Neues Geschäftsfeld Comma Soft kämpft gegen Daten-Klau

Exklusiv

Die Bonner IT-Beratung Comma Soft will Unternehmen helfen, sich besser gegen Cyber-Kriminalität zu schützen. Daher gründet sie eine Sparte zur Abwehr von Datenklau.

Zehn Abzocker-Tricks im Internet
Trojaner und Co.Viren, Würmer und Trojaner können erhebliche Schäden auf dem PC anrichten. Beliebt bei Abzockern sind vor allem die Trojanischen Pferde, die vom Nutzer meist unbemerkt auf dem Rechner lauern und sensible Daten wie Passwörter abfangen, mit denen dann Schindluder getrieben werden kann. Wie kann man sich schützen?Bei allen Downloads aus dem Internet ist Vorsicht geboten. Das BSI warnt davor, dass sich in der Flut von Gratis-Programmen und Dateien unzählige Schadprogramme verstecken, die dann den Rechner infizieren. Manche davon verbreiten sich auch über USB-Sticks, weshalb man diese am besten nicht mit anderen austauschen sollte. Bemerkt man die Infektion, sollte man an einem "sauberen" PC umgehend alle wichtigen Passwörter, besonders von Online-Händlern oder Auktionshäusern, ändern. Die Kontoauszüge sollte man in der nächsten Zeit stets kritisch prüfen, da Betrüger an Kontodaten gelangt sein könnten und nun im Namen des Geschädigten Geschäfte tätigen. Quelle: REUTERS
PhishingDas Wort, das wie "Fischen" klingt, ist in aller Munde. Im Prinzip geht es auch genau darum: Abzocker werfen die Angelrute nach Passwörtern aus. Auf gefälschten Internetseiten, die etwa denen von sozialen Netzwerken oder Banken täuschend ähnlich sind, geben ahnungslose Nutzer ihre Daten ein - und sind sie auch schon los. Die Betrüger sind auf Passwörter, persönliche Daten oder Kreditkartennummern aus. Wie kann man sich schützen?Grundsätzlich sollte man bei E-Mails, die etwa scheinbar von der Bank oder einer Firma kommen und die den Empfänger dazu auffordern, seine Daten zu aktualisieren, misstrauisch sein. Diese Mails werden massenhaft verschickt und die Angreifer spekulieren darauf, dass einige der Adressaten tatsächlich Kunde bei dem vorgegebenen Unternehmen ist. Um so einen gefälschten Link zu enttarnen, muss man mit der rechten Maustaste auf den angegebenen Link in der E-Mail klicken und dann "Quelltext anzeigen" auswählen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI). So kann man erkennen, was sich tatsächlich hinter dem "offiziellen" Link verbirgt. Quelle: dpa/dpaweb
Spam, Spam, SpamSpam- oder auch Junk-Mails sind nicht nur ärgerlich, weil sie den Posteingang zumüllen. Lädt man die Massen-Mails herunter, können dem Nutzer je nach Internet-Anbieter Kosten für den Datenverkehr entstehen. Laut BSI entstehen jedes Jahr Kosten in Milliardenhöhe für Versand, den Zeitverlust fürs Lesen, das Entfernen oder sogar Beantworten des elektronischen Schrotts. Wie kann man sich schützen?Egal wie sehr man sich ärgert, man sollte niemals auf ungewollte Newsletter oder Werbepost antworten - denn die Nachrichten werden oft vollautomatisch an Hunderttausende per Zufallsprinzip erstellte Mailadressen versandt. Reagiert der Adressat auf die unerwünschte Müllpost, zeigt er nur, dass ein realer Nutzer erreicht wurde, und erhält noch mehr Spam. Wird man immer vom gleichen Absender belästigt, kann ein Filter im Mail-Programm helfen, der den Spammer blockiert. Bei extremer Belästigung hilft oft nur noch die Aufgabe der Mail-Adresse und das Erstellen einer neuen - bei der man dann wesentlich vorsichtiger damit umgehen sollte, wo und wem man sie weitergibt. Quelle: AP
Geschenke und GewinnspieleWenn beim Surfen plötzlich ein Browserfenster aufgeht, dass man ein Handy oder gar eine tolle Kamera gewonnen hat, kann man sich doch freuen - oder? Mitnichten! Die Verbraucherzentralen warnen vor solchen vermeintlichen Geschenken, denn es sind nur fiese Köder, die zum Beispiel von den Kosten für das Gewinnspiel ablenken sollen. Oft sind die Betrüger aber auch hier einfach auf die intimen Nutzerdaten aus. Wie kann man sich schützen?Vorsicht bei verlockenden Gewinnspielen und angeblichen Präsenten von Anbietern zweifelhafter Seriosität - denn wer hat schon etwas zu verschenken? Die persönlichen Daten wie Name, Alter, Anschrift, Telefonnummer oder E-Mail-Adresse landen meist nur bei Adressensammlern, die diese dann in Paketen weiterverkaufen und sich so die Taschen füllen. Das einzige, was sich beim Opfer füllt, ist dann der Anrufbeantworter oder das Mail-Postfach, und zwar mit nerviger, ungewollter Werbung. Im Zweifelsfall also lieber: Finger weg! Quelle: dpa
Betrug per AppSmartphones sind ja sehr praktisch. Auch unterwegs hat man nicht nur ein Telefon, sondern eben auch immer einen Zugang zum Internet dabei. Doch auch bei dieser neuen Spielerei finden natürlich Betrüger Mittel und Wege, um Nutzern das Geld aus der Tasche zu ziehen. Die Abzocke per App, also einem kleinen Programm auf dem Handy, nimmt laut Verbraucherzentrale zu. In Spielen oder anderen Anwendungen, die erstmal gratis heruntergeladen werden können, verbergen sich meist kleine Werbebanner, etwa mit Hinweisen auf eine Erweiterung (zum Beispiel: "Hier gibt's neue Level" oder ähnliches). Berührt man die Stelle auch nur aus Versehen, kann das teuer werden, denn oftmals werden so über die Handynummer Käufe oder sogar Abos getätigt, die bis zu 60 Euro pro Monat kosten können. Wie kann man sich schützen?Die Verbraucherzentrale stuft einen Vertrag, der über das bloße Antippen eines Banners zustande kam, als ungültig ein. Die Bundesnetzagentur prüft derzeit einen Gesetzesverstoß. Geschädigte müssen sich selbst kümmern. Die Verbraucherzentrale rät dazu, den Vertragsabschluss gegenüber dem Mobilfunkprovider und der App-Firma zu bestreiten, und es zu kündigen. Vorbeugend können Smartphone-Nutzer eine sogenannte Drittanbieter-Sperre verhängen, die verhindert, dass dubiose Geschäftemacher über die Handyrechnung Geld einziehen können. Quelle: dapd
Lösegeld-ErpressungLösegeld-Erpressung? Ja, das gibt es auch im digitalen Bereich. Mit sogenannter Ransomeware wird der Rechner infiziert (zum Beispiel per E-Mail-Anhang oder auch per Facebook-Link), und der Nutzer kann auf einmal nicht mehr auf einzelne Dateien, Ordner oder gleich seine ganze Festplatte zugreifen. Für die Freigabe der Daten-Geiseln fordern die Schadprogramme Geld, das per anonymer Überweisung ins Ausland gehen soll. Berühmtheit erlangte der Bundespolizei-Trojaner, der Betroffenen vorgaukelte, eine offizielle Polizeibehörde habe den Rechner verschlüsselt, weil ungesetzliches Material (etwa Kinderpornografie) darauf gefunden worden sei. Wie kann man sich schützen?Alle Programme inklusive Antivirensoftware sollte immer auf dem neusten Stand gehalten werden. Vor allem gegenüber E-Mails von unbekannten Absendern, die Links oder Anhänge enthalten, sollte man misstrauisch sein. Ein beliebter Verbreitungsweg ist auch das soziale Online-Netzwerk Facebook: Hier verbreiten sich die Schadprogramme über Links in automatisch geposteten Videos oder Fragen, die zum draufklicken animieren (zum Beispiel: "Bist du das auf dem Foto?" oder "Total krasses Video!"). Hier heißt es wachsam sein, nachdenken und erst dann klicken. Hat man sich infiziert, sollte man auf keinen Fall zahlen und zudem Anzeige bei der Polizei erstellen. Quelle: dpa
berTeure AbofallenEigentlich wollte man doch nur über eine Website ein paar Gratis-SMS verschicken. Und nun flattert eine astronomische Rechnung ins Haus. Angeblich kostenfrei zu versendende Kurznachrichten oder Spiele, Logos und Klingeltöne, die man sich zu sagenhaft günstigen Preisen herunterladen kann, sind eine beliebte Abofalle. Nutzer übersehen das Kleingedruckte und schließen nichts ahnend ein teures Abonnement ab. Wie kann man sich schützen?Auch wenn es lästig ist: Man sollte auch bei scheinbar kleinen Beträgen für ein Onlinespiel oder vermeintlichen Gratis-Angeboten sehr genau darauf achten, was sich im Kleingedruckten versteckt. Man sollte sich genau durchlesen, welche Leistung verkauft wird und auf Schlagworte wie "wiederkehrende Leistung" achten - denn das ist nichts anderes als ein Abonnement, das richtig teuer werden kann. Quelle: gms
Einschüchterung per RechtsanwaltAngeblich soll man mit nur einem Mausklick einen Vertrag abgeschlossen haben - immer wieder sind auch Minderjährige betroffen, die arglos im Internet gesurft haben. Mit fingierten Schreiben von Inkassobüros oder Rechtsanwälten versuchen Betrüger jetzt, Druck aufzubauen. Oft genug sind Betroffene so erschrocken und eingeschüchtert, dass sie die Rechnungen bezahlen. Obwohl sie es nicht müssen. Wie kann man sich schützen?Wenn man sich sicher ist, dass es sich um einen Internetabzocker handelt, der auf irgendeinem Wege an die Adressdaten gekommen ist, kann man alle Drohungen und Mahnungen getrost ignorieren. Im Zweifelsfall rät die Verbraucherzentrale dazu, sich erst Rat zu holen, bevor betrügerische Rechnungen bezahlt werden. Erst, wenn ein Mahnbescheid vom Gericht eintrifft, muss man reagieren; und zwar innerhalb von 14 Tagen. Quelle: dpa
Gefälschte Viren-WarnungenDa hat man sich auf einer scheinbar harmlosen Internetseite durchgeklickt, und plötzlich springt ein Fenster mit einer Virenwarnung auf. Der vermeintlich mit einem Schadprogramm infizierte Internetnutzer reagiert, und klickt auf das angebliche Antivirenprogramm - und hat erst jetzt den wirklichen Ärger. Gefälschte Antivirensoftware grassiert zunehmend im Netz. Sind die Programme einmal auf den Rechner heruntergeladen, lassen sie immer wieder Fenster mit falschen Virenwarnungen erscheinen, die zum Kauf des (nutzlosen) Programms oder einer Lizenz auffordern. Manchmal dienen sie auch dazu, an die Kreditkarten-Daten des Nutzers zu gelangen. Wie kann man sich schützen?Antivirensoftware ist für jeden, der mit seinem PC im Internet surft, unerlässlich. Dabei sollte man aber nur auf namhafte Hersteller vertrauen und bei unaufgeforderten Software-Angeboten grundsätzlich sehr misstrauisch reagieren. Ein seriöses und kostenloses Antivirenprogramm gibt es etwa vom Hersteller Avira. Quelle: dpa/dpaweb
Die Flirt-MascheEigentlich hat man doch nur eine nette Nachricht von einem unbekannten Absender beantwortet. Oder ein bisschen mit der Dame geplaudert, die man angeblich von früher kennt und die man aufgrund einer Nachricht auf dem Anrufbeantworter zurückgerufen hat. Das böse Erwachen kommt dann in Form unerwarteter Rechnungen. Wie kann man sich schützen?Was ist passiert? Das BSI warnt davor, auf E-Mails, SMS oder Nachrichten auf dem Anrufbeantworter zu reagieren, deren Absender man nicht kennt. Bei SMS können sich demnach in den Nummern unsichtbare Codes verbergen, die unbemerkt zur Bestellung von Leistungen führen. Auch Flirtlines per SMS oder Telefon sind professionell darauf getrimmt, das Opfer lange in der Leitung zu halten oder es zum Versand möglichst vieler teurer Nachrichten zu bewegen. Sexuell verlockende E-Mails können auf Seiten leiten, die dann wiederum Nutzerdaten ausspähen oder auf denen man sich mit Schadsoftware infiziert. Also besser: Nicht antworten, sondern löschen oder einfach auflegen. Wer Opfer einer solchen Betrugsmasche geworden ist, sollte sich an die Bundesnetzagentur wenden und Strafanzeige erstatten, rät das BSI. Quelle: gms

Gefühlt mindestens zweimal im Monat wird ein neuer Fall von Hacker-Angriffen auf Unternehmen bekannt. Cyber-Diebe verschaffen sich Zugang zu den Datenbanken von Firmen unterschiedlichster Branchen – meist, um an Kreditkartendaten oder Kontonummern der Kunden zu kommen, um technische Neuerungen oder andere Betriebsgeheimnisse auszuspionieren oder um Zahlen in den Datenbanken zu manipulieren.

Was in der Öffentlichkeit aber auch bei vielen Unternehmen weniger bekannt ist: Mit solchen Einbrüchen in die Datensysteme können die Daten-Diebe auch in unternehmensinterne Abläufe eingreifen. Sie können Fließbänder stoppen, Kraftwerke abschalten oder die Wasserversorgung ganzer Städte stilllegen. Was noch mehr beunruhigt: Viel höher als die bekannt gewordenen Fälle ist die Dunkelziffer der unerkannten Cyber-Attacken und das dadurch entstehende Gefahrenpotential.

„98 Prozent aller Angriffe werden heute gar nicht erkannt“, warnt Jörg Asma. Der 44-Jährige ist Sicherheitsexperte und war bisher Partner der Wirtschaftsprüfungsgesellschaft KPMG. Ab sofort soll er bei der Bonner IT-Beratung Comma Soft den neuen Bereich Comma Management Consulting für Sicherheit aufbauen und leiten.

Dabei geht es nicht nur um die Abwehr von Cyber-Attacken, sondern vor allem darum, frühere Einbruchsversuche in Unternehmensdatenbanken zu erkennen, mögliche Spätfolgen abzuschätzen und potenzielle Schäden einzugrenzen. Die laufen heute nämlich nach neuen Mustern ab.  „Aufgrund der immer komplexeren Vernetzung von Menschen über mobile Endgeräte laufen Cyber-Angriffe heute über bestimmte Personen und lassen sich nur noch eingeschränkt abwehren“, sagt Asma.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa
Abhörskandal Quelle: dpa
iOS-Kundendaten geklaut Quelle: dpa
Hacker mit Staatsauftrag Quelle: dpa
Hacker Quelle: dpa
Der Sony-Hack Quelle: dpa
Mastercard und Visa Quelle: dpa
Estlands Computer außer Gefecht Quelle: dpa
ILOVEYOU-Virus Quelle: REUTERS
Der berühmteste Hacker des 20. Jahrhunderts Quelle: dpa

Ausgebuffte Cyber-Diebe hacken keine Passwörter mehr, um sich Zugang zu Datenbanken zu verschaffen, sie zapfen stattdessen Mitarbeiter der Zielunternehmen an. Über soziale Netzwerke wie Facebook erfahren sie zum Beispiel, welche Hobbies bestimmte Mitarbeiter haben, im zweiten Schritt nehmen sie direkten Kontakt auf – bei einem Freizeitfotografen etwa über eine der einschlägigen Communities wie Instagram. Irgendwann bekommt die Zielperson dann eine unverfängliche Mail mit selbstgeschossenen Fotos, mit der Bitte um eine Beurteilung.

Was die Betroffenen nicht ahnen: Mit dem Öffnen eines Bildes wird ein Spionageprogramm geladen, mit dem der Daten-Dieb dann über andere Standard-Anwendungen, wie etwa den externen Zugriff auf das Outlook-Programm im Büro auch Zugang zum Firmenrechner bekommt. „Künftig kommt es vor allem darauf an, solche Angriffe frühzeitig zu erkennen und wirkungsvolle Gegenmaßnahmen zu ergreifen“, sagt Asma.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Diese in den USA als Resilience bezeichnete Methodik ist die Grundlage zum Aufbau von Schutz-, Detektions- und Resonanzmaßnahmen – also von Systemen zur Abwehr künftiger sowie zum Erkennen bereits erfolgter Attacken und deren Folgen. Wie das funktionieren soll? „Indem wir versuchen, uns in den Kopf des Cyber-Diebes hineinzuversetzen“, erklärt Asma den Ansatz. „Wir fragen uns, wie wir selbst vorgehen würden, wenn wir ein bestimmtes Unternehmen ausspionieren wollten.“     

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%