Schutz vor Hacker

Aus SicherheitsWiki

Wechseln zu: Navigation, Suche

Dieser Artikel bedarf weiterer Bearbeitung und Ausführungen! Helfen Sie uns, diesen Artikel weiter zu vervollständigen:
Werden Sie Autor. Wenn Sie bereits ein Benutzerkonto besitzen, können Sie sich hier einloggen. Anmelden und ein neues Benutzerkonto erstellen können Sie hier.

Die rasante Entwicklung der Informationstechnologie führt immer wieder zu neuen kriminellen Gefahren und Missbrauchsmöglichkeiten. Straftäter greifen moderne Informationssysteme mit Computerviren, Würmern oder Trojanern an und verursachen weltweit erhebliche Schäden.

Erst kürzlich warnte das Bundeskriminalamt (BKA) vor einer massiven Zunahme von gezielten Angriffen von Hackern auf Onlinebanking-Kunden. BKA-Präsident Jörg Ziercke bezeichnet die aktuelle Gefährdungslage als "Angriff in unvorstellbarem Ausmaß“. Das Ziel der Angreifer sind in der Regel die Geheimzahlen (TANs), mit denen Bankkunden ihre Überweisungen durchführen.

Computer stellen ein potenzielles Ziel für Cyber-Kriminelle dar, sobald sie mit dem Internet verbunden sind. Ein Computer ohne Anti-Virensoftware ist wie ein ungesichertes Haus, das Einbrecher regelrecht zum Diebstahl einlädt.

Wie kann man sich generell vor Hacker-Angriffen schützen?

Computer können durch eine Reihe von Maßnahmen vor Angriffen durch Cyber-Kriminelle geschützt werden, wodurch das Risiko minimiert wird, dass persönliche Daten in fremde Hände geraten:

  • Installieren Sie eine Anti-Virus-Software oder eine anerkannte Internet-Sicherheitssoftware auf jedem einzelnen Computersystem,
  • Schützen Sie ihren Internetanschluss durch den Betrieb einer Firewall,
  • Überprüfen Sie, ob Ihre Anti-Virus-Software sich automatisch mindestens einmal täglich aktualisiert,
  • Prüfen Sie Ihr Computersysteme mindestens einmal monatlich vollständig auf den Befall durch Viren, Würmer oder Trojaner,
  • Installieren Sie regelmäßig die vom Hersteller des Betriebssystem angebotenen Sicherheitspatches, wodurch Sicherheitslücken im Betriebssystem geschlossen werden. Wenn Sie Microsoft Windows als Betriebssystem verwenden, aktivieren Sie das "Automatische Update",
  • Sollten Sie Microsoft Office als Anwendung installiert haben, aktivieren Sie auch für diese Anwendung das "Automatische Update",
  • Öffnen Sie niemals Dateianhänge (EXE-Dateien, PDF-, Word- oder Excel-Dateien) an E-Mails von Absendern, die Ihnen unbekannt sind, oder Anhänge, die sie nicht erwarten.
  • Klicken Sie auf keine Links in E-Mails, dessen Absender Sie nicht vertrauen können. Gleiches gilt auch für Chat-Nachrichten (IM = Instant Messaging),
  • Arbeiten Sie nur dann mit Administrator-Rechten, wenn dies unbedingt notwendig ist. Generieren Sie sich ein Benutzer-Konto mit eingeschränkten Zugriffsrechten, für Ihre tägliche Arbeit am Compter,
  • Die meisten Antivirenprogramme erkennen bereits Spyware. Für eine höhere Sicherheit gibt es aber noch zusätzliche Softwaretools, die sich zum Auffinden und Entfernen von Spyware eignen (zum Beispiel

Adaware, Spybot)

  • Führen Sie regelmäßig Datensicherungen auf externen Datenträgern (wie z.B. CDs, DVDs, USB-Sticks, oder externen Festplatten) durch. Dadurch können Ihre Dateien, im Falle einer Beschädigung oder Verschlüsselung durch ein bösartiges Programm, wieder zurückkopiert werden.

Sichere Passwörter

Wählen Sie stets Passwörter, die nicht zu erraten sind und immer eine Kombination aus Ziffern, Zahlen und Sonderzeichen enthalten. Verschicken Sie niemals Passwörter per E-Mail. E-Mails gelten allgemein als unsicher, weshalb der Versand vertraulicher Informationen ein hohes Sicherheitsrisiko birgt. Seriöse Unternehmen werden Sie niemals um eine Passwort-Angabe per E-Mail bitten. Es wird dringend geraten, derartige Anfragen zu ignorieren.

Technische Möglichkeiten für (sicheres) Online-Banking

Wer seine Bankgeschäfte online erledigen will, sollte Maßnahmen ergreifen, um sich vor fremden Zugriffen abzusichern. Folgende Möglichkeiten stehen derzeit zur Verfügung:

  • HBCI-Banking
    Das HBCI-Banking funktioniert mit Hilfe eines Chip-Kartenlesers, einer persönlichen Chip-Karte und einer speziellen Banking-Software. Das Chipkarten-Lesegerät kostet in etwa 50 Euro und wird ebenso wie die Chipkarte im Regelfall von der Bank zur Verfügung gestellt. Nach der einmaligen Einrichtung und Aktivierung der Chipkarte, können Überweisungen nur durch zusätzliche Eingabe einer Geheimnummer ausgeführt werden.
  • iTAN-Verfahren
    Kommt der iTAN beim Online-Banking zur Anwendung, muss man sich zunächst mit der PIN und ggf. weiteren Nummern am Online-Konto anmelden. Um eine Überweisung auszuführen, muss man diese zuerst eingeben und sendet diese an die Bank. Als Authorisierung fordert die Bank nun im Dialogsystem den Bankkunden auf, eine ganz bestimmte TAN aus einer TAN-Liste einzugeben, oder sendet den TAN per SMS an ein zuvor vom Kunden authorisiertes Mobiltelefon.
  • PIN/TAN-Verfahren (wird als unsicher eingestuft)
    Das einfache und bislang noch immer gängigste PIN/TAN-Verfahren weist erhebliche Lücken auf. Mit der PIN meldet man sich beim Online-Banking an und kann dann eine Überweisung online eingeben. Die Autorisierung der Überweisung wird durch die Eingabe eines beliebigen TANs (= Transaktionsnummer) durchgeführt, den man einer, von der Bank übersandten TAN-Liste, entnehmen muss. Ein Risikofaktor ist beispielsweise ein fahrlässiger Umgang mit Transaktionsnummern, die z.B. viele Kunden aus Bequemlichkeit, auf ihren Computer speichern.

Formen der Gefährdung

  • Viren sind Computerprogramme, die sich selbst verbreiten können und oft das Ziel verfolgen, durch Zerstörung, Löschung von Daten und Festplatte Schaden anzurichten. In den meisten Fällen sind sie in harmlosen Programmen versteckt. In E-Mail-Nachrichten werden Viren oft als Spiele oder Bilder getarnt. Durch das Setzen provozierende Betreffzeilen wollen sie den Empfänger dazu verleiten, den E-Mail-Anhang zu öffnen, wodurch sich der Virus aktiviert und das Computersystem befällt. Dabei versuchen Viren sich selbst zu replizieren, indem sie andere Programme auf einem Computer infizieren.
  • Würmer verhalten sich ähnlich wie Viren und versuchen, durch eigenständiges Versenden von E-Mails, sich selbst zu replizieren. Im Gegensatz zu Viren, infizieren sie nicht nur Programme auf dem bereits befallenen Computer.
  • Eine sehr große Gefahr geht von Trojanern (Trojanische Pferde) aus. Dies sind gefährliche Programme, die sich als nützliche Anwendungen tarnen, aber einen hinterlistigen Plan verfolgen, der dem Benutzer aber nicht bekannt ist. Ein Benutzer bemerkt einen Trojaner im Regelfall nicht, der somit heimlich im Hintergrund sein Unwesen treiben kann. Trojaner replizieren sich nicht wie Viren oder Würmer, doch der Schaden, den sie anrichten können, ist meist beträchtlich. Häufig werden Viren oder Würmer in Trojanischen Pferden versteckt.
  • Spyware ist ein Art "Schnüffelprogramm", das die Aufgabe besitzt, den Benutzer des Computers auszuspähen. Dabei funktioniert Spyware auf vielfältige Weise. Es aktiviert sich automatisch nach dem Start eines Rechners und übermittelt die ausgespähten Daten gezielt, sobald eine Verbindung zum Internet hergestellt wurde. Darüber hinaus kann es Einstellungen am Rechner verändern, z.B. die Startseite des Internet-Browsers. Es unterscheidet sich von Viren, indem es nicht versucht, sich selbst weiterzuverbreiten. In diesem Zusammenhang geht eine nicht unbeträchtliche Gefahr von s.g. Cookies aus, die jeder Browser im Zuge des Besuches von Websites anlegt. Cookies können im Bedarfsfall vom Benutzer eines Rechners aktiviert oder deaktiviert werden.

Pishing

Unter "Pishing" versteht man das Ausspionieren persönlicher Daten im Internet. Dabei wird per E-Mail versucht, den Empfänger irre zu führen und zur Herausgabe von Zugangsdaten und Passwörtern für das Online-Banking zu bewegen. Gibt der Empfänger die geforderten Daten auf der vermeintlichen Internetseite oder per E-Mail an, werden diese direkt an den „Phisher“ weitergeleitet, der mit den so erlangten Daten vermögensschädigende Transaktionen durchführt. "Phishing" ist bereits nach geltendem Recht strafbar. Hier kommen die Straftatbestände des Ausspähens von Daten (§ 202a StGB), des Betrugs/Computerbetrugs (§ 263/§ 263a StGB), der Fälschung beweiserheblicher Daten(§ 269 StGB) und der unbefugten Datenerhebung und -verarbeitung (§§ 44, 43 BDSG) in Betracht.

Aktuelle Studien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.V. (ASW) arbeiten derzeit gemeinsam an einer Studie, um die IT-Gefährdungslage bei kleinen und mittleren Unternehmen zu ermitteln. Auf Grundlage von Interviews mit Geschäftsführung und Systemadministratoren „vor Ort“ wird der Bedarf an Sensibilisierung, Beratung und Schutz von sicherheitskritischen technologieorientierten Unternehmen festgestellt.

Weblinks

Siehe auch