Dieser Anruf ließ Unheil ahnen. „Wann kann ich denn endlich die Probefahrt mit dem Auto machen?“, fragte ein ungeduldiger Kunde den Autohaus-Mitarbeiter. Schließlich hatte er die Anzahlung schon geleistet.
Es musste alles ganz schnell gehen, der Wagen aus der Internet-Annonce war begehrt und der Preis unschlagbar. Dann die Ernüchterung: „So ein Fahrzeug führen wir nicht“, musste der Mitarbeiter verwirrt erwidern.
Die Cyberfalle eines Hackers war zugeschnappt. Die Folge: ein unzufriedener Kunde und ein paar tausend Euro Schaden. Das Autohaus musste zahlen.
Schnellnavigation durch den Artikel
Seite 2: So einfach ging das Autohaus Cyberkriminellen in die Falle.
Zugangsdaten geschickt gestohlen
Was war dem Autohaus passiert? Viele Autohäuser bieten ihre Karossen zusätzlich über Online-Marktplätze wie beispielsweise auto.de, gebrauchtwagen.de oder autoscout24.de an. So auch das geprellte Autohaus, berichtet Udo Kaethner, Datenschutzexperte der Handwerkskammer Braunschweig-Lüneburg-Stade.
Eines Tages erhielt der Betrieb, der anonym bleiben möchte, eine E-Mail. Ihr Inhalt: Die Server des Online-Marktplatzes sind abgestürzt, deswegen soll der Autohausbesitzer noch einmal sein Passwort bestätigen. Der Klick auf den Link führte zum entsprechenden Internetauftritt der Handelsplattform – scheinbar.
Tatsächlich waren E-Mail und Internetseite gefälscht. So konnten Hacker die Online-Zugangsdaten des Autohauses für den echten Marktplatz abgreifen. „Mit den erbeuteten Login-Daten haben die Täter im Namen des Autohauses weitere Fahrzeuge auf dem Marktplatz angeboten“, berichtet Kaethner. So haben sie für ein Fahrzeug, das es gar nicht gab, ein paar tausend Euro Anzahlung ergattert. Erst als sich der Kunde für die Probefahrt beim Autohaus meldete, flog der Schwindel auf.
Die Attacke ist bekannt als Phishing – Kurzform für Password Fishing – und zielt auf das Abfischen von Zugangsdaten ab. Zähneknirschend musste das Autohaus dem Kunden die Anzahlung erstatten.
Wie sie Gefahren wie diese im Netz vermeiden, lesen Sie auf Seite 3.
Oder: Zurück zur Schnellnavigation
Ein Problem: geringes Gefahrenbewusstsein
„Das Hauptproblem ist das fehlende Gefahrenbewusstsein“, sagt Datenschutzexperte Kaethner. Das zeigt auch der Fall des Autohauses, bei dem ein Blick auf die Seiten-URL im Browser genügt hätte, um die Fälschung zu enttarnen.
Beim Original steht da etwas wie https://accounts.autoscout24.de oder https://anbieter.gebrauchtwagen.de. Wie hier zu sehen, muss bei jeder Original-Website die Adresse des Anbieters immer vor dem ersten Auftreten der Top-Level-Domain (.de, .com; .org) stehen.
Bei gefälschten URLs ist das nicht der Fall. Sie sehen beispielsweise so aus http://101dmainst.com/autoscout.de. Deutlich zu erkennen: Der Name des gesuchten Online-Marktplatzes beginnt hier erst nach der ersten Top-Level-Domain, in diesem Fall nach „.com“.
Gegen das mangelnde Gefahrenbewusstsein haben einige Handwerkskammern nun in Kooperation mit dem Heinz-Piest-Institut für Handwerkstechnik (HPI) und weiteren Partnern eine Sondereinheit für die digitale Sicherheit im Handwerk gebildet: 20 IT-Sicherheitsbotschafter wurden ausgebildet, die seit November den Handwerksbetrieben zur Verfügung stehen.
Elena Naujoks von der Handwerkskammer Hannover gehört zu diesen Botschaftern. „Viele kleine und mittlere Unternehmen schreiben dem Thema IT-Sicherheit keine angemessene Bedeutung zu, weil sie nicht wissen, welche Folgen das nach sich ziehen kann“, sagt sie.
Dabei kann ein Virus am Computer im Büro gut und gerne die Produktionsmaschinen lahmlegen, wenn alle Geräte über ein Netzwerk miteinander verbunden sind. Oder es greift jemand die Lieferanten- oder Kundendaten ab. „Das bringt den Betrieb auch datenschutzrechtlich schnell in Schwierigkeiten“, warnt Naujoks.
Mit Checklisten und Einzelberatung und Info-Veranstaltungen wollen die Berater den Unternehmen helfen, ihren Basisschutz aufzubauen. „Wir müssen die Handwerker wachrütteln“, sagt Naujoks. Voraussichtlich ab Jahresende sind die 20 Sicherheitsbotschafter auf der Homepage der Initiative unter www.it-sicherheit-handwerk.de zu finden.
Seite 4: Mehr brauchen Sie nicht! Diesen Basisschutz empfehlen IT-Experten.
Oder: Zurück zur Schnellnavigation
So einfach ist zuverlässiger Schutz
Der einfache Basisschutz ist sogar relativ schnell und einfach aufgebaut, wenn man ein paar Dinge beachtet.
„Im Prinzip sind Kleinunternehmer den gleichen Gefahren ausgesetzt wie Privatanwender“, sagt Marc Fliehe, Referent für IT-Sicherheit beim IT-Verband Bitkom. „Aber die Auswirkungen von Angriffen sind gravierender.“ Was, wenn die Daten nicht nur mitgelesen, sondern manipuliert, gelöscht oder gar zur Erpressung genutzt werden? Der Schaden für den Betrieb ist kaum abzusehen.
In den meisten Fällen gehen Unternehmen Angriffen ins Netz, die auf die breite Masse schlecht gesicherter Systeme abzielen. Man wird vom Hacker nicht gezielt ausgewählt, sondern Opfer automatisierter Attacken. Die gute Nachricht: Dagegen kann man sich relativ einfach schützen.
Das müssen Sie mindestens haben: „Einen Virenscanner und eine Firewall“, sagt Marc Fliehe. „Und zwar dringend auch auf dem Handy, wenn man damit im Firmennetzwerk unterwegs ist.“ Es muss lückenlos darauf geachtet werden, dass jedes System, das Zugang zum Firmennetzwerk hat, über so einen Schutz verfügt.
Welche Programme den besten Schutz bieten, lesen Sie beispielsweise hier (Virenscanner) und hier (Firewalls).
Nur ein paar Minuten: Wie Sie sich dauerhaft schützen, lesen Sie auf der letzten Seite.
Oder: Zurück zur Schnellnavigation
Bleiben Sie auf dem Laufenden
Rechner dauerhaft gesichert
Computer Safe
Diesen überschaubaren Aufwand müssen Sie betreiben: „Am wichtigsten ist es vor allem, die Software aktuell zu halten“, sagt Fliehe. Nicht nur das Betriebssystem muss immer auf dem neuesten Stand sein. Auch müssen der Internet-Browser sowie die im Browser installierten Plug-ins (zum Beispiel Java, Flash) ständig aktuell gehalten werden. Denn mit diesen Aktualisierungen schließen die Software-Anbieter Sicherheitslücken, die sie mit der Zeit in ihren Programmen entdecken.
- Bei Mozilla Firefox ist es ganz einfach die Plug-ins zu aktualisieren. Zur Prüfung der Aktualität genügt ein Click auf diesen Link.
- Google Chrome blockiert die geläufigsten Plug-ins, sobald sie veraltet sind und bietet dann an, sie manuell zu installieren. Nachzulesen hier.
- Der Internet Explorer installiert Aktualisierungen bekannter Plug-ins selbständig.
Eine sekundenschnelle, kostenlose und herstellerunabhängige Prüfung von Browser und Plug-ins bietet das Computer-Portal PC Welt
hieran.
Eine weitere einfache Möglichkeit, um auf dem neuesten Stand gegen die Online-Gefahren zu bleiben, gibt es beim E-Mail-Dienst Bürger-Cert vom Bundesamt für Sicherheit in der Informationstechnik. Der lässt sich hier abonnieren:
https://www.buerger-cert.de/subscription-new-requestund informiert über sicherheitskritische Updates für Software auf Systemen von Microsoft, Apple und Google.
Wer sich dennoch nicht dazu durchringen kann, wenige Minuten pro Woche in die eigene Sicherheit zu investieren, dem hilft es vielleicht, einmal Bilanz zu ziehen: Wie viel Zeit spare ich mit dem Internet eigentlich? Allein der Aufwandsunterschied, am Tag fünf E-Mails oder fünf Briefe zu schreiben, ist doch enorm! Selbst wenn gerade Briefmarken und Umschläge vorhanden sind, kosten allein Eintüten, Adress-Suche, Briefmarken und der Weg zum Briefkasten wohl mehr Zeit, als ein kurzer Check, ob die Software noch gegen Angriffe gewappnet ist.
(deg)
