Tipps

news-header-security-awareness-tipp.png

Gefahr durch Innentäter

In diesem Artikel wird die Gefahr von Innentätern beim Schutz von Unternehmensinformationen beschrieben.

Hier geht es zum Artikel: wirtschaftsschutz.info

Was verbirgt sich dahinter.
Das Thema der Gefährdung durch Innentäter wird nicht selten tabuisiert, da es für viele Unternehmen unvorstellbar scheint, Täter in den eigenen Reihen zu haben. Die Broschüre der Initiative Wirtschaftsschutz, herausgegeben durch das Bundesamt für Verfassungsschutz, stellt jedoch fest, dass von dieser Gefahr ein sehr hohes Schadenspotenzial ausgeht. Innentäter benötigen zumeist keine hochentwickelten, technischen Hilfsprogramme, da sie ohnehin über Zugriff auf sensible Daten bzw. Insiderwissen verfügen. Es wird zudem festgestellt, dass insbesondere kleine und mittelständische Unternehmen bedroht sind, da in diesen nicht selten ein mangelnder Sicherheitsschutz vorhanden ist.

Weiterlesen »

news-header-security-awareness-tipp.png

Drive-by-Downloads

Der Artikel informiert über eine neue Form der Schadwarezustellung, die sogenannten Drive-by-Downloads, und stellt dem Nutzer zusätzlich ausführlich beschriebene Tipps zur Verfügung, wie man sich davor schützen kann.

Hier geht es zum Artikel: bundespolizei-virus.de/virenschutz/drive-by-downloads

Was verbirgt sich dahinter.
Der Artikel behandelt eine neuere Form der Schadwarezustellung. Hierbei werden Schadprogramme nicht, wie klassischerweise üblich, über Dateien im Anhang von E-Mails zugestellt – stattdessen übernehmen die Angreifer legitime Webseiten und statten diese mit einer Zusatzfunktion aus, die dazu führt, dass Schadcode auf den PC des Besuchers heruntergeladen wird. Dabei sind für den Benutzer im Regelfall nicht einmal Hinweise auf die Durchführung eines Downloads erkennbar. Der Artikel gibt 3 mögliche Tipps, um sich vor Drive-by-Downloads zu schützen: Zunächst ist der Browser stets auf dem aktuellen Stand zu halten, d.h. Updates sollten automatisch installiert werden. Weiterhin sind aktive Inhalte, die die unbemerkte Übertragung von Schadcode ermöglichen, durch ein Add-On wie NoScript zu blockieren. Zuletzt kann der Schadcode auf einen abgegrenzten Bereich auf der Festplatte (genannt Sandbox) beschränkt werden, sodass möglicher Schadcode in diesem Bereich „gefangen bleibt“ und somit einfach zu entfernen ist. Im Artikel wird die Anwendung der Schutzmöglichkeiten im Detail beschreiben.

Weiterlesen »

news-header-security-awareness-tipp.png

Sie sind ein Ziel!

Der Link verweist auf ein Security Awareness Poster, welches Computernutzern verdeutlichen soll, dass sie ein Ziel von Cyberkriminellen sind.

Hier geht es zum Artikel: sans.org

Was verbirgt sich dahinter.
Der bereitgestellte Link führt zu einem Security Awareness Poster, welches durch das SANS Institut erstellt wurde. Die Kernaussage des Posters ist, dass jeder Computernutzer ein potenzielles Ziel von Cyberkriminellen ist. Viele Nutzer sind sich nicht im Klaren darüber, dass sich auf ihren Computern und Nutzerkonten Informationen befinden, die für Cyberkriminelle wie z.B. Hacker profitabel sind. Cyberkriminelle können ihre Informationen nämlich gewinnbringend an Dritte verkaufen oder selbst Missbrauch mit diesen betreiben. Zu solchen Informationen gehören unter anderem Benutzernamen samt Passwörtern, reale sowie virtuelle Adressen, Telefonnummern und virtuelle Güter (z.B. virtuelle Zahlungsmittel).

Weiterlesen »

news-header-security-awareness-tipp.png

3 Punkte Sicherheitscheck: animiertes Lehrvideo über E-Mail Sicherheit

Dieser Artikel stellt einen 3 Punkte Sicherheitscheck vor, mit dessen Hilfe man E-Mail-Betrug erkennen soll.

Hier geht es zum Artikel: Lehrvideo zum 3 Punkte Sicherheitscheck

Was verbirgt sich dahinter.
Das hier vorgestellte animierte Lehrvideo klärt den Begriff des E-Mail-Betrugs auf und stellt den 3-Punkte-Sicherheitscheck des BSI vor. Dieser besteht aus der Prüfung des Absenders („Absender bekannt?“), des Betreffs („Betreff und Text sinnvoll?“) und des Anhangs („Anhang erwartet?“). Die Absenderzeile einer E-Mail sollte stets mit größter Sorgfalt betrachtet werden, um auch eine täuschend echt gestaltete Verfälschung des Absenders als solche zu erkennen. So lassen sich Verschleierungsversuche wie die Vortäuschung der Identität von bekannten Unternehmen, indem im Absender Teile der Unternehmensnamen verwendet werden, durch genaueres Betrachten oft durchschauen. Einen weiteren Hinweis auf einen Betrugsversuch per Spam- bzw. Phishing-Mail stellt ein unpräzise und unpersönlich formulierter Betreff wie zum Beispiel „Ihre Rechnung“ oder „Mahnung“ dar. Nicht zuletzt kann auch ein unerwarteter Anhang auf eine Schadmail hinweisen: Ein solcher Anhang enthält mit hoher Wahrscheinlichkeit Schadsoftware und sollte daher niemals unbedacht geöffnet werden.

Weiterlesen »

news-header-security-awareness-tipp.png

Security Awareness Roadmap

Unter dem Link finden Sie einen detaillierten Plan aus 5 Schritten für eine gesunde und messbare Umsetzung von Security Awareness in Ihrem Unternehmen.

Hier geht es zum Artikel: securingthehuman.sans.org

Was verbirgt sich dahinter.
Das SANS Institut stellt eine Security Awareness Roadmap zur Verfügung. Dabei handelt es sich um einen detaillierten Plan, der in 5 Schritten den Weg zu einer gesunden und messbaren Security Awareness im Unternehmen aufzeigt. Im ersten Schritt wird von einer Situation ausgegangen, in der kein Security Awareness Programm im Unternehmen existiert. Das äußert sich unter anderem darin, dass sich Mitarbeiter nicht der Möglichkeit bewusst sind das Ziel von Cyberangriffen werden zu können. Sie stellen somit einfache Opfer für bspw. Phishing Attacken dar. Der darauffolgende Schritt illustriert das Security Awareness Stadium eines Unternehmens, welches zwar bestimmte Industriestandards bezüglich der Cyber- und Informationssicherheit (z.B. PCI-DSS und ISO/IEC 27002) erfüllt, das Sicherheitsbewusstsein der Mitarbeiter jedoch nicht langfristig geschult und intuitiv in den Arbeitsablauf integriert wird. Daher zielen die folgenden Schritte in der Roadmap auf eine aktive Förderung der Security Awareness im Unternehmen ab. Erzielt werden soll ein langfristiger Verhaltenswandel bei den Mitarbeitern. Um diese Ziele überprüfbar zu machen, wird zudem ein Abschnitt vorgestellt, welcher in Frage kommende Metriken (Maßzahlen) behandelt. Diese ermöglichen die Messung von Fortschritten der Security Awareness in Unternehmen.

Weiterlesen »

news-header-security-awareness-tipp.png

Durchführung einer unternehmensinternen Phishing-Kampagne

Im Rahmen des Projekts „KMU Aware – Awareness im Mittelstand“ wird ein kurzes Dokument bereitgestellt, das Best Practices zur Durchführung einer Phishing-Kampagne im eigenen Unternehmen beinhaltet.

Hier geht es zum Artikel: awareness.usd.de

Was verbirgt sich dahinter.
Das bereitgestellte Dokument zeigt ein Vorgehensmodell auf, mit dessen Hilfe eine selbstdurchgeführte unternehmensinterne Phishing-Kampagne auf Basis des Open Source Phishing Frameworks gophish konzipiert und realisiert werden kann. Dabei unterstützt Sie das Dokument bei allen erforderlichen Schritten von der Vorbereitung über die Durchführung bis hin zur Auswertung der Kampagne. Weiterhin geht das Dokument auf hilfreiche Tipps zur Kommunikation mit Mitbestimmungsgremien, die technischen und infrastrukturellen Voraussetzungen im Unternehmen sowie die vorherige Benachrichtigung des Service-Desks ein; außerdem wird eine kleine Einführung in das Phishing Framework gophish gegeben. Zuletzt finden sich im Anhang E-Mail-Vorlagen, die zur Durchführung einer Phishing-Kampagne herangezogen werden können.

Weiterlesen »

news-header-security-awareness-tipp.png

Lassen Sie sich nicht erwischen!

Hinter diesem Link verbirgt sich ein Poster, das über Phishing und Spear Phishing aufklärt. Außerdem werden anhand eines Beispiels die Merkmale einer betrügerischen Nachricht analysiert.

Hier geht es zum Artikel: sans.org/

Was verbirgt sich dahinter.
Hinter diesem Link verbirgt sich ein vom SANS Institut erstelltes Poster. Dieses erklärt, dass es sich bei Phishing um einen psychologischen Angriff durch Cyberkriminelle handelt, der zum Ziel hat, an sensible Informationen zu gelangen. Auch die zielgerichtete Form, das Spear Phishing, wird erklärt. Um dem Leser die Wichtigkeit dieses Problems zu verdeutlichen, weist das SANS Institut darauf hin, dass jeder, sowohl am Arbeitsplatz als auch zu Hause, Ziel von Phishing werden kann. Zusätzlich ist auf dem Poster eine Phishing-Nachricht abgebildet, die auf typische Kennzeichen für betrügerische Nachrichten analysiert wird.

Weiterlesen »

news-header-security-awareness-tipp.png

No More Ransom!

In diesem Artikel werden Fragen rund um Ransomware beantwortet und Tipps gegeben, um sich davor zu schützen. Außerdem findet man ein Tool, das eigene durch Ransomware verschlüsselte Dateien analysieren kann.

Hier geht es zum Artikel: nomoreransom.org

Was verbirgt sich dahinter.
Die Webseite repräsentiert die Projektergebnisse einer Kampagne gegen Ransomware. Internationale Polizeiorganisationen wie Europol sowie IT-Sicherheitsorganisationen, unter anderem Kaspersky, tragen zu dem Projekt bei. Viele Fragen bezüglich Ransomware werden in einem Q&A-Teil der Webseite beantwortet. Eine weitere Sektion der Webseite beinhaltet eine Liste mit sechs Tipps zur Verhinderung von Ransomware-Angriffen. Hierbei ist vor allem zu nennen, dass durch die Veröffentlichung interner Daten im Internet grundsätzlich eine große Gefahr hervorgeht. Zudem hervorzuheben ist der sogenannte „Crypto Sheriff“, hinter dem sich ein Tool verbirgt, das es ermöglicht, durch Ransomware verschlüsselte Dateien hochzuladen, um sie analysieren zu lassen. Dadurch lassen sich in manchen Fällen von Ransomware Programme finden, die die verschlüsselten Dateien wieder entschlüsseln können.

Weiterlesen »

news-header-security-awareness-tipp.png

Hat jemand dein Herz gehackt? Psychologische Mechanismen die Phishing begünstigen.

Dieser Artikel verdeutlicht die Gefahr von Phishingnachrichten und legt nahe, sich gegen diese Art von Angriffen durch Mitarbeiterschulungen zu schützen.

Hier  geht es zum Artikel: Hat jemand dein Herz gehackt?

Was verbirgt sich dahinter.
Vertrauen, Autorität, Zugehörigkeitsgefühl, Neugierde, Hilfsbereitschaft – diese 5 grundlegenden Muster werden in der Cyberpsychologie-Studie von Kaspersky in Zusammenhang mit dem sogenannten Social Engineering gesetzt. Bei diesem stehen nicht der Computer und seine Schwächen im Mittelpunkt, sondern der Mensch. Gerade beim Phishing machen sich Angreifer den Schwachpunkt Mensch zunutze, um an vertrauliche Informationen zu gelangen. Dabei haben sich die Angriffsmethoden von mit Rechtschreibfehlern gespickten E-Mails hin zu sehr professionell aussehenden und personalisierten (und somit deutlich schwerer zu erkennenden) Phishingnachrichten entwickelt. Der Artikel legt nahe, dass eine effektive Methode, sich gegen Angriffe dieser Art zu schützen, „die frühzeitige Schulung für den Umgang mit dem Internet“ ist, also beispielsweise Security Awareness Schulungen für Mitarbeiter durchzuführen.

Weiterlesen »

news-header-security-awareness-tipp.png

Gefährliche Kuckuckseier: E-Mails mit falschem Absender

Dieser Artikel des BSI vermittelt Ihnen Kenntnisse, wie Sie E-Mails mit falschem Absender erkennen können.

Hier geht es zum Artikel: bsi-fuer-buerger.de/BSIFB/DE/Risiken

Was verbirgt sich dahinter.
Um Phishing E-Mails dem Empfänger gegenüber vertrauenswürdiger erscheinen zu lassen, wird die Absenderadresse häufig gefälscht. Dabei werden beispielsweise Adressen bekannter Unternehmen oder öffentlicher Einrichtungen missbraucht.  Ziel ist es, den Empfänger durch das aufgebaute Vertrauensverhältnis dazu zu bewegen, einen schädlichen Anhang auszuführen. Dieser Artikel des BSI vermittelt Kenntnisse darüber, wie E-Mails mit falschem Absender erkannt werden können. Hierzu werden Merkmale, wie typische Betreffzeilen und E-Mail-Header solcher Nachrichten thematisiert. Zudem wird auf die Gefahr, die von Anhängen ausgeht, eingegangen und Ratschläge für den Umgang mit solchen E-Mails gegeben. Abschließend werden Technologien vorgestellt, die eine Feststellung des Urhebers ermöglichen sollen.

Weiterlesen »