IT-Sicherheit an der Universität Bern

E-Mail-Sicherheit: Sie haben ein neues Mail!

Wir erhalten Anfragen, Einladungen, Termine, Newsletter, Dokumente und noch viel mehr per E-Mail. Kriminelle wollen uns austricksen, indem sie betrügerische Nachrichten in diese Informationsflut einschleusen.

Angriff per E-Mail

Moderne Cyber-Bedrohungen können zwar verschiedene Formen annehmen und auf unterschiedliche Weise versandt werden. Das E-Mail ist aber nach wie vor eines der bevorzugten Mittel von Cyber-Kriminellen. Private und geschäftliche Kommunikation über E-Mail wirkt persönlich, ist es aber nicht: Jeder kann Ihnen ein E-Mail senden - und jeder tut es.

Bei Angriffen per E-Mail wird in der Regel versucht, Sie dazu zu bringen, etwas zu tun, was Sie nicht tun sollten. Etwa auf einen Link klicken, ein Dokument öffnen oder Geld überweisen. Und sie haben etwas gemeinsam: Sie fordern Sie auf, sofort zu reagieren! Damit Sie nicht zu viel nachdenken können, ist es immer dringend!

Es ist immer
dringend!

Szenario 1: Klicken Sie hier!

Die Angreifer wollen, dass Sie eine falsche Webseite besuchen, um Ihre Login-Daten zu stehlen oder Ihren Computer mit Malware zu infizieren. Hier drei typische Methoden, die angewendet werden, um Sie zu manipulieren:

Verlockendes Angebot: Ein iPhone für 1 Franken; ein Lotteriegewinn; 80% Rabatt auf Designer-Taschen.

Drohung: Ihr Konto wird gelöscht, Ihre E-Mails werden gelöscht, Ihr Konto wurde gehackt.

Falsche Identität: Ihre IT-Abteilung, Ihre Bank, ein Freund oder eine Kollegin.

Sie haben geklickt? Keine Panik!

  • Ändern Sie Ihre Passwörter.
  • Starten Sie Ihr Antivirenprogramm.
  • Sprechen Sie mit Ihrer IT-Abteilung.

Mehr Informationen

Der Begriff "Phishing" kommt von den englischen Wörtern "password" und "to fish".

Mit gefälschten E-Mails versuchen Betrüger Passwörter oder Kreditkartendaten zu stehlen oder einen Computervirus zu verbreiten.

Ein Phishing-Mail kann Ihnen ein verlockendes Angebot unterbreiten oder eine sofortige Handlung Ihrerseits verlangen, um Sie dazu zu bringen ein gefälschtes Formular auszufüllen, den Link zu einer gefälschten Webseite zu klicken oder einen infizierten Anhang zu öffnen.

Mehr zu Phishing.

Social Engineering ist eine verbreitete Methode zum Ausspionieren von vertraulichen Informationen, meist Passwörtern oder zum direkten Abknöpfen von Geld. Angriffsziel ist dabei immer der Mensch.

Um an vertrauliche Informationen zu gelangen, wird sehr oft die Gutgläubigkeit und die Hilfsbereitschaft aber auch die Unsicherheit einer Person ausgenutzt. Social Engineering wird heute in unzähligen Bereichen mit betrügerischer Absicht verwendet: Telefonanrufe, die ihre Herkunft vertuschen, Personen die sich auf Social Media oder am Telefon als jemand anderes ausgeben, Online-Shops die nicht echt sind, oder Phishing über E-Mail oder Nachrichten wie SMS, Whatsapp oder Messenger. Um Menschen zu erwischen und zu täuschen werden auch Informationen auf Social Media ausspioniert und verwendet.

Mehr zu Social Engineering.

E-Mail-Spam beschreibt einen massenhaften, unverlangten Versand von E-Mails mit werbendem Inhalt und enthält häufig infizierte Anhänge oder Links, die zu infizierten Webseiten führen.

Szenario 2: Öffnen Sie dieses Dokument!

Die Angreifer wollen, dass Sie ein Dokument öffnen oder herunterladen, um Malware auf Ihrem Computer zu installieren. Hier drei typische Methoden, die angewendet werden, um Sie zu manipulieren:

Drohung: Sie haben vergessen, eine Rechnung zu bezahlen (Anhang prüfen!). Sie haben einen Vertrag unterzeichnet.

Neugier: Ein Whistleblower gibt geheime Informationen an Sie weiter. Jemand informiert Sie versehentlich über Löhne oder Strategien.

Falsche Identität: Julian Assange, ein Dienstleister, ein Inkassounternehmen, eine Grossbank, ein bekanntes Unternehmen oder ein Bewerber.

Sie haben ein Dokument geöffnet? Keine Panik!

  • Löschen Sie das Dokument.
  • Starten Sie Ihr Antivirenprogramm.
  • Sprechen Sie mit Ihrer IT-Abteilung.

Mehr Informationen

Ransomware (aus dem Englischen "Ransome" = "Lösegeld") ist eine noch relativ neue Form der Schadsoftware und wird zum Oberbegriff der "Malware" gezählt.

Sie gelangt für gewöhnlich unbefugt über Programme, E-Mail-Anhänge oder unseriöse Webseiten auf das System. Das Ziel der Ransomware ist es, den Nutzer des Systems zu erpressen. Wer Ransomware einfängt, dem wird mit der Schadsoftware der gesamte Computer gesperrt. Entsperrt wird das Gerät angeblich erst, wenn Geld überwiesen wird. Justiz- und Sicherheistbehörden raten, nicht zu zahlen. In der Regel wird danach nicht das Gerät entschlüsselt, sondern eine weitere Zahlung gefordert. Zum Schutz gegen Ransomware empfiehlt sich eine Kombination aus dem bewussten Umgang mit dem Internet, einem aktualisierten Anti-Viren-Programm sowie einer ständig laufenden Firewall. 2016 haben sich europäische Polizeien im Kampf gegen Ransomware zusammengeschlossen. Mehr dazu unter nomoreransom.org.

Ausführliche Statistiken über Ransomware und den geschätzten finanziellen Schaden, den diese Malware anrichtet finden Sie hier.

Der Begriff Spyware ist englischen Ursprungs und bedeutet wörtlich übersetzt so viel wie Spionagesoftware.

Mit Spyware wird eine spezielle Art von Software bezeichnet, die das Online-Verhalten von Nutzern ausspioniert und aufzeichnet und diese gesammelten Daten dann an Drittpersonen weiterleitet. Die Daten werden von Cyber-Kriminellen für unterschiedliche illegale Zwecke eingesetzt, wie beispielsweise um Identitätsdiebstahl zu begehen oder gezielt die Konfiguration infizierter Rechner zu verändern. Schnüffel-Software wird sowohl auf traditionellen Desktop-PCs als auch neuerdings auf mobilen Endgeräten installiert. Die bösartige Software verhält sich äußerst penetrant und gilt als hochgefährlich. Sie wird vorwiegend durch Spam-Emails verbreitet.

Einige häufige Möglichkeiten, wie Ihr Computer infiziert werden kann:

  • Akzeptieren einer Eingabeaufforderung oder eines Pop-ups
  • Herunterladen von Software aus einer unzuverlässigen Quelle
  • Öffnen von E-Mail-Anhängen von unbekannten Absendern
  • Piraterie von Medien wie Filmen, Musik oder Spielen

Trojaner sind eine Art Malware, deren Name sich von der klassischen Legende vom Trojanischen Pferd ableitet, da bei dieser Malware eine ähnliche Methode angewendet wird, um PCs zu infizieren. Ein Trojaner versteckt sich in scheinbar harmlosen Programmen oder versucht Sie zu dessen Installation zu verleiten.

Ein Trojaner gibt sich oftmals als legitime Software aus und kann so ziemlich jede Form annehmen. Das Computerspiel, das Sie von einer merkwürdigen Webseite heruntergeladen haben oder die "kostenlose" MP3 von der Band, die Sie so toll finden. Eventuell werden irreführende Formulierungen verwendet oder man versucht Sie davon zu überzeugen, dass es sich um eine seriöse App handelt. Aus diesem Grund ist es wichtig, unsichere Webseiten zu vermeiden und Inhalte nicht leichtsinnig herunterzuladen. Denn Trojaner werden in der Regel von Cyberdieben und kriminellen Hackern eingesetzt, um Zugang zum System des Benutzers zu erlangen. Einmal aktiviert, können die Cyberkriminellen Sie mithilfe des Trojaners ausspionieren und vertrauliche Daten stehlen.

Mehr zu Malware.

Das Wort Malware kommt aus dem Englischen. Es setzt sich aus malicious (böse) und Software zusammen. Auf Deutsch heißt das so viel wie bösartige Computer-Programme.

Malware ist der Überbegriff für Schadprogramme, welche vom Benutzer unbemerkt im Hintergrund auf dem Computer laufen. Malware verbreitet sich meistens über das Internet. Zum Beispiel über einen E-Mail Anhang. Malware kann Daten sammeln oder manipulieren oder weitere für Kriminelle wertvolle Funktionen ausführen. Zu Malware gehören insbesondere Viren, Würmer und Trojaner.

Mehr zu Malware.

Szenario 3: Überweisen Sie Geld!

Die Angreifer wollen, dass Sie Geld an eine Western Union-Bank überweisen oder Bitcoins verwenden. Hier drei typische Methoden, die angewendet werden, um Sie zu manipulieren:

Drohung: Ein sehr wichtiges Projekt wird scheitern, Sie werden gefeuert oder ganz persönliche Informationen werden öffentlich gemacht, wenn Sie kein Geld überweisen. Der Kontakt wird abgebrochen, wenn Sie kein Geld überweisen.

Verlockendes Angebot: Sie müssen nur sehr wenig Geld investieren und werden viel mehr zurückerhalten. Ein Freund braucht Ihre Hilfe.

Falsche Identität: Ein Freund, Ihr Vorgesetzter, ein nigerianischer Prinz, ein Lieferant oder ein Bankangestellter.

Sie haben Geld überwiesen? Keine Panik!

  • Sprechen Sie mit Ihrer Bank.
  • Beenden Sie sofort jede Kommunikation mit dem Angreifer/Erpresser.
  • Erstatten Sie Anzeige bei der Polizei.

Mehr Informationen

CEO-Betrug ist eine Betrugsmasche, mit der Täter immer mehr Geld erbeuten. Sie zielen dabei auf alle ab, grosse, mittlere und kleine Unternehmen.

Dabei versuchen Täter, entscheidungsbefugte Personen in Unternehmen zu manipulieren, damit diese hohe Geldbeträge ins Ausland überweisen. Die Täter spiegeln ihren Opfern in der Regel vor, der Auftrag käme unmittelbar vom Chef des Unternehmens (Geschäftsführer oder Vorstand = Chief Executive Officer = CEO). Es handelt sich um eine Variante des sogenannten Social Engineerings, bei dem die "Schwachstelle Mensch" ausgenutzt wird.

Die Täter gehen meist sehr geschickt vor, indem sie sich zunächst möglichst viele Informationen über das Unternehmen und die Strukturen des Unternehmens verschaffen. Ein Augenmerk legen die Täter dabei auf Angaben zu Geschäftspartnern und künftigen Investments, E-Mail-Erreichbarkeiten oder auch Informationen in sozialen Netzwerken zu Mitarbeitern des Unternehmens.

Mit diesen Informationen gelingt es den gut organisierten Tätern überzeugend als Geschäftsführer oder weisungsbefugter Entscheidungsträger eines Unternehmens aufzutreten. Buchhaltern oder anderen Entscheidungsträgern eines Unternehmens wird durch mehrfache E-Mails und Anrufe vorgespielt, eine dringende und geheime Geldüberweisung müsse schnell und unauffällig durchgeführt werden. Die Täter schaffen es häufig, grossen psychischen Druck aufzubauen. So gelingt es ihnen regelmässig, auch erfahrene Mitarbeiter zur Überweisung hoher Beträge zu bewegen. Der Schaden beträgt inzwischen mehrere Millionen Euro und Schweizer Franken.

Der Begriff Spoofing stammt aus dem englischen und ist abgeleitet von dem Verb to spoof. Es bedeutet so viel wie täuschen oder fälschen und das ist eine sehr treffende Beschreibung. Kriminelle versuchen die E-Mail-Empfänger mit diesen E-Mails zu täuschen. Das Ziel der Cyberkriminellen ist Phishing oder Erpressung.

Dazu werden entweder Emails mit einer gefälschten Absender-Adresse verschickt, die vertrauenswürdigen und bekannten Absenderadressen zum Verwechseln ähnlich sehen können. Die Cyberkriminellen mieten dazu Domänen an, die der imitierten Absenderadresse sehr ähnlich sind und für den Außenstehenden auf den ersten Blick nicht als Fälschung erkannt werden können.

Eine andere Möglichkeit ist die Manipulation der E-Mail-Kopfzeile durch Hacker. Sie verändern den Absender-Bereich so, dass sie vom Original kaum oder gar nicht zu unterscheiden ist.

Dadurch kann der Sender Nachrichten verschicken, die so wirken als kämen sie von einem bekannten bzw. seriösem Konto - in manchen Fällen sogar von Ihrem eigenen.

Tipps

1. Lassen Sie sich Zeit: Überlegen Sie einen Moment, bevor Sie auf einen Link klicken, ein Dokument öffnen oder Geld überweisen. Machen Sie einen Realitäts-Check!

2. Realitäts-Check: Wenn etwas zu gut ist, um wahr zu sein, dann ist es in der Regel nicht wahr - vor allem im Internet. Fragen Sie sich selbst, ob diese Anfrage oder diese Chance, die Sie per E-Mail erhalten haben, überhaupt realistisch ist: Habe ich an einem Lotteriespiel teilgenommen? Würde irgendein Designer seine Taschen tatsächlich so billig verkaufen? Warum sollte ein Whistleblower ausgerechnet mir Dokumente schicken?

3. Nachprüfen: Falls der Realitäts-Check keine Klarheit bringt, prüfen Sie nach. Handelt es sich um eine verdächtige Nachricht Ihrer Bank? Rufen Sie Ihre Bank an. Ist es eine Nachricht von Ihrem Vorgesetzten? Sprechen Sie mit ihm. Oder haben Sie eine Rechnung oder einen Vertrag von einem Unternehmen erhalten, das Sie kennen? Nehmen Sie Kontakt mit diesem Unternehmen auf.

So schützen Sie sich künftig

  • Wenn Sie einen Anhang von jemandem erhalten, den Sie nicht kennen, öffnen Sie ihn nicht: Löschen Sie ihn sofort. Sie sollten auch bei Anhängen von Bekannten, Freunden oder Familienmitgliedern vorsichtig sein, wenn Sie diese nicht erwarten - deren E-Mail-Konto könnte infiziert oder deren E-Mail-Adresse gefälscht sein.
  • Bewegen Sie Ihre Maus über einen Link, bevor Sie ihn öffnen, um zu kontrollieren, ob die URL echt ist.
  • Öffnen Sie einen neuen Browser und tippen Sie den Anfang des Links von Hand ein. So sehen Sie, ob die Webseite von dem angegebenen Unternehmen sein kann.
  • Geben Sie Ihre E-Mail-Adresse nie auf Webseiten an, denen Sie nicht vertrauen.
  • Posten Sie Ihre E-Mail-Adresse nicht auf öffentlichen Webseiten oder in öffentlichen Foren: Spammer suchen solche Webseiten oft nach E-Mail-Adressen ab.
  • Denken Sie immer daran, dass vertrauenswürdige Unternehmen nie per E-Mail nach persönlichen Angaben fragen würden.
  • Googeln Sie verdächtige E-Mails, um zu überprüfen, ob andere sie ebenfalls erhalten und als echt oder betrügerisch identifiziert haben.