Sicherheit liegt in Ihren Händen!

Praktisch alle Lebensbereiche sind heute von Informatik geprägt. Dies erleichtert uns viele Tätigkeiten, birgt aber auch Gefahren. Mit Ihrem korrekten Verhalten leisten Sie einen wichtigen Beitrag zur Sicherheit von Daten und Infrastruktur. Astronaut «Cybie» und sein Trabant «Digi», die Stars der neuen Sensibilisierungskampagne für die Informatiksicherheit in der Bundesverwaltung, geben Ihnen hilfreiche Tipps dazu. 

Ich!

Ihre Person interessiert. Schön – aber wissen Sie auch, warum?

Schwachstelle Mensch

Nicht immer gelangen Cyber-Kriminelle durch das Ausnützen von Sicherheits-Lecks in Hard- oder Software an sensible Daten. Oftmals wird auch die Schwachstelle Mensch ausgenutzt, um in IT-Systeme einzudringen. Die Täter machen sich die Unaufmerksamkeit, Hilfsbereitschaft oder Gutgläubigkeit von Mitarbeitenden und privaten PC-Anwendern zu Nutze, um ihre Ziele zu erreichen.

Social Engineering - Methoden und Tricks

Beim «Social Engineering» werden ahnungslose Personen manipuliert und mithilfe von psychologischem Geschick und Vortäuschung von Notsituationen zu bestimmten Handlungen bewogen. Manche Täter kontaktierten gezielt Personen, um sie beispielsweise zur Herausgabe von Passwörtern, das Herunterladen von Dateien oder das Anschliessen von infizierten USB-Sticks zu bewegen. Auf diese Weise gelingt es den Angreifern, mit relativ geringem Aufwand die gesamte IT-Sicherheit zu umgehen. Insbesondere bei vertrauenerweckenden, aber falschen Absendern wie Banken, Polizei, IT-Support, indirekten Vorgesetzten oder gemeinsamen Bekannten ist die Hemmschwelle für viele Opfer gering, sich zu unüberlegten Handlungen verleiten zu lassen.

Beispiele von Social-Engineering-Angriffen:

  • Per Telefon:
    Falsche IT-Supporter wollen helfen, den PC vor Hackern zu schützen oder von Viren zu säubern und verlangen die Zugangsdaten. Oder: Angebliche Umfrage-Institute erfragen Details zu persönlichen Daten, Passwörtern, Kreditkarteninformationen usw.
  • Die Chef-Masche (Fake President Fraud):
    Angestellte werden per E-Mail (mit täuschend echten E-Mail-Adressen, per SMS oder Social Media) persönlich angeschrieben und dazu angestiftet, dem vermeintlichen Vorgesetzten dringendst Passwörter oder Informationen zuzusenden, Schlüssel zu hinterlegen usw.
  • Phishing: 
    Via grossflächig gestreuten Phishing-Mails werden Empfänger dazu verleitet, auf Webseiten Passwörter oder andere sensible Daten einzugeben. Hinter E-Mail-Anhängen oder Links können sich Schadprogramme verbergen, die automatisch am PC des Opfers installiert werden.
  • USB-Sticks in Unternehmen schmuggeln:
    Infizierte USB-Sticks, die von Kriminellen per Post verschickt oder persönlich abgegeben werden, sollen von Mitarbeitenden an PCs angeschlossen werden. So können Schadprogramme wie Viren, Trojaner etc. ins Unternehmen gelangen.
  • Social-Media-Maschen:
    Täter machen intensive Personen-Recherchen übers Internet und Soziale Netzwerke, erschleichen sich als «Freunde» Vertrauen und bewegen ihre Opfer zu unbedachten Handlungen wie etwa die Herausgabe von Passwörtern, Geldüberweisungen usw.

Richtiges Verhalten bei Social Engineering

Gegen «Social Engineering» helfen technische Schutzmassnahmen kaum. Hilfreich ist jedoch Aufklärung und Aufmerksamkeit. Die Schulung und Sensibilisierung von Mitarbeitenden – aber auch von Privatpersonen – ist deshalb sehr wichtig. Nicht nur naive IKT-Nutzerinnen und Nutzer werden zu Social-Engineering-Opfern. Bereits eine kleine Unachtsamkeit oder eine unbedachte Hilfeleistung reicht aus, und schon gelangen sensible Daten in falsche Hände. Das kann jedem und jeder passieren.

Gesundes Misstrauen ist deshalb immer angebracht!

  • Social Media:
    Kritisch hinterfragen, mit wem man sich befreundet und welche Informationen (insbesondere geschäftliche) man preisgibt.
  • Telefon:
    Kennt man die anrufende Person nicht, dürfen keinesfalls sensible Informationen weitergegeben werden. Selbst bei bekannten Personen ist Vorsicht geboten. Microsoft, Banken und andere Firmen rufen nie an, um ein «Problem zu lösen».
  •  E-Mail:
    Bei E-Mails von unbekannten Absendern sollten keine Anhänge geöffnet werden. Genau hinschauen, ob die Adresse korrekt ist: Vorsicht bei ähnlich lautenden Absendern. Und selbst bei bekannten Absendern sollte man vorsichtig sein.

Allgemein gilt:

  • Alle Mitarbeitenden müssen wissen, wie sie sich bei Kontaktversuchen und Anfragen von Unbekannten zu verhalten haben.
  • Passwörter nie jemandem bekanntgeben.
  •  Nie einen fremden USB-Stick am PC anschliessen
  • Alte Dateien, Festplatten, Papierdokumente usw. nicht herumliegen lassen, sondern korrekt vernichten. 

 

So verhalten Sie sich richtig:

 

Hinweis:

Die Kampagne IKT-Sicherheit richtet sich an die Mitarbeitenden der Bundesverwaltung. Viele Informationen und Tipps gelten selbstverständlich auch für Nutzerinnen und Nutzer ausserhalb der Bundesverwaltung.

Letzte Änderung 06.05.2019

Zum Seitenanfang