Die Ausbreitung des Corona-Virus verunsichert viele von uns und stellt sowohl Privatpersonen als auch Unternehmen vor neue Herausforderungen. In vielen Bereichen kann die Digitalisierung von Arbeitsprozessen helfen, diese Herausforderungen zu meistern, um auch in diesen ungewöhnlichen Zeiten gestärkt aus der Krise hervorzugehen. Dabei spielt Cyber-Sicherheit eine bedeutende Rolle und gewinnt mit dem Voranschreiten der digitalen Entwicklung auch zunehmend an Relevanz für den eigenen Betrieb.
Besonders die aktuelle Situation aufgrund des Corona-Virus gibt Betrügern und Cyber-Kriminellen eine Gelegenheit, mit der Verunsicherung und den Hoffnungen vieler Menschen Geld zu verdienen. So registriert die Verbraucherzentrale NRW beispielsweise gefälschte Sparkassen-Mails, die täuschend echt aussehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Ihnen hier wichtige Sicherheitshinweise und Handlungsempfehlungen zur Verfügung, wie Sie sich und Ihren Betrieb vor Cyber-Kriminellen schützen können.
Es ist auch weiterhin damit zu rechnen, dass Kriminelle E-Mails versenden, in denen Heilmittel versprochen werden oder in denen vermeintlich Unterstützung bei der Beantragung von Finanzhilfen der Bundesregierung angeboten wird – häufig von namhaften Onlineshops oder bekannten Zahlungsdienstleistern, die als Absender missbraucht wurden. Ausdrücklich bei E-Mails, die sich auf das Corona-Virus beziehen, gilt also aktuell besondere Vorsicht.
Das sollten Sie beachten:
Wenn Sie eine Mail auf Plausibilität prüfen, sollten Sie immer bedenken: Seriöse Einrichtungen wie Behörden, Forschungsinstitute oder Pharmaunternehmen verteilen relevante Informationen zu Covid-19 nicht über E-Mails und fordern nicht dazu auf, Daten einzugeben.
Aber Achtung: Nachrichten, die in einem schlechten Deutsch verfasst sind oder kryptische Zeichen beinhalten, können ein Indiz für Phishing-Mails sein. Anders als noch vor einigen Jahren weisen viele Phishing-Mails aber inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Generell sollten Sie jeden Link in E-Mails und sozialen Netzen vor dem Aufruf sorgsam prüfen. Viele Verdachtsmomente sind auch für Laien erkennbar. Stutzig sollten Sie zum Beispiel werden, wenn die Internetadresse zwar den Namen der jeweiligen Institution enthält, aber in Verbindung mit ungewöhnlichen Zahlen oder Zeichenkombinationen wie in "www.135x-Bank.de".
Dass eine Webseite zertifiziert ist, können Sie daran erkennen, dass nach der URL ein kleines Schloss-Symbol angezeigt wird. Bei einem Klick auf das Schloss-Symbol erhalten Sie mehr Informationen über das Zertifikat und ob die Webseite tatsächlich die ist, für die sie sich ausgibt.
Wenn ein Anbieter sich nicht mit einem gültigen Zertifikat als tatsächlicher Besitzer der Adresse ausweisen kann, erhalten Sie von Ihrem Browser eine Warnmeldung. In diesem Fall sollten Sie den Webseitenbesuch oder ggf. die Transaktion sofort beenden.
Um sich gegen Cyber-Angriffe zu schützen und Ihre Betriebs- und Kundendaten entsprechend abzusichern, können Sie auf viele Informations- und Unterstützungsangebote zurückgreifen.
So stellen Ihnen beispielsweise das Bundesamt für Sicherheit in der Informationstechnik und auch das Bundesministerium des Innern, für Bau und Heimat umfassende und nützliche Informationspakete, Checklisten und Tipps zur Verfügung, die Ihnen helfen, Ihren Betrieb – besonders in Zeiten von Corona – erfolgreich gegen Cyber-Bedrohungen zu schützen und halten Sie regelmäßig zu aktuellen Entwicklungen auf dem Laufenden.
Eine empfohlene Maßnahme im Kontext der Corona-Prävention ist die intensivere Nutzung von mobilem Arbeiten. Dafür gilt es, pragmatische Lösungen zu finden, die einerseits die Arbeitsfähigkeit einer Organisation erhalten, gleichzeitig jedoch Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten. Trotz der gegebenen herausfordernden Situation sollte auch bei der Einrichtung von Home-Office-Arbeitsplätzen die IT-Sicherheit angemessen berücksichtigt werden.
Bei spontanen Lösungen für mobiles Arbeiten können in der Regel nicht alle Anforderungen für IT-Sicherheit vollständig umgesetzt werden. Schnellere und stabile Netzanschlüsse, der Aufbau von VPN-Lösungen sowie die Anschaffung geeigneter Hardware können nur in Ausnahmefällen ad hoc aufgebaut oder bewerkstelligt werden.
Das BSI empfiehlt eine Reihe einfacher Maßnahmen, die ohne größeren Aufwand einen Grundstein für IT-Sicherheit im mobilen Arbeiten darstellen:
Klar geregelt:
Treffen Sie deutliche, unmissverständliche und verbindliche Regelungen zur IT-Sicherheit und zur Sicherheit Ihrer Daten in Papierform. Kommunizieren Sie diese schriftlich an alle Beteiligten.
Hier gibt es nichts zu sehen:
Ergreifen Sie an ihrem Heimarbeitsplatz Maßnahmen, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist. Verschließen Sie Türen, wenn Sie den Arbeitsplatz verlassen, geben Sie Dritten keine Chancen durch einsehbare oder gar geöffnete Fenster.
Eindeutige Verifizierung:
Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können.
Vorsicht Phishing:
Es können vermehrt Phishing E-Mails auftreten, die die aktuelle Situation ausnutzen und versuchen werden, Ihre sensiblen Daten mit Hinweis auf Remote Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen.
VPN:
Idealerweise greifen Sie über einen sicheren Kommunikationskanal (z. B. kryptografisch abgesicherte Virtual Private Networks, kurz: VPN) auf interne Ressourcen der Institution zu. Sofern Sie bisher keine sichere und skalierbare VPN-Infrastruktur haben, informieren Sie sich über mögliche Lösungen.
Der Schutz von Smartphone und Tablet mit PIN, Fingerabdruck oder Passwort gehört genauso zum Pflichtprogramm wie das Einspielen von Updates, denn viele Angriffe zielen auf bekannte Schwachstellen, die erst durch Aktualisierungen der Hersteller geschlossen werden. Deswegen empfiehlt das BSI, diese immer sofort zu installieren, am besten indem die automatische Update-Funktion eingeschaltet ist.
Wie jedes mit dem Internet verbundene Gerät, sind auch mobile Endgeräte von Schadsoftware bedroht. Denn auch wenn Sie es nicht bemerken, Ihr Smartphone oder Tablet wird im Netz oft von potentiell schadhafter Software bedroht. Die Sicherheit mobiler Geräte ist sogar noch stärker bedroht als die eines Computers zu Hause. Insbesondere wenn Apps aus unzuverlässigen Quellen bezogen werden oder keine Updates für bekannte Schwachstellen verfügbar sind, ist die Gefahr einer Infektion hoch. Wird ein Gerät infiziert, können Angreifer beispielsweise Daten auslesen, verändern, löschen oder auf interne IT-Ressourcen der Institution zugreifen.
Bei einer dienstlichen Nutzung müssen häufig noch weitere Anforderungen an Technik und Bediener gestellt werden. Hierbei sind verschiedenen Szenarien zu berücksichtigen. Werden beispielsweise mobile Endgeräte vom Arbeitgeber zur Verfügung gestellt? Oder nutzt der Arbeitnehmer eigene Geräte für dienstliche Zwecke (BYOD - Bring your own digital Device)?
Die ideale Browsereinstellung für alle Surfer gibt es nicht. Wenn eine Internetseite z. B. nur mit Adobe Flash funktioniert, müssen Sie abwägen, ob Sie zugunsten der Sicherheit ganz darauf verzichten oder das damit verbundene Risiko in Kauf nehmen.
Im Rahmen seiner Zuständigkeit für die Informationssicherheit der Bundesverwaltung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im April 2017 einen Mindeststandard für die sichere Nutzung von Webbrowsern erarbeitet. Durch die Umsetzung und Einhaltung der dort formulierten Anforderungen wird ein Sicherheitsniveau definiert, das aus Sicht des BSI nicht unterschritten werden sollte.