Sicherheitstipps für Ihren Office-Alltag
IT-Sicherheit ist ein wesentlicher Faktor für den langfristigen Unternehmenserfolg. IT-Security betrifft aber nicht nur Systeme und Netzwerke sondern beginnt beim Anwender. Wir liefern Ihnen daher Antworten auf Ihre Fragen rund um das Thema IT-Sicherheit und verraten praktische Tipps und Maßnahmen zur Sensibilisierung für das Thema.
Ich nutze mein Smartphone wirklich intensiv. Ein Leben ohne mein Smartphone kann ich mir mittlerweile gar nicht mehr vorstellen. Mittlerweile mache ich auch online Banking damit und nutze das neue PushTAN Verfahren. Auch meine Termine verwalte ich damit. Außerdem ist es mein wichtigstes Kommunikationswerkzeug. Solange ich darauf achte, dass es mir nicht gestohlen wird und niemand sonst mein Smartphone verwendet, gibt es doch keine Sicherheitsbedenken, oder? Welchen Schaden könnten Angreifer schon aus der Ferne anrichten?
Der IT-Security Officer meint: Angreifer können mittlerweile eine Vielzahl von Angriffen aus der Ferne auf ihr Smartphone starten. De facto bieten Smartphones aufgrund der wachsenden Funktionalität mehr Angriffsfläche, als ein Desktop Rechner. Auch der Umstand, dass auf diesen Geräten kein Windows läuft, bedeutet nicht, dass die jeweiligen Betriebssysteme unangreifbar sind. Im Gegenteil! Erst vor Kurzem wurden von Sicherheitsforschern mehrere kritische Sicherheitsschwachstellen im iMessage Nachrichtendienst von Apple veröffentlicht. Um diese Schwachstellen auszunutzen, sendet der Angreifer lediglich eine manipulierte Nachricht an das Opfer. Indem das Opfer diese Nachricht liest, kann der Angreifer bspw. Dateien von Ihrem Gerät stehlen oder einen schädlichen Code direkt auf Ihrem Gerät ausführen. Damit ist er in der Lage, unbemerkt bspw. eine Überwachungssoftware zu installieren.
Von diesen genannten Sicherheitsschwachstellen sind sämtliche Apple Geräte mit dem Betriebssystem iOS (iPhones und iPads) bis zur Version 12.3 betroffen. Installieren Sie daher noch heute das Update auf die fehlerbereinigte iOS Version 12.4. Eine Beschreibung des Update Vorgangs ist auf der entsprechenden Support Webseite des Herstellers abrufbar. Natürlich steht Ihnen bei Fragen auch der RICS Service Desk zur Verfügung.
Obwohl ich gar nicht für Personalangelegenheiten zuständig bin, habe ich heute durch puren Zufall per E-Mail eine Stellenbewerbung bekommen, mit Motivationsschreiben und Lebenslauf im Anhang. Ich leite die Bewerbung an meine/n Vorgesetzte/n weiter. Ob ich zuerst noch schnell einmal lesen sollte, was mir da zugesendet wurde?
Der IT-Security Officer meint: Nein. Es ist kein Zufall, dass Ihnen diese E-Mail gesandt wurde. Vielmehr handelt es sich mit höchster Wahrscheinlichkeit um eine Nachricht mit einem schädlichen Anhang.
Solche gefährlichen Fake-Bewerbungen werden schon eine Zeit lang an Personalabteilungen von kleinen und großen Unternehmen versandt. Nachdem diese mittlerweile aber bereits große Vorsicht walten lassen, gehen die Verbrecher nun dazu über, Bewerbungen mit Schadsoftware auch an E-Mail-Adressen beliebiger MitarbeiterInnen zu versenden. Der Trick funktioniert natürlich auch mit gefälschten Aufträgen, Bestellungen, Rechnungen usw.
Sie fragen sich sicher was eigentlich passiert, wenn Sie einen manipulierten Dateianhang öffnen. Das Öffnen bewirkt in den meisten Fällen, das unbemerkt ein sog. Trojaner auf das jeweilige Endgerät geladen wird. Je nachdem, was die Angreifer vorhaben, kann diese Schadsoftware bspw. sämtliche gespeicherten Daten, auf die Sie Zugriff haben, verschlüsseln oder sensible Daten zu stehlen.
Die Angreifer sind mittlerweile dazu übergegangen, manipulierte E-Mailanhänge verschlüsselt zu schicken. Dabei wird das zum Öffnen nötige Passwort – was ja eigentlich sinnlos ist – im E-Mail-Text genannt. Warum? Weil auf diesem Weg können Virenscanner diese Anhänge nicht prüfen.
Öffnen Sie keine E-Mail Anhänge und klicken Sie auf keine Links, welche von unbekannten Personen oder dubiosen Absendern stammen. Misstrauen Sie verschlüsselten E-Mail Anhängen, wenn im selben Mail das entsprechende Passwort angegeben wurde!
Geben Sie für Reparaturzwecke auch keinesfalls Passwörter Preis! Dritte können bspw. Ihr Passwort zu Ihrem Google Konto missbrauchen, um von einem beliebigen Endgerät aus auf Ihre privaten E-Mails, Kontakte oder Bilder zuzugreifen. Ein vom Arbeitgeber bereitgestelltes Endgeräte darf keinesfalls „privat“ repariert werden.
Hinweis: Jene Unternehmensdaten, die mittels der Lösung MobileIron verwaltet werden, sind zwar verschlüsselt, aber auch dieser Schlüssel kann von Angreifern mit entsprechendem technischen Aufwand „erraten“ werden, wenn dieser genug Zeit zur Verfügung hat.
Viele User kennen das: Plötzlich versagt das Smartphone seinen Dienst. Sei es, weil man es einmal fallen ließ oder auch aus unbekannten Gründen. Natürlich ist das besonders unangenehm, wenn das Diensthandy betroffen ist. Gut, dass es Shops gibt, die Schnellreparaturen bzw. auch solche in Gewährleistung anbieten. Meistens bekommt man schon am nächsten Tag das reparierte Mobiltelefon zurück. Das erspart den Weg zum Vorgesetzten bzw. höhere Reperaturkosten durch einen entsprechenden Reperaturdienst. Worin besteht das Risiko?
Der IT-Security Officer meint: Ein Mobilgerät aus der Hand zu geben, auf dem derart viele personenbezogene und kritische Unternehmensdaten gespeichert sind, ist ein No-Go. Hierbei besteht das Risiko, dass die auf diesem Gerät gespeicherten Daten in fremde Hände gelangen. Sie wissen nicht, ob der Techniker das Gerät nicht nur repariert, sondern auch manipuliert. Jedenfalls hat er dazu genug Zeit und Sie können die Veränderungen in den meisten Fällen nicht nachvollziehen.
Geben Sie für Reparaturzwecke auch keinesfalls Passwörter Preis! Dritte können bspw. Ihr Passwort zu Ihrem Google Konto missbrauchen, um von einem beliebigen Endgerät aus auf Ihre privaten E-Mails, Kontakte oder Bilder zuzugreifen. Ein vom Arbeitgeber bereitgestelltes Endgeräte darf keinesfalls „privat“ repariert werden.
Hinweis: Jene Unternehmensdaten, die mittels der Lösung MobileIron verwaltet werden, sind zwar verschlüsselt, aber auch dieser Schlüssel kann von Angreifern mit entsprechendem technischen Aufwand „erraten“ werden, wenn dieser genug Zeit zur Verfügung hat.
Es ist ja sehr praktisch: Ich tippe zwei bis drei Buchstaben in das Empfängerfeld meines E-Mail Programms, und schon wird mir der vermeintlich gewünschte Empfänger vorgeschlagen. Kann diese komfortable Funktion zu Sicherheitsproblemen oder Datenschutzverstößen führen? Was passiert, wenn ich unachtsam bin und die E-Mail an den falschen Empfänger gesendet wird?
Der IT-Security Officer meint: Diese Funktion kann sehr schnell dazu führen, dass eine E-Mail mit vertraulichen Inhalten beim falschen Empfänger landet. E-Mails, die an einen falschen Empfänger gesendet werden, können nicht nur peinlich sein, sondern auch ungewollt zu einer Sicherheits- und/oder Datenschutzverletzung führen. Bedenken Sie, dass Sie eine falsch adressierte E-Mail nicht zurückholen können. Einmal versendet, sind auch die darin enthaltenen Daten und Informationen in den falschen Händen gelandet. Werden personenbezogene Daten an den falschen Empfänger versendet, muss dieser Verstoß in jedem Fall dem Datenschutzbeauftragten gemeldet werden und müsste dieser Verstoß nach anschließender Prüfung und Bestehens einer Datenschutzverletzung unter Umständen an die Datenschutzbehörde gemeldet werden. Dem Unternehmen kann in der Folge eine saftige Strafe in der Höhe von bis zu vier Prozent des Unternehmensumsatzes oder 20 Millionen Euro drohen.
So beugen Sie Sicherheits- und Datenschutzverletzung vor:
- Vergewissern Sie sich deshalb VOR dem Absenden, dass Sie den richtigen Empfänger eingegeben haben.
- Übermitteln Sie sensible Informationen immer verschlüsselt! Nutzen Sie dazu entweder verschlüsselte und digital signierte E-Mails
- Sollten Sie eine Nachricht dennoch aus Unachtsamkeit an einen falschen Empfänger geschickt haben, melden Sie dies umgehend dem Datenschutzbeauftragten.
Oft muss ich nur ganz schnell einmal hinaus. Soll ich wirklich immer den PC sperren, wenn ich den Arbeitsplatz verlasse?
Der IT-Security Officer meint: Ja, unbedingt. Auch wenn man glaubt, nur kurz weg zu sein, genügt eine kleine Störung oder Ablenkung und Ihr PC bleibt ungeschützt. Häufig sieht ein zufälliger Besucher oder jemand vom Personal am Bildschirm Daten, die vertraulich bleiben müssen. Noch schlimmer ist es, wenn jemand auf die Gelegenheit wartet, eine E-Mail in Ihrem Namen abzusenden, sich schnell Daten auf einen USB-Stick herunterkopiert oder blitzartig Schadsoftware (Computerviren) auf den betreffenden Computer installiert. Und selbst wenn jemand „nur“ im Internet surft, werden alle Seitenaufrufe Ihnen zugerechnet, weil Sie angemeldet sind.
Machen Sie es sich zur Gewohnheit: Ziehen Sie immer, wenn Sie Ihren Arbeitsplatz verlassen, Ihre Smartcard ab oder sperren Sie Ihren PC.
Plötzlich steht ein Installateur vor der Tür und begehrt Einlass. Er müsse dringend alle Wasser führenden Leitungen prüfen, denn es sei in der Nähe ein Leck gemeldet worden, also „Gefahr in Verzug“. In 15 Minuten ist Dienstschluss und unser Haustechniker ist auch nicht mehr erreichbar. Die Situation überfordert mich. Was soll ich machen? Darf ich den Arbeiter, der mich sehr drängt, hereinlassen?
Der IT-Security Officer meint: Natürlich ist es wahrscheinlich, dass es stimmt, was der Arbeiter sagt, andererseits ist ein solcher Stress die beste Waffe für einen unerbetenen Eindringling, um an vertrauliche Unterlagen zu gelangen, Diebstähle zu begehen oder sogar ein Abhörgerät zu installieren. Ein Wasseraustritt ist bestimmt eine heikle Situation, der Schutz der Informationssicherheit und fremden Eigentums erfordert jedoch unbedingt, dass Sie den Auftraggeber kontaktieren, der den Arbeiter geschickt hat. Dazu dürfen Sie aber die Telefonnummer, die Ihnen der Arbeiter nennt, keinesfalls verwenden. Schlagen Sie den Namen im Telefonbuch (bzw. unter herold.at) nach. Gelingt die positive Prüfung des Auftrags, so dokumentieren Sie jedenfalls das Telefonat, den Namen und die Firma des Meisterbetriebs und die Personalien des Arbeiters und machen eine Kopie (oder ein Foto) seines amtlichen Ausweises. Nur dann ist es unbedenklich, dass Sie den Arbeiter überhaupt Büro- oder andere Räume betreten lassen, wobei als oberste Regel gilt, dass betriebsfremde Handwerker NIE allein gelassen werden dürfen. Informieren Sie jedenfalls auch KollegInnen bzw. Vorgesetzte.
Mit Social Engineering verbindet man Angriffe, die vor allem Vertrauen missbrauchen bzw. vielfach auf die Hilfsbereitschaft der Menschen abzielen. Man glaubt, einen Gefallen erweisen zu müssen und bildet damit ein Sicherheitsleck. Wenn man misstrauisch genug ist, sollte ein solcher Angriff doch keinen Erfolg haben. Stimmt das?
Der IT-Security Officer meint: Leider nur bedingt. Würde sich ein angeblich neuer Mitarbeiter mit einer außergewöhnlichen Bitte an Sie wenden, wäre Ihr Misstrauen Schutz genug. Aber es ist nicht immer so einfach. Um mögliches Misstrauen auszuschalten, kombinieren Täter verschiedene Verhaltensmuster.
Ein Beispiel: Sie erhalten eine gefälschte E-Mail Nachricht. Als Absenderadresse scheint die E-Mail Adresse eines bekannten IT-Verantwortlichen auf. In dieser Nachricht werden angeblich dringend notwendige Wartungseinsätze angekündigt und Sie werden gebeten, die mit der Wartung betrauten IT-Mitarbeiter zu unterstützen. Dass diese Botschaft vielleicht kurz vor Dienstschluss einlangt, fällt meistens nicht auf. Kurze Zeit später meldet sich wie angekündigt ein angeblicher IT-Mitarbeiter. Auf Grund der vorherigen Mitteilung erscheint Ihnen der Anruf legitim zu sein. Da Sie dem Angreifer nun vertrauen, haben Sie keine Bedenken diesem beispielsweise sicherheitsspezifische Fragen zu beantworten oder Musterauswertungen mit Echtdaten an externe E-Mail Adressen zu senden. Auch eine Aufforderung Ihr persönliches Passwort auf einen geforderten Wert zu ändern, wird nicht hinterfragt.
Fazit: Geben Sie unbekannten Personen keine sensiblen Informationen weiter und hinterfragen Sie Anweisungen von angeblichen Dienstleistern. Fragen Sie im Zweifelsfall bei den zuständigen Stellen nach, bevor Sie sensible Informationen weiter geben.
Mit der Passwortwahl bin ich immer wieder stark gefordert. Einfache Passwörter bieten keinen Schutz und sehr komplexe kann ich mir nicht merken. Ich muss sie irgendwo notieren und das macht sie wieder unsicher. Gibt es einen Ausweg?
Der IT-Security Officer meint: Neben der Passwortkomplexität ist vor allem die Trennung zwischen privaten und beruflichen Passwörtern wichtig. Verwenden sie im privaten Bereich unterschiedliche Passwörter pro Applikation. Im beruflichen Umfeld werden die Passwörter zentral verwaltet und es gelten die vorgeschriebenen Passwortrichtlinien.
Komplexe Passwörter kann man sich ganz leicht merken, wenn man folgenden Trick anwendet: Verwenden Sie ein Ihnen gut bekanntes Gedicht, eine Strophe eines Liedtextes oder einen Kinderreim und bilden Sie ein Kunstwort aus den ersten Zeichen jedes Wortes. Dann setzen Sie davor zwei Sterne oder andere Sonderzeichen und dahinter die letzte Stelle Ihrer Telefonnummer. Ein Beispiel: „Hänschen klein, ging allein, in die weite Welt hinein.“ wird so zu **HkgaidwWh7. Ein Passwort mit dieser Komplexität ist abhängig von der jeweiligen Anwendung nur mit hohem Ressourcenaufwand zu knacken.
Generell gilt: Je länger ein Angriff dauert, desto unattraktiver und gefährlicher ist dieser für einen Angreifer.
Unlängst hat mir ein Bekannter gezeigt, was sein Smartphone kann. Nach einer gesprochenen Anfrage teilte das Smartphone binnen weniger Sekunden mit, wie das Wetter in Miami gerade war. Eine APP schafft die intelligente Verbindung mit dem Internet und so kann man gut entwickelte Dialoge führen und Aktionen auslösen: Ruf Mama an! Wie spät ist es? Wo ist die nächste Tankstelle, das nächste Restaurant, der nächste Nachtclub? Sogar zum Diktieren von E-Mails kann man diese Möglichkeit nutzen. Worauf sollte man dabei achten?
Der IT-Security Officer meint: Ende April letzten Jahres wurde bekannt, dass der Sprachassistent „SIRI“ sämtliche über diesen Assistent aufgenommenen Nachrichten auf den Servern des iPhone Herstellers Apple zwei Jahre lang speichert, wo diese gesprochenen Befehle interpretiert und ausgeführt werden. Angeblich sind die Aktionen „nur“ sechs Monate lang dem Besitzer des Smartphones eindeutig zuordenbar. Sie sollten sich also dessen bewusst sein, dass Ihre Sprachbefehle und Diktate von Dritten innerhalb dieser Zeit ohne ihr Wissen abgerufen werden können.
Vermeiden Sie deshalb elektronische Nachrichten wie E-Mails oder SMS – auch wenn es bequem wäre – über diesen oder andere Sprachassistenten zu diktieren und zu versenden.
Unlängst habe ich gehört, die menschliche Firewall sei der allerbeste Schutz vor Viren, Spam und Datenverlust. Was ist darunter genau zu verstehen?
Der IT-Security Officer meint: Eine menschliche Firewall bilden alle wachsamen, aufgeklärten User, die nicht sorglos und neugierig überall „herumsurfen“, die zum Beispiel auch keine verdächtigen E-Mails öffnen, nur weil Betreff oder Attachment interessant klingen, sondern die mit Bedacht entscheiden, was sie tun und was nicht.
So erfüllen Frauen und Männer die Funktion einer menschlichen Firewall, die mit allen Daten über sich selbst, mit Daten anderer Personen und vor allem mit allen Informationen, die mit ihrem Arbeitsplatz in einem Zusammenhang stehen, gegenüber Dritten generell und im Internet besonders vertraulich und sensibel umgehen. Menschen eben, die sich dessen bewusst sind, dass fast jeder Inhalt, der, in welcher Form auch immer über das Internet transportiert wird, für Unbefugte lesbar sein könnte; Leute, die sich nicht in blindem Technikglauben darauf verlassen, dass bestehende Schutzmechanismen stets voll wirksam sind, sondern im Zusammenhang mit Daten immer auch ein gesundes Misstrauen und Vorsicht walten lassen.
Leider gibt es viel zu wenige menschliche Firewalls, machen Sie doch einfach mit!
Für eine Veranstaltung haben wir wieder einen perfekten Powerpoint-Foliensatz erstellt. Wie schon so oft, erhielt ich danach Anfragen von TeilnehmerInnen bzw. von Leuten, die aus irgend einem Grund an der Veranstaltung nicht teilnehmen konnten. Ich wurde ersucht, die Präsentation per E-Mail zu übersenden. Nachdem es ohnehin Inhalte einer Veranstaltung für eine große Zahl an Zuhörern sind – bestehen da irgendwelche Bedenken, diese weiter zu geben?
Der IT-Security Officer meint: Ob Sie Präsentationen überhaupt weitergeben dürfen, muss intern von Fall zu Fall entschieden werden. Beachten Sie dann aber bitte auch die anderen Aspekte:
Wer Powerpoint-Präsentationen erstellt, „erzeugt“ neben den sichtbaren Inhalten auch unsichtbare, die man lesbar machen kann, wie in allen (!) anderen Office-Dokumenten übrigens auch. Es sind beispielsweise Kommentare, Freihandanmerkungen und andere Notizen, Hinweise auf die Versionsgeschichte, über Autoren, Bilder oder Bildteile, die sich außerhalb des angezeigten Bereichs befinden, Informationen zur Dokumentenspeicherung und noch einige mehr. Über die Funktion ‚Dokumentenprüfung‘ können Sie die meisten unsichtbaren Inhalte entfernen. Noch besser ist es, wenn Sie lediglich PDF-Versionen weitergeben.
Prüfen Sie aber auch vor jeglicher Weitergabe bzw. Veröffentlichung von Dokumenten, ob das Unternehmen für alle enthaltenen Bilder, Grafiken und Texte die entsprechenden Urheber- bzw. Nutzungsrechte zur Verteilung besitzt und ob allfällige Auflagen (zB Namensnennung des Fotografen) beachtet worden sind. Entfernen Sie überdies alle personenbezogene Inhalte, außer die Betroffenen sind nachweislich mit der Weitergabe einverstanden.