IT-Sicherheit in Zeiten der Coronakrise

Was sind die häufigsten Cyberangriffe auf Unternehmen oder Privatpersonen?

Die Corona-Krise macht auch vor dem Thema IT-Sicherheit nicht halt. Kriminelle nutzen die Unsicherheit und Angst der Bevölkerung aus, um ihre Aktivitäten durchzuführen. Die Anzahl flächendeckender Angriffe ist zwar zurückgegangen, allerdings ist die Zahl von zielgerichteten Angriffen gestiegen. Der erste Schritt eines Cyberangriffs auf Unternehmen oder auch Privatpersonen erfolgt oft über eine Phishing-Attacke. Dieser Angriffspfad tritt aufgrund der Einfachheit und den hohen Erfolgschancen nach wie vor am häufigsten auf. Sie erhalten ein Email mit einer „Story“, die Ihnen plausibel erscheint und die Sie dazu bringt auf einen Link zu klicken, eine Schadsoftware zu installieren oder persönliche Daten, wie zum Beispiel Benutzernamen und Passwörter, preiszugeben.

Derzeit ist es sehr einfach, eine glaubwürdige Geschichte für eine Phishing-Kampagne zu verfassen.

Einige Beispiele für glaubwürdige Corona-Geschcichten in Phishing-Emails:

• Unlimitierter Internet Zugang von A1
• Neue Ausgangsbeschränkungen durch die Bundesregierung
• Sie wurden von der Behörde für einen Corona Test ausgewählt
• Ihr Paket vom Onlineshop wurde an eine falsche Adresse geliefert
• Kostenlose Schutzmasken vom Gesundheitsministerium

Phishing-Attacken am Masterstudiengang „IT & Mobile Security“

Im Rahmen von Projekten am Studiengang„ IT & Mobile Security" an der FH JOANNEUM in Kapfenberg werden auch simulierte Phishing-Angriffe gegen Mitarbeiterinnen und Mitarbeitern von Unternehmen durchgeführt. Die Phishing-Tests sind meist Teil einer Security Awareness Kampagne des Unternehmens und sollen zeigen, wie einfach ein erfolgreiches Phishing-Mail gestaltet werden kann. Einige Minuten Recherche auf der Webseite des Unternehmens liefern bereits wertvolle Informationen für die Inhaltsgestaltung.

Aus Sicht einer Angreiferin oder eines Angreifers muss der Inhalt einer Phishing-Mail so interessant sein, dass Opfer gerne auf einen Link klicken oder eine gewünschte Aktion ausführen. Sehr erfolgreiche Themen in diesem Zusammenhang sind zum Beispiel eine neue Überstundenregelung, Ergebnisse aus den Gehaltsverhandlungen, personelle Veränderungen in der Chefetage usw. Die Erfahrungen aus Phishing-Tests zeigen ein „Erfolgsrate“ von 10-20 % bei schlecht gestalteten Emails mit Rechtschreibfehlern und holpriger Sprache bis hin zu 80-90 % bei Informationen, die direkt auf das Unternehmen zugeschnitten sind. Es existieren natürlich technische Maßnahmen wie zum Beispiel Email-Content-Filter, Sender Policy Framework (SPF), Grey-Listing, End Point Protection und Firewalls, die die Zustellung derartiger Emails einschränken beziehungsweise die nachfolgenden Aktionen verhindern. Gesundes Misstrauen und Awareness bei den Mitarbeiterinnen und Mitarbeitern stellt aber nach wie vor den besten Schutz dar.

Die Zahl der Fake-Onlineshops stieg während der Coronakrise

Neben Phishing hat die Corona Krise auch eine Vielzahl von Fake-Onlineshops entstehen lassen. Die Shops werben mit Corona Schutzausrüstung, wie zum Beispiel Atemschutzmasken, Schutzhandschuhe oder Desinfektionsmittel. Nachdem diese Artikel kaum verfügbar sind, fallen immer wieder Opfer darauf herein. Die Shops sind meist nur kurz online und sehen einem vertrauenswürdigen Shop sehr ähnlich beziehungsweise sind eine nachgemachte Kopie des originalen Shops und auf einer leicht veränderten Internet Adresse zu finden – zum Beispiel www.anazon.de anstatt www.amazon.de. Große Onlineshops kaufen mittlerweile auch die leicht verwechselbaren Fake-Domainnamen auf, um ihre Kundinnen und Kunden wieder automatisch auf den Original-Shop umzuleiten. Sie erkennen Fake-Shops oft an konkurrenzlos „günstigen“ Preisen, fehlender HTTPS Verschlüsselung, Zahlung nur per Vorkasse und fehlenden beziehungsweise gefälschten Gütezeichen. Klicken Sie auf das Gütezeichen des Shops (zum Beispiel: Trusted Shops) und überprüfen dort die Vertrauenswürdigkeit des Shops.