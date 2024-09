Tipps Acht Security-Stolpersteine für Bürogummis und wie man sie vermeidet Ob per Mail, Telefon oder Social Media: Cyberbetrüger greifen vermehrt Büromitarbeitende an, um so an interne IT-Systeme zu gelangen und Firmen zu erpressen. Wie kann man sich schützen, was ist zu beachten? Ein Experte gibt Tipps.

Patrick Müller, Chef der Chamer Beratungs- und IT-Firma iTrust. Bild: Manuela Jans-Koch (Cham, 8. 9. 2023)

Immer wieder werden Schweizer Unternehmen und staatliche Stellen von Cyberkriminellen angegriffen und erpresst. Meistens gelingen die Angriffe, weil Angestellte nicht aufmerksam genug sind. Doch wie verhält man sich in der Büroumgebung richtig? Der IT-Experte Patrick Müller gibt Tipps.

Sie sind meistens ein Ärgernis und werden im Büro nur langsam durch modernere Kollaborationslösungen wie Microsoft Teams abgelöst: E-Mails dominieren nach wie vor einen grossen Teil der Geschäftskommunikation. Doch sie sind auch das grösste Einfallstor für Angreifer. Kriminelle schreiben entweder gezielt Schlüsselpersonen an oder streuen Phishing-Mails. iTrust-Chef Patrick Müller empfiehlt bei Mails, die einen suspekten Eindruck machen, folgende Punkte zu beachten:

Absender: Stimmt der angezeigte Name mit der Absenderadresse überein?

Inhalt: Erscheint der Text sinnvoll?

Link: Ergibt die Link-URL einen Sinn? Extratipp: Mit der Maus drüberfahren und ohne Klick schauen, wohin der Link führt.

«Wer bei einem Mail unsicher ist, sollte den IT-Administrator um Rat fragen», sagt Müller.

Noch bevor das Coronavirus Personen reihenweise in die Quarantäne schickte, tat dies Microsoft Outlook mit E-Mails. Ähnliche Unterordner im Mailprogramm heissen Junk oder Spam. Hierhin wandert alles, was Microsoft als potenziell gefährlich einstuft. Soll man diese Ordner am besten also einfach immer leeren? Nicht unbedingt: Verdächtige Mails müssten eigentlich überprüft werden, denn es könnte auch was Wichtiges sein. Gemäss Müller hat sich die Quarantäne wesentlich verbessert. «Bei der Prüfung der Quarantäne-Mails empfehle ich das Vorgehen wie beim Punkt E-Mails.»

Eine Masche, die hierzulande nicht sehr bekannt, aber sehr perfide ist, heisst Social Engineering. Der Name ist etwas irreführend, denn hierfür braucht es kein Ingenieurwissen, um die Opfer zu übertölpeln, sondern soziale Eigenschaften. Angreifer zählen darauf, dass der Mensch die grösste Schwachstelle ist. Sie rufen zum Beispiel gezielt eine Person an und geben sich als IT-Supporter aus. So erschleichen sie zum Beispiel Passwörter oder Teile von Informationen, die sie verwenden können, um weitere Informationen von anderen Angestellten zu bekommen. Am Ende haben sie Zugang zu wichtigen Systemen.

«Am Telefon ist die richtige Mischung zwischen Servicebewusstsein und Skepsis wichtig», sagt Patrick Müller. «Welche Aussagen, Fragen oder Aufforderungen gefährlich sein können – das kann man lernen. Zwei Tipps: Es sind oft Leute, mit denen man vorher noch nie telefoniert hat. Zudem setzen sie typischerweise einen leichten Druck auf.»

Zur Person Patrick Müller ist Chef und Gründer des Chamer Beratungs- und IT-Unternehmens iTrust. Er unterstützt zusammen mit seinem Team seit 20 Jahren Führungskräfte und deren Unternehmen dabei, digital erfolgreicher zu arbeiten. «Unser Erfolgsrezept: Die ideale Abstimmung von Mensch und Technologie für ein produktives und attraktives Arbeitsumfeld», sagt Müller.

«Dateidownload mit Malware, Zugangsdaten-Diebstahl, Fake-Websites und Browser-Plug-ins: Wer im Internet surft, der ist einigen Gefahren ausgesetzt», sagt iTrust-Chef Patrick Müller. Diese Massnahmen helfen:

Achten Sie auf eine sichere Verbindung (https://).

Nutzen Sie möglichst keine Browser-Plug-ins.

Speichern Sie Passwörter nie im Browser.

Stellen Sie im Browser ein, dass Dateien nach dem Download nie automatisch geöffnet werden.

In den sozialen Netzwerken wie Instagram, Linkedin und Co. warten Hacker nur darauf, dass man auf Fake-Websites oder Malware-Dateien reinfällt. Profiling ist ebenfalls hoch im Kurs. Hacker sammeln dabei persönliche Daten oder Firmendaten, um diese an Dritte zu verkaufen. So kann man sich schützen:

Social-Media-Profile privat halten.

Bewusstsein schaffen, welche Daten öffentlich zugänglich sind.

Keine unbekannten Anhänge und Links öffnen.

Noch vor wenigen Jahren konnte man für den Zugang zum Bürocomputer ein Passwort definieren, das danach kaum je geändert wurde. Diese Zeiten sind passé. Heute fordert die interne IT die Nutzerinnen und Nutzer von Zeit zu Zeit auf, das Passwort zu ändern. Es führt kein Weg daran vorbei. Ein absolutes No-Go sind Post-it-Zettel am Monitor. Auch Kombinationen mit Geburtstagen sind nicht zu empfehlen. Müller empfiehlt grundsätzlich den Einsatz von Passwortmanagern. Tipps:

Verwenden Sie bei jedem Account ein anderes Passwort.

Bewahren Sie die Passwörter sicher auf (Passwortmanager wie KeePass, SecureSafe oder 1Password).

Überwachen Sie Zugriffsversuche auf Ihre Accounts, um verdächtige Aktivitäten schnell zu erkennen und darauf zu reagieren. Oft melden sich Plattformen, wenn es Unregelmässigkeiten gibt. Nehmen Sie diese Meldungen ernst!

Wählen Sie starke Passwörter: Zahlen, Wörter, Symbole, Klein- und Grossschreibung kombinieren. Oder einen Satz formulieren und dann von jedem Wort den ersten und letzten Buchstaben verwenden. Beispiel: iTrust feierte am 21.8.2023 das 20-Jahre-Jubiläum = itfeam23ds2m.

Man kennt es vom E-Banking: Wer sich in ein System einloggen will, muss mit einer anderen App oder – noch besser – mit einem zweiten Gerät den Zugang freischalten. So verhindert man, dass Kriminelle mit den Log-in-Daten Zugang zu einem System haben. In den letzten Jahren hat sich diese Multi-Faktor-Authentifizierung für besonders sensible Anwendungen auch im Büroumfeld durchgesetzt. Manchmal gibt die interne IT den Angestellten die Wahl, eine Multi-Faktor-Authentifizierung zu erstellen. Tipp: Wo immer möglich machen. «Die Multi-Faktor-Authentifizierung ist in der heutigen Zeit ein Muss. Fehlt sie und wird auch noch ein schwaches Passwort verwendet, dann ist man ein gefundenes Fressen. Microsoft setzt hauptsächlich auf die Authenticator-App als zusätzlichen Faktor. Die App sei sicherer als die Varianten via SMS oder Telefonanruf, sagt Patrick Müller von iTrust.

Wenn der Schaden nun doch passiert ist, sollte man das Geschehene nicht vertuschen. Wer auf einen Link geklickt hat und danach unsicher ist, sollte dies möglichst schnell der IT melden und nicht etwa aus Scham schweigen. Denn bei der Reaktion auf Cyberangriffe zählt jede Minute. Müller: «Das Schlimmste, was man tun kann: Sich für den Fehler schämen, niemandem etwas sagen und einfach weiterarbeiten. Es ist sehr oft so, dass so ein Angriff sich über mehrere Wochen ausbreitet. Es ist also nach dem ersten falschen Klick noch lange nicht zu spät – sofort bei der IT-Abteilung melden.»