E-Mail einen Link zu einer betrügerischen Webseite.
• Alternativ enthält die E-Mail einen Anhang, dessen Bezeichnung so gewählt wurde, dass sie den Empfänger zum Öffnen verleitet. Beim Anhang handelt es sich um Malware.

Schritt 2: Abgreifen von geheimen Daten

Klickt der Nutzer auf den Link in der E-Mail oder öffnet er den Anhang, startet Teil zwei des Angriffs:

• Im Fall des angeklickten Links wird eine betrügerische Webseite geöffnet. Diese ist vom Original kaum zu unterscheiden, sodass Nutzer immer wieder darauf hereinfallen. Wer sich auf der gefälschten Seite einloggt, sendet seine Zugangsdaten an die Angreifer. Häufig wird unter einem Vorwand ausserdem zur Bekanntgabe von weiteren Daten aufgefordert, beispielsweise zur Kreditkarte. Die so erhaltenen Daten nutzen die Angreifer dazu, die Identität des Opfers zu übernehmen und es zu schädigen.
• Im Fall des geöffneten Anhangs nistet sich eine Schadsoftware auf dem Computer des Opfers ein. Diese sammelt in der Folge Daten, welche die Angreifer zur Schädigung des Opfers verwenden können. In anderen Fällen wartet die Software den Besuch bestimmter Onlinedienste ab und leitet den Computer automatisch und unbemerkt auf gefälschte Webseiten um. Der weitere Verlauf erfolgt dann wiederum nach dem vorstehenden Punkt.

Tipps, um Phishing zu erkennen

Bei E-Mails:

• Das E-Mail enthält eine Aufforderung, auf einen Link oder Knopf im Mail zu klicken. Durch Erzeugung von Neugier, Angst oder Handlungsdruck wird versucht, eine Handlung zu provozieren.
  Beispiel: «Bei Ihrem Konto wurden nicht autorisierte Aktivitäten festgestellt. Klicken Sie hier, um sich anzumelden und das Problem zu beheben.»
• Die in der E-Mail enthaltene Adresse weicht von der offiziellen Webseitenadresse ab. Fahren Sie mit dem Mauszeiger über den mitgeschickten Link. So wird die tatsächlich hinterlegte Adresse in einer Sprechblase angezeigt. Kontrollieren Sie nun, ob es sich 1:1 um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: Im untenstehenden E-Mail entspricht die Adresse in der Sprechblase (paypal-chk.com) nicht der offiziellen Webseitenadresse (paypal.com):
  

• Sie werden nicht mit Ihrem Namen angesprochen. Anbietern, bei denen Sie ein Benutzerkonto haben, ist Ihr Name in der Regel bekannt. Ist die Ansprache dennoch unpersönlich, kann von einer Fälschung ausgegangen werden.
  Beispiel: «Sehr geehrter Kunde»
• Die Zustellung des E-Mails an Sie ist nicht plausibel. Die E-Mail kam unerwartet. Sie haben keine entsprechende Handlung vorgenommen oder in der E-Mail sind nur vage Angaben enthalten.
  Beispiel: «Ihre Bestellung bei Zalando wurde storniert» oder «Ihre Quittung N-58434759 vom 7.5.2018» (Bemerkung: Als Anhang wird ein Dokument mitgeschickt)
• E-Mail enthält interessanten Anhang. Die Bezeichnung des Anhangs erweckt Neugier, scheint aber nicht für Sie bestimmt, resp. Sie erhalten die deklarierten Informationen üblicherweise nicht.
  Beispiel: «Lohndaten 2018.doc»
• Unbekannter Absender. Die E-Mail wurde Ihnen von einer fremden Person unerwartet zugeschickt.
• Rechtschreib- und Grammatikfehler. Oft ist es das Ergebnis einer Computerübersetzung. Zwar wird die Qualität immer besser, fehlerhafte Texte bleiben aber in jedem Fall ein Warnsignal.
  Beispiel: «Aktualisieren Sie Ihre Kredit karteninformationen !»

Bei Webseiten:

• Kein Schloss-Symbol in der Adresszeile (unverschlüsselte Verbindung). Sollte ein Schloss-Symbol fehlen, handelt es sich in jedem Fall um eine unsichere Webseite. Achten Sie bei grossen Anbietern zudem darauf, ob neben dem Schloss der Firmenname in grüner Schrift aufgeführt ist (Extended-Validation-Zertifikat). In diesem Fall wurde die Webseite von einer Zertifizierungsstelle auf Echtheit geprüft.
• URL weicht von der offiziellen Webseitenadresse ab. Kontrollieren Sie in der Adresszeile des Browsers, ob es sich beim Adressteil in schwarzer Schrift tatsächlich um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: «https://www.paypal-chk.com/» statt «https://www.paypal.com/»
• Beliebige Login-Daten werden akzeptiert. Zweck einer Phishing-Webseite ist das Sammeln von Zugangsdaten. Gelingt das Login mit Fantasie-Angaben, handelt es sich eindeutig um eine unsichere Webseite.

Kontaktieren Sie uns, falls Sie mehr über Onlinesicherheit erfahren wollen.

Zur Sicherung des Datenaustausches in WLAN-Netzen wird heute meist der momentan sicherste Standard Wi-Fi Protected Access 2 (WPA2) eingesetzt. Dieser basiert auf dem Advanced Encryption Standard (AES), einem Verschlüsselungsverfahren, welches ebenfalls nach wie vor ein sehr hohes Mass an Sicherheit bietet.

Beschränkter Gefahrenperimeter

Um ein Drahtlosnetzwerk angreifen zu können, muss sich ein möglicher Eindringling prinzipiell in Reichweite des Funksignals aufhalten. Der damit verbundene Aufwand sowie allfällige bauliche Hürden senken das Risiko für Gelegenheitsangriffe bereits massiv. An dieser Stelle muss allerdings auch erwähnt werden, dass die Reichweite des WLAN nicht wirklich kontrolliert werden kann.

Bekannte Sicherheitslücken

WPA2 hat bekannte Sicherheitslücken, wie zum Beispiel die Funktion Wi-Fi Protected Setup (WPS), mit der das Hinzufügen von Geräten in ein bestehendes Netzwerk vereinfacht werden sollte, oder die neuere Angriffsmethode Key Reinstallation Attack (KRACK).

Diese Lücken können grundsätzlich durch Deaktivieren von WPS, oder im Falle von KRACK durch Patches, beseitigt werden.

Einfallstor Handshake

Es gibt aber eine generelle Schwachstelle, welche im Visier von Angreifern ist: Der Verbindungsaufbau (Handshake) zwischen dem Client und dem Access-Point. Während diesem Handshake ist die Verbindung noch unverschlüsselt, da als Grundlage für die Verschlüsselung zuerst das korrekte Passwort übermittelt werden muss. Das geschieht selbstverständlich nicht in Klartextform, sondern abstrahiert als sogenannter Hash-Wert, einer Art Fingerabdruck.

Mit geeigneter Ausrüstung kann ein Angreifer den ganzen Verbindungsaufbau aufzeichnen, womit er auch Kenntnis über diesen «Fingerabdruck» des Passworts erlangt. Das eigentliche Passwort kann anschliessend entweder durch Abgleiche gegen die Hash-Werte aller möglicher Zeichenkombinationen (wenig effizient) oder gegen die Hash-Werte von im Internet verfügbaren Passwortlisten eruiert werden.

Starke Passwörter reduzieren das Risiko

Die Erfolgsaussichten sind dabei stark abhängig von der gewählten Länge und Komplexität des WLAN-Passworts. Zur Einordnung: Die Rechenleistung, welche für das Bitcoin-Netzwerk zur Verfügung steht, kann etwa 35’000’000’000’000’000’000 (fünfunddreissig Trillionen) Hashes pro Sekunde verarbeiten. Ein komplexes 16-stelliges Passwort könnte damit in weniger als 3 Tagen von Grund auf errechnet werden, also ganz ohne Passwortlisten.

Empfehlungen

Natürlich steht keinem Angreifer eine solch geballte Rechenleistung zur Verfügung bzw. die Kosten dafür wären gigantisch. Aber die verfügbaren Ressourcen steigen. Das führt also zu unseren folgenden Empfehlungen für sicheres WLAN:

1. Nutzen Sie ausschliesslich den WPA2-Standard
2. Vergeben Sie ein langes, komplexes WLAN-Passwort
3. Deaktivieren Sie die Funktion WPS
4. Installieren Sie konsequent die aktuellsten Updates und gefahrenspezifischen Patches

Das Risiko von Schäden durch Cyberangriffe kann mittels fachgerechter Konfiguration markant vermindert werden. Sie möchten optimal geschützt sein und die Einstellungen von einer Fachperson vornehmen oder überprüfen lassen? Dann freuen wir uns auf Ihre Kontaktaufnahme. Unsere Experten sind mit allen oben genannten Technologien per Du – und mit vielen anderen mehr.