Die 10 meist unterschätzten Sicherheitsrisiken (Teil 1)

1. Nicht aktualisierte Software

Problem: Jahrelang war Windows das Hauptangriffsziel für Hacker, jedoch hat Microsoft daraus gelernt und in letzter Zeit erfolgreich große Anstrengungen unternommen, um seine Produkte sicherer und stabiler zu machen. Heutzutage stellen Softwareprodukte von Drittanbietern (wie zum Beispiel Adobe Reader) ein bevorzugtes Ziel dar.

Lösung: Installieren Sie immer so bald wie möglich alle relevanten Sicherheitsupdates. Dies betrifft nicht nur die Windows-Updates, die Sie am besten automatisch installieren lassen, sondern insbesondere auch Updates für Softwareprodukte von Drittanbietern (zum Beispiel Adobe Reader oder Flash). Gehen Sie dazu regelmäßig auf die Webseiten der Softwarehersteller und sehen Sie dort nach, ob es ein Update für die eingesetzten Produkte gibt. Sollte ein Produkt eine Auto-Update-Funktion anbieten, dann aktivieren Sie diese. Die installierte Software aktuell zu halten ist eine der einfachsten und wirkungsvollsten Maßnahmen, um sein System zu schützen.

2. Ungenügender WLAN-Schutz

Problem: Viele KMUs (kleine und mittlere Unternehmen) schützen ihr WLAN bereits mit einem Kennwort. Jedoch kann dies nicht immer ausreichend sein.

Lösung: Es gibt drei Verfahren der WLAN-Verschlüsselung: WEP, WPA und WPA2. WEP ist das älteste Verfahren und kann heutzutage mit speziellen Programmen in wenigen Minuten geknackt werden. Dennoch ist eine aktivierte WEP-Verschlüsselung besser als gar keine Verschlüsselung. WPA und insbesondere WPA2 bieten eine deutlich höhere Sicherheit für Ihr WLAN. Loggen Sie sich in Ihren Router ein und wechseln Sie zu den WLAN-Einstellungen. Aktivieren Sie dort die Verschlüsselung und wählen Sie WPA oder wenn möglich WPA2. Benutzen Sie ein möglichst langes und komplexes Kennwort.

3. Manipulierte WLAN-Hot-Spots

Problem: Kostenlose und offene WLAN-Hot-Spots sind fast überall vorhanden und sehr bequem. Man sollte jedoch im Hinterkopf behalten, dass jeder Hot-Spot vollen Zugriff auf den über ihn laufenden unverschlüsselten Datenverkehr hat. Kriminelle nutzen dies aus und stellen manipulierte offene Hot-Spots auf, damit sie vertrauliche Daten wie Benutzernamen, Kennwörter, Kreditkartennummern usw. sammeln können.

Lösung: Wenn Sie sich in einem Kaffeehaus oder Hotel befinden, fragen Sie nach dem korrekten SSID. Der SSID ist der Name eines WLAN-Hot-Spots und wird auch in der Liste der verfügbaren WLANs Ihres Betriebssystems angezeigt. Achten Sie dabei auf die korrekte Schreibweise, da manipulierte Hot-Spots oft einen ähnlich klingenden Namen benutzen. Grundsätzlich sollten Sie öffentliche Netzwerke nicht zum Abrufen vertraulicher Informationen wie E-Mails oder zum Erledigen von Bankgeschäften verwenden, es sei denn, es steht Ihnen eine verschlüsselte Datenverbindung (VPN) direkt zu Ihrem Unternehmen zur Verfügung.

4. Scareware

Problem: Bei Scareware handelt es sich um bösartige Software, deren Ziel es ist, den Anwender zu verunsichern und zu täuschen. Ein verbreitetes Beispiel dafür ist die beim Surfen auf einer Website plötzlich erscheinende Warnung, dass der PC mit einem Virus befallen wäre und der Anwender nun eine bestimmte Anti-Virus-Software herunterladen solle. Jene Anti-Virus-Software ist natürlich in Wirklichkeit ein Schadprogramm.

Lösung: Machen Sie sich mit Funktionsweise und Aussehen Ihrer installierten Sicherheitssoftware vertraut, damit Sie echte Warnungen von vorgetäuschten unterscheiden können.

Laden Sie keinesfalls eine fremde Sicherheitssoftware herunter, sondern vertrauen Sie Ihrer installierten Sicherheitslösung. Lassen Sie sich nicht verunsichern! Sollten Sie noch keine Sicherheitssoftware installiert haben, benutzen Sie einen kostenlosen Online-Scanner eines renommierten Herstellers (z.B. http://housecall.trendmicro.com oder http://www.eset.com/online-scanner) oder das Microsoft Malicious Software Removal Tool (http://www.microsoft.com/security/malwareremove); installieren Sie anschließend eine gute Sicherheitssoftware (zum Beispiel das auch für Kleinunternehmen kostenlose Microsoft Security Essentials http://www.microsoft.com/security_essentials).

Aktualisieren Sie Ihren Webbrowser. Die meisten aktuellen Webbrowser haben einen Phishing-Schutz eingebaut, der zu einem Großteil derartige gefälschte Meldungen erkennt.

5. Trojanische SMS

Problem: Trojanische SMS sind Kurznachrichten auf Ihrem Handy oder Smartphone, die vortäuschen, von Ihrem Netzbetreiber oder Ihrer Bank zu kommen, und die Sie auffordern, eine bestimmte (in Wirklichkeit manipulierte) Website zu besuchen oder ein benötigtes (in Wirklichkeit bösartiges) Update zu installieren. In allen Fällen geht es jedoch darum, an Ihre vertraulichen Daten wie Benutzernamen, Kennwörter, Kreditkartennummern usw. heranzukommen.

Lösung: Sollten Sie eine Textnachricht erhalten, die von Ihnen verlangt eine Software zu installieren oder die versucht, automatisch eine Software zu installieren, beenden Sie die SMS-App umgehend. Sollte die Nachricht vorgeben, von einem vertrauenswürdigen Absender zu kommen, setzen Sie sich mit dem Absender in Verbindung (z.B. Kundendienst oder Hotline), und verifizieren Sie, dass die Nachricht korrekt ist. Grundsätzlich senden seriöse Unternehmen keine Updates oder Installationsaufforderungen per SMS. Verbrecher spekulieren darauf, dass sich ihre Opfer von den vermeintlich echten Absendernamen beeindrucken lassen und dann die Schadprogramme installieren.

Drahtlose Unsicherheit

Drahtlose Kommunikation über WiFi oder Handynetze wird immer beliebter und wichtiger. Auch im Unternehmensbereich. Doch wie sicher ist das? Nachfolgend der aktuelle Wissensstand.

WiFi
Nachwievor begegne ich in Unternehmen WLAN-Netzwerken, die mit dem ungenügenden WEP-Verfahren “geschützt” sind. WEP bietet heutzutage keine Sicherheit mehr, kann innerhalb weniger Minuten mit frei erhältlicher Software von jedem Hobby-Hacker überwunden werden.

Und wie sieht es mit dem Nachfolger WPA aus? Auch WPA wurde bereits kompromittiert. Auf speziellen Webseiten kann man für ca. 15 Euro das WPA-Kennwort cracken lassen. Durchschnittliche Dauer: 20 Minuten. Ein handelsüblicher Dual-Core-PC braucht für die gleiche Aufgabe ca. 5 Tage. Folglich bietet auch WPA keine ausreichende Sicherheit mehr. Schutz bietet heutzutage nur noch der WPA2-Standard. Es ist daher sehr wichtig, möglichst rasch alle WEP- und WPA-geschützten Drahtlosnetzwerke auf den WPA2-Standard zu aktualisieren.

Doch auch wenn ein Unternehmen seine hauseigenen WiFi-Netzwerke mittels WPA2 schützt, eine große Restunsicherheit bleibt: Was ist, wenn die Mitarbeiter zu Hause oder unterwegs ein WLAN benutzen? Wie kann man sicherstellen, dass jene Drahtlosnetzwerke auch ausreichend geschützt sind? Leider kann man das nicht. Der einzige Schutz in diesem Fall ist die automatische Verschlüsselung des gesamten darüber laufenden Datenverkehrs.

Handy
Grundsätzlich gibt es zurzeit zwei Handynetze: das alte GSM und das neue 3G. 3G-Netze sind schneller, aber in der Regel nur in Städten und Ballungszentren ausgebaut. Außerhalb jener Bereiche verwenden auch 3G-Handy das GSM-Netz.

Im Dezember 2009 wurden die vollständigen GSM-A5/1-64-Bit-Verschlüsselungscodes veröffentlicht, mit der Folge, dass GSM-Telefonate und –datenübertragungen sowie SMS in Echtzeit abgehört werden können. War dies bisher nur staatlichen Behörden möglich, so steht diese Möglichkeit nun jedem technisch Interessierten offen. Die nötige Hardware dafür kostet weniger als 1.000 Euro. Für hohe Politiker und Beamte ändert sich durch die Veröffentlichung der GSM-Codes nichts, da jene Personen schon immer spezielle, den kompletten Sprach- und Datenverkehr verschlüsselnde Handys benutzt haben. Aber für Unternehmer und Manager bedeutet dies, dass sie für vertrauliche Gespräche doch besser ein schnurgebundenes Festnetztelefon verwenden sollten.