Der Identitätsdiebstahl stellt die rechtswidrige Aneignung von Zugangsdaten dar (also beispielsweise Benutzername und Passwort oder weiteren Authentifizierungsdaten wie TAN). Wenn diese Daten dann auch noch von Cyberkriminellen nach dem Diebstahl eingesetzt werden, handelt es sich um Identitätsmissbrauch. Wer ist besonders betroffen? Beim Thema Phishing stehen insbesondere Kunden von Onlineversandhändlern, aber auch von Banken und Bezahldienstleistern (PayPal) im Fokus. Ferner sind aber auch Mitarbeiter in Unternehmen betroffen, die mit Ihren Zugangsdaten z. T. auf hochvertrauliche Daten zugreifen können.
Neben Phishing kommen ebenfalls Schadprogramme für die illegale Datenaneignung und den folgenden Missbrauch von Identitätsdaten zum Einsatz. Das Schadprogramm Emotet bildet die Grundlage für die Erbeutung von Daten und die nachfolgenden Angriffe. Was ist so besonders am diesem Schadprogramm? Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen verwenden die Angreifer im Anschluss daran zur weiteren Verbreitung des Schadprogramms. Der große Erfolg von Emotet beruht darauf, dass die E-Mails besonders authentisch wirken und so die Opfer erfolgreich zum Öffnen verleiten.
Der Einsatz von HTTPS-Links entwickelt sich in Phishing-Mails immer mehr zum Standard. Dies wohl auch deshalb, weil Links auf HTTP-Basis inzwischen von gängigen Browsern negativ gekennzeichnet werden. Hypertext Transfer Protocol Secure (HTTPS) steht für eine verschlüsselte sowie gegen Manipulation geschützte Datenübertragung und verstärkt insofern den Eindruck von Vertrauenswürdigkeit und Seriosität von Internetseiten, auch wenn es sich in dem Falle um Phishing-Seiten handelt. Mehr als jede zweite Phishing-Mail (60 Prozent) verwendete mittlerweile laut Verbraucherzentrale NRW einen Link auf HTTPS-Basis. Allerdings spielt die HTTPS-Basis nur Seriosität vor, denn die dafür notwendigen Zertifikate können kostenfrei im Internet bezogen werden.
Auch größere Unternehmen bleiben von Cyberattacken nicht verschont. Sicherheitsforscher entdeckten Ende 2019 mehrere ungesicherte Datenbanken eines Technologieunternehmens mit Kunden- und Supportinformationen, die aufgrund von Fehlkonfigurationen öffentlich im Internet verfügbar waren. Die große Menge von veröffentlichten privaten Krankenakten lässt ebenfalls alle Alarmglocken schrillen. Schließlich handelt es sich um hochsensible personenbezogene Daten, die in der Öffentlichkeit nichts zu suchen haben, für die Betroffenen schweren Schaden anrichten können und aus diesen Gründen einen besonders hohen Schutzbedarf haben.
„Die Vielfalt und Häufigkeit von Vorfällen, bei denen immer wieder sensible Daten unfreiwillig veröffentlicht werden, sind alarmierend“, erklärt Informationssicherheits-Fachmann Dr. Jörn Voßbein. Er und die Experten von UIMC raten zu einer nachhaltigen Informationssicherheits-Strategie. Diese beinhaltet sowohl eine technische Überprüfung der bisher eingesetzten Programme verbunden mit einem wiederkehrenden Update in Bezug auf Sicherheit. „Die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema Daten- und Informationssicherheit ist die zweite Säule einer erfolgreichen IT-Sicherheitsstrategie und darf nicht unterschätzt werden, schließlich bedürfen die meisten Phishing-Attacken noch eine Aktion eines überrumpelten Mitarbeiters“, erläutert Dr. Voßbein. Alles mit dem Ziel, das Fischen nach Daten möglichst erfolglos zu machen und den Cyberkriminellen ihre Geschäfte zu vermiesen.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de