Phishing Mails, ungesicherte öffentliche WLANs, Social Engineering – die Bedrohungen für die Informationsverarbeitung sind vielfältig. Auswirkungen und Handlungsmöglichkeiten, wie Sie die Informationssicherheit im Unternehmen unterstützen können, finden Sie in diesem Kapitel.
Bedrohungen für die Informationsverarbeitung
Kapitel 2
Eine unterschätzte Bedrohung
Täglich werden über 300 Milliarden E-Mails weltweit versendet. Viele davon sind Phishing-Mails. Aus diesem Grund zählt Phishing zu den häufigsten Cyber-Attacken. Phishing-Mails sind betrügerische E-Mails, die das Ziel verfolgen, den Menschen Informationen zu entlocken, die sie gewöhnlich nicht preisgeben würden (z.B. Zugangsdaten) oder sie zum Ausführen von Aktionen zu verleiten, die sie gewöhnlich nicht tun würden (z.B. Ausführen von Schadsoftware).
Phishing ist häufig der erste Schritt, um Unternehmen zu unterwandern, ihnen vertrauliche Informationen zu entwenden und sie dann zu erpressen. Neben wirtschaftlichen, entstehen dann erhebliche Reputationsschäden. Diese können sogar die Existenz von Unternehmen bedrohen.
Scrollen Sie weiter und klicken Sie auf die Zahlen, um Näheres über Phishing-Mails zu erfahren.
Der Begriff "Phishing" setzt sich aus den englischen Wörtern "password" und "fishing" zusammen.
E-Mails mit betrügerischen Absichten lassen sich nicht immer einfach identifizieren. Häufig wird der Nutzer zu einer gefälschten Webseite weitergeleitet, die der originalen Webseite eines seriösen Unternehmens im Aufbau und Aussehen sehr ähnlich ist.
Auf der gefälschten Seite werden die Nutzer aufgefordert, geheime Informationen wie z.B. Passwörter, Geburtsdaten oder Kontoinformationen einzugeben. Oft wird als Grund für die Eingabe dieser Informationen eine Aktualisierung der Daten vorgeschoben. Die Informationen gelangen so unmittelbar an die Betrüger.
Mithilfe der gestohlenen Informationen können Betrüger Identitäten fälschen, illegal Transaktionen durchführen oder unbefugt auf vertrauliche Informationen zugreifen.
Sie haben Post!
Welche Merkmale weisen Phishing-Mails auf?
Klicken Sie auf die Textteile in der E-Mail, die Ihrer Meinung nach auf eine Phishing-Mail hindeuten. Überprüfen Sie am Ende Ihre Vermutung, indem Sie auf den „Check“ -Button klicken.
Neue E-Mail
Von:
Betreff:
security@cahsmenow.de
security@cahsmenow.de
Ihr Konto
Ihr Konto
Sehr geehrter Kunde,
Sehr geehrter Kunde,
unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem CashMeNow-Konto festgestellt.
unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem CashMeNow-Konto festgestellt.
Aus Sicherheitsgründen haben wir Ihr Benutzerkonto temporär gesperrt.
Aus Sicherheitsgründen haben wir Ihr Benutzerkonto temporär gesperrt.
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Verifizierung Durchführen
Verifizierung Durchführen
Best regards,
Best regards,
Ihr CashMeNow Team
Ihr CashMeNow Team
CashMeNow – Berlin – New York – Moskau
CashMeNow – Berlin – New York – Moskau
Check
In betrügerischen E-Mails kommt es auf die Details an. Scrollen Sie weiter, um mehr über Phishing-Mails und ihre Merkmale zu erfahren.
Best regards,
Verifizierung Durchführen
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Sehr geehrter Kunde,
security@cahsmenow.de
Neue E-Mail
Von:
Betreff:
CashMeNow – Berlin – New York – Moskau
Ihr CashMeNow Team
Aus Sicherheitsgründen haben wir Ihr Benutzerkonto temporär gesperrt.
unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem CashMeNow-Konto festgestellt.
Ihr Konto
Neue E-Mail
Von:
Betreff:
CashMeNow – Berlin – New York – Moskau
Ihr CashMeNow Team
Best regards,
Verifizierung Durchführen
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Aus Sicherheitsgründen haben wir Ihr Benutzerkonto temporär gesperrt.
unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem CashMeNow-Konto festgestellt.
Sehr geehrter Kunde,
Ihr Konto
security@cahsmenow.de
Die Details im Blick
Wenn Sie eine E-Mail erhalten, sollten Sie auf diese Merkmale achten.
Klicken Sie auf die Plus-Symbole in der E-Mail, um die Merkmale von Phishing-Mails kennenzulernen.
Best regards,
Verifizierung Durchführen
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Sehr geehrter Kunde,
security@cahsmenow.de
Achten Sie genau auf den Absender der E-Mail. Häufig kommen Phishing-Mails von Absendern, die den Namen seriöser Unternehmen sehr ähnlich sind. Oft unterscheiden sich die gefälschten Adressen lediglich um vertauschte Buchstaben oder hinzugefügte Sonderzeichen.
Bei Phishing-Mails ist die Anrede meist unpersönlich. Statt einer persönlichen Begrüßung (z.B. „Sehr geehrter Herr König“) wird eine Standardformel gewählt.
Als Druckmittel wird ein bedrohliches Ereignis mit einer kurzen Umsetzungsfrist gesetzt. Wird diese Frist nicht eingehalten, so drohen unmittelbar schwerwiegende Konsequenzen wie z.B. die Sperrung eines Kontos.
In Anhängen von Phishing-Mails verstecken sich oft Schad-programme. Daneben führen Verlinkungen zu gefälschten Webseiten, die das Ziel verfolgen, den Nutzern sensible Informationen zu entlocken.
Oft sind sprachliche Unstimmigkeiten Anzeichen für Phishing-Mails. Achten Sie besonders auf Grammatik und Rechtschreibung sowie auf Textbausteine, die nicht der Sprache der E-Mail entsprechen.
Nicht in die Fänge geraten!
Um Phishing-Attacken zu erkennen, ist es wichtig, achtsam zu sein und die Tricks der Cyber-Kriminellen zu kennen. Weiterführende Informationen und Beispiele zum Thema „Phishing“ finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik.
Weitere Bedrohungen für die Informationsverarbeitung
Phishing-Mails sind nicht die einzige Bedrohung für die Verarbeitung von Informationen im Unternehmen.
Tauchen Sie in die folgenden Szenarien ein, um weitere Bedrohungen für die Informationsverarbeitung kennenzulernen. Klicken Sie auf die Pfeile links und rechts, um die Szenarien zu steuern.
Lukas König ist bei der ALPHA Automobile AG in der HR-Abteilung tätig. In der Mittagspause setzt er sich in ein Restaurant und wartet auf seine Bestellung. Währenddessen schaut er auf sein Firmenhandy und loggt sich in das frei verfügbare WLAN-Netzwerk des Restaurants ohne Passworteingabe ein.
In der Nähe des Restaurants sitzt ein Hacker auf einer Bank mit seinem Laptop. Er hört die ungeschützte WLAN-Verbindung ab.
Auf diese Weise hat der Hacker Zugriff auf viele Informationen, die Lukas König mit seinem Smartphone versendet oder empfängt. Ausgetauschte Unternehmensdaten werden abgegriffen. Zugangsdaten zu internen Geschäftsanwendungen werden ausgespäht. Dadurch erlangt der Hacker einen illegalen Zugriff auf Unternehmensdaten.
Der Hacker greift auf die Daten ab, verschlüsselt sie auf IT-Systemen und erpresst das Unternehmen. Um seiner Forderung mehr Gewicht zu geben, veröffentlicht der Hacker Teile der Daten im Internet. Das Unternehmen steht vor einem Dilemma: Bezahlen oder nicht bezahlen? Ein erheblicher Schaden entsteht in jedem Fall.
Szenario 1: Öffentliches WLAN
Ihre Meinung ist gefragt!
Was denken Sie:
Wie viel Prozent der Arbeitnehmer in Deutschland greifen wie Herr König über ungeschützte WLAN-Verbindungen auf sensible Unternehmensdaten zu?
Klicken Sie auf die Prozentskala, um Ihre Einschätzung abzugeben.
0
10
20
30
40
50
60
70
80
90
100%
0
10
20
30
40
50
60
70
80
90
100%
60
Genau richtig! 61% der Arbeitnehmer in Deutschland greifen über öffentliche WLAN-Verbindungen auf sensible Unternehmensdaten zu.
Leider daneben. 61% der Arbeitnehmer in Deutschland greifen über öffentliche WLAN-Verbindungen auf sensible Unternehmensdaten zu.
Szenario 2: Passwortdiebstahl
Sandra Müller ist im Management der ALPHA Automobile AG tätig. Privat nutzt sie das soziale Netzwerk „FindingFriends“. Vor kurzer Zeit gab es bei diesem Netzwerk ein großes Datenleak. Bei einem Hackerangriff wurden Millionen von Nutzerdaten und Passwörter erbeutet.
Über Sandra Müllers Profil bei "FindingFriends“ finden die Hacker heraus, dass sie im Management der ALPHA Automobile AG tätig ist. Sie versuchen, mit Sandra Müllers Nutzerdaten aus "FindingFriends“ Zugang zum internen Unternehmensnetzwerk der ALPHA Automobile AG zu erhalten.
Der Zugang gelingt. Sandra Müllers Passwörter
bei „FindingFriends“ und beim internen Unternehmensnetzwerk sind identisch. Sie hat
zwar von dem Datenleak gehört, jedoch ihre Zugangsdaten nicht geändert.
Nun haben die Hacker freien Zugriff auf sensible Unternehmensdaten. Die Kriminellen erbeuten wichtige Informationen zu innovativen Produktionsverfahren der ALPHA Automobile AG und verkaufen diese an die Konkurrenz. Der Technologie- und Wissensvorsprung nehmen in den folgenden Jahren rapide ab, der Umsatz ebenfalls.
Situationen wie die von Frau Müller sind keine Seltenheit. Daher ist es wichtig, für jeden Zugang unterschiedliche und sichere Passwörter zu wählen. Doch wie sieht ein sicheres Passwort aus? Antworten finden Sie im Video des Bundesamts für Sicherheit in der Informationstechnik.
Sicher ist sicher!
Je stärker, desto besser
Sie haben Kriterien für sichere Passwörter kennengelernt. Jetzt sind Sie an der Reihe!
Erstellen Sie hier Ihr eigenes sicheres Passwort. Achten Sie dabei auf die Tipps im Video.
ACHTUNG: Aus Sicherheitsgründen sollten Sie niemals Ihre echten Passwörter hier eingeben.
Geben Sie ein sicheres Passwort ein.
Szenario 3: Diebstahl von IT- und Kommunikationsgeräten
Frank Schmitt ist Controller bei der ALPHA Automobile AG. Er arbeitet mehrmals pro Woche von zu Hause. Von seinem Arbeitgeber bekommt er ein Notebook zur Verfügung gestellt. Die wichtigsten Daten sichert Frank Schmitt zusätzlich auf eine externe Festplatte.
Für ein Meeting muss Frank Schmitt in die Unternehmenszentrale. Er fährt mit dem Auto dorthin. Auf dem Weg macht er an einer Tankstelle halt. Er steigt aus dem Auto, tankt und vergisst, das Auto abzuschließen. Als er vom Bezahlen zurückkommt, fehlt die Tasche, in der sein Notebook und seine externe Festplatte waren.
Im Gegensatz zum Notebook war die Festplatte nicht verschlüsselt. Der Dieb hat nun Zugriff auf wichtige unternehmensinterne Daten.
Vertrauliche Produktionsdaten der ALPHA Automobile AG wurden ausgelesen und veröffentlicht. Daraus wurde ersichtlich, dass es bei neu eingeführten Auto-Modellen wesentliche Produktionsstörungen gibt. Dadurch verliert die ALPHA Automobile AG nicht nur vertrauliche Produktionsdaten, sondern auch an Ansehen bei vielen Stammkunden und Geschäftspartnern.
Ihre Meinung ist gefragt!
Was denken Sie:
Wie viel Prozent der Konzerne in Deutschland waren 2019 von Diebstählen ihrer IT- und Kommunikationsgeräte betroffen?
Klicken Sie auf die Prozentskala, um Ihre Einschätzung abzugeben.
0
10
20
30
40
50
60
70
80
90
100%
0
10
20
30
40
50
60
70
80
90
100%
30
Genau richtig! 32% der deutschen Konzerne waren 2019 von Diebstählen ihrer IT- und Kommunikationsgeräte betroffen.
Leider daneben. 32% der deutschen Konzerne waren 2019 von Diebstählen ihrer IT- und Kommunikationsgeräte betroffen.
industrie.de, 2019
etomer GmbH, 2018
Szenario 4: Social Engineering
Nina Valentin ist in der Finanzabteilung der ALPHA Automobile AG tätig. Ihre Kontaktdaten stehen für Rückfragen von Kunden öffentlich auf der Unternehmenshomepage zur Verfügung.
Sie bekommt einen Anruf von Till Neumann, der sich als neuer Assistent des Geschäftsführers ausgibt. Um einen wichtigen Unternehmensdeal abzuschließen, müsse sofort eine Anzahlung von 50.000 Euro auf ein internationales Konto angewiesen werden. Falls die Überweisung nicht sofort veranlasst werde, verliere die ALPHA Automobile AG einen sehr wichtigen Kunden.
Immer wieder überzeugt der Anrufer mit unternehmensinternem Fachwissen über andere Mitarbeiter der Firma und gewinnt somit Nina Valentins Vertrauen. Diese fühlt sich unter Druck gesetzt und möchte die negativen Folgen für die ALPHA Automobile AG abwenden. Schließlich überweist sie den geforderten Betrag an das ausländische Konto.
Monate später stellt die interne Revision Unregelmäßigkeiten auf den Geschäftskonten des Unternehmens fest. Nina Valentins Situation war kein Einzelfall. Insgesamt wurden der ALPHA Automobile AG auf diese Weise mehrere Hunderttausend Euro entwendet.
Ein weiteres verdächtiges Telefonat erreicht Thomas Augustin, Neuzugang in der Finanzabteilung der ALPHA Automobile AG. Das Telefonat gleicht dem von Nina Valentin.
Was würden Sie tun?
Klicken Sie auf die Play-Buttons und hören Sie sich die Forderungen der Anruferin an. Wählen Sie nun diejenigen Antworten aus, die Thomas Augustin der Anruferin Ihrer Meinung nach geben sollte.
Hallo Frau Wittfeld. Sind Sie neu bei der ALPHA Automobile? Ihre Rufnummer und Ihren Namen kann ich gerade nicht zuordnen.
Hallo Frau Wittfeld. Sind Sie neu bei der ALPHA Automobile? Ich kann Ihren Namen im Organigramm gerade nicht finden. Das hat aber nichts zu bedeuten. Bei einem so großen Konzern ist es nicht immer möglich, alle Mitarbeiter mit ihren Namen zu kennen.
Hallo Frau Wittfeld. Sind Sie neu bei der ALPHA Automobile? Ich bin auch neu und kenne mich mit den Abläufen hier noch nicht so gut aus.
Natürlich. Geben Sie mir die neue Bankverbindung einfach durch. Ich ändere sie im Laufe des Tages im System ab.
Ich ändere gerne die Kontodaten im System. Hierzu benötige ich aber eine schriftliche Vollmacht von Herrn Peters persönlich.
Sehr gerne. Nennen Sie mir bitte zum Abgleich noch einmal die alte Kontoverbindung von Herrn Peters.
Genau richtig! Thomas Augustin sollte darauf achten, zunächst abzugleichen, ob es sich bei Frau Wittfeld tatsächlich um eine neue Mitarbeiterin handelt.
Leider falsch. Thomas Augustin sollte darauf achten, zunächst abzugleichen, ob es sich bei Frau Wittfeld tatsächlich um eine neue Mitarbeiterin handelt.
Hallo Frau Wittfeld. Sind Sie neu bei der ALPHA Automobile? Ich kann Ihren Namen im Organigramm gerade nicht finden. Das hat aber nichts zu bedeuten. Bei einem so großen Konzern ist es nicht immer möglich, alle Mitarbeiter mit ihren Namen zu kennen.
Hallo Frau Wittfeld. Sind Sie neu bei der ALPHA Automobile? Ich bin auch neu und kenne mich mit den Abläufen hier noch nicht so gut aus.
Leider falsch. Thomas Augustin sollte darauf achten, zunächst abzugleichen, ob es sich bei Frau Wittfeld tatsächlich um eine neue Mitarbeiterin handelt.
Hallo Frau Wittfeld. Sind Sie neu bei der ALPHA Automobile? Ihre Rufnummer und Ihren Namen kann ich gerade nicht zuordnen.
Genau richtig! Thomas Augustin sollte solche Daten nicht ohne die Zustimmung des Chefs ändern.
Leider falsch. Thomas Augustin sollte solche Daten nicht ohne die Zustimmung des Chefs ändern.
Leider falsch. Thomas Augustin sollte solche Daten nicht ohne die Zustimmung des Chefs ändern.
Natürlich. Geben Sie mir die neue Bankverbindung einfach durch. Ich ändere sie im Laufe des Tages im System ab.
Ich ändere gerne die Kontodaten im System. Hierzu benötige ich aber eine schriftliche Vollmacht von Herrn Peters persönlich.
Sehr gerne. Nennen Sie mir bitte zum Abgleich noch einmal die alte Kontoverbindung von Herrn Peters.
Das würde ich gerne tun, aber leider kann ich die Daten ohne eine schriftliche Bestätigung von Herrn Peters nicht ändern, Frau Wittfeld.
Normalerweise darf ich nicht ohne schriftliche Bestätigung die Kontodaten ändern. In diesem Falle handelt es sich aber ja um die Kontodaten unseres Geschäftsführers. Da mache ich natürlich eine Ausnahme. Geben Sie mir die neue Kontoverbindung gleich durch.
Es tut mir wirklich leid, aber ich kann so eine wichtige Entscheidung nicht ohne Rücksprache mit der Geschäftsführung treffen. Ich kann aber Herrn Peters gleich anrufen und die Bestätigung von ihm einfordern.
Eine gute Entscheidung! Thomas Augustin sollte unter diesen Bedingungen keine Ausnahme machen.
Leider falsch. Thomas Augustin sollte unter diesen Bedingungen keine Ausnahme machen.
Genau richtig! Thomas Augustin sollte unter diesen Bedingungen keine Ausnahme machen.
Das würde ich gerne tun, aber leider kann ich die Daten ohne eine schriftliche Bestätigung von Herrn Peters nicht ändern, Frau Wittfeld.
Normalerweise darf ich nicht ohne schriftliche Bestätigung die Kontodaten ändern. In diesem Falle handelt es sich aber ja um die Kontodaten unseres Geschäftsführers. Da mache ich natürlich eine Ausnahme. Geben Sie mir die neue Kontoverbindung gleich durch.
Es tut mir wirklich leid, aber ich kann so eine wichtige Entscheidung nicht ohne Rücksprache mit der Geschäftsführung treffen. Ich kann aber Herrn Peters gleich anrufen und die Bestätigung von ihm einfordern.
Laut dem Bundeslageberichts des Bundeskriminalamtes verursachte die Cyber-Kriminalität für Unternehmen im Jahr 2018 finanzielle Schäden von mehr als 60 Millionen Euro allein in Deutschland.
Finanzielle Verluste
Betriebsstörungen
Verlust an Reputation
Industriespionage
Finanzielle Verluste
Cyber-Angriffe können Störungen und Ausfälle im Geschäftsbetrieb hervorrufen. Greift Schadsoftware interne Unternehmensnetzwerke an und beeinträchtigt die Daten, so können u.a. Produktion und Verwaltung im Betrieb lahmgelegt werden.
Betriebsstörungen
Verlust an Reputation
Industriespionage
Finanzielle Verluste
Betriebsstörungen
Wenn Unternehmen durch Cyber-Attacken erpresst oder bestohlen wurden, führt dies automatisch zum Verlust des Ansehens und Vertrauens dieses Unternehmens. Neu- bzw. Bestandskunden und Partner wenden sich ab, die Umsatzerlöse gehen zurück und das Geschäftsmodell ist gefährdet.
Verlust an Reputation
Industriespionage
Finanzielle Verluste
Betriebsstörungen
Verlust an Reputation
In Zeiten der Digitalisierung und dem Entstehen von Innovationen in immer kürzeren Zyklen, häufen sich Cyber-Angriffe, die das Ziel haben, Daten, Patente und Produkt-pläne von Unternehmen zu stehlen. Oft merken die betroffenen Unternehmen den Datenverlust zu spät. Somit können sie schlecht nachvollziehen, wie lange das Datenleck schon besteht.
Industriespionage
Mögliche Auswirkungen im Unternehmen
Diese und weitere Bedrohungen der Informationsverarbeitung können sich unterschiedlich auf die Unternehmen auswirken. Die bekanntesten Auswirkungen sind:
Grundlagen – Informationssicherheit
Kapitel 1
Bedrohungen für
die Informations- verarbeitung
Kapitel 2
Modelle und Maßnahmen
zum Schutz von Informationen
Kapitel 3
Grundlagen – Datenschutz
Kapitel 4
Informationssicherheit und Datenschutz bei BDO
Kapitel 5
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Aus Sicherheitsgründen haben wir Ihr Benutzerkonto temporär gesperrt.
unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem CashMeNow-Konto festgestellt.
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Neue E-Mail
Von:
Betreff:
CashMeNow – Berlin – New York – Moskau
Ihr CashMeNow Team
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Aus Sicherheitsgründen haben wir Ihr Benutzerkonto temporär gesperrt.
unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem CashMeNow-Konto festgestellt.
Ihr Konto
Best regards,
Verifizierung Durchführen
Führen Sie innerhalb der nächsten 24 Stunden unbedingt eine Identitätsverifizierung durch, um die Sperre wieder aufzuheben.
Sehr geehrter Kunde,
security@cahsmenow.de
0
10
20
30
40
50
60
70
80
90
100%
0
10
20
30
40
50
60
70
80
90
100%
60
Genau richtig! 61% der Arbeitnehmer in Deutschland greifen über öffentliche WLAN-Verbindungen auf sensible Unternehmensdaten zu.
Leider daneben. 61% der Arbeitnehmer in Deutschland greifen über öffentliche WLAN-Verbindungen auf sensible Unternehmensdaten zu.
industrie.de, 2019
0
10
20
30
40
50
60
70
80
90
100%
0
10
20
30
40
50
60
70
80
90
100%
30
Genau richtig! 32% der deutschen Konzerne waren 2019 von Diebstählen ihrer IT- und Kommunikations-geräte betroffen.
Leider daneben. 32% der deutschen Konzerne waren 2019 von Diebstählen ihrer IT- und Kommunikationsgeräte betroffen.
Grundlagen – Informationssicherheit
Kapitel 1
Bedrohungen für die
Informations- verarbeitung
Kapitel 2
Modelle und Maßnahmen
zum Schutz von Informationen
Kapitel 3
Grundlagen –
Datenschutz
Kapitel 4
Informationssicherheit und Datenschutz bei BDO
Kapitel 5