Alle Jahre wieder… Das Weihnachts-Shopping boomt, das Sicherheitsrisiko steigt

Weihnachtszeit ist «Beutezeit» für Cyberkriminelle

Singles' Day, Black Week, Black Friday, Cyber Monday und Vorweihnachtszeit – der Geschenkemarathon nimmt seit Jahren zu; die Umsatzrekorde werden jährlich überboten. Auch für Cyberkriminelle ist es eine besondere Zeit. Sie erhöhen ihr Arbeitstempo, während ihre Opfer sich auf die Entschleunigung während der Weihnachtsfeiertage freuen. Cyberkriminelle sind bestens vorbereitet auf die explodierende Online-Verkaufswelle, die mit Weihnachten einhergeht. Sie sind während der Vorweihnachtszeit und der Feiertage sehr aktiv. Für ihren Erfolg rechnen sie mit der Laschheit der Unternehmen und Mitarbeiter – sehr häufig geht ihre Rechnung auf.

Alles, was ich mir zu Weihnachten wünsche, ist Cybersicherheit

Wir alle haben Wünsche, obwohl wir schon zu viele Sachen besitzen, die wir eigentlich nicht brauchen. Hatten die Generationen vor uns noch das Problem, überhaupt an die notwendigen Dinge zu gelangen, stellt sich für uns in der heutigen, schnelllebigen Wegwerfgesellschaft eher die Frage, wie wir Dinge wieder loswerden können. Aufräum- und Minimalismus-Ratgeber boomen. Trotzdem möchte jeder seinen Liebsten zu Weihnachten mit Sachgeschenken seine Zuneigung und Wertschätzung ausdrücken. Doch nicht nur unsere Wohnungen, auch unsere Computer und Smart-Devices haben die Tendenz, sich zu füllen. Das gilt auch für unsere Firmennetzwerke. Mehr Geräte, mehr Anwendungen, mehr Daten. Mehr Verwaltungsaufwand.

Kaufen mit Sinn und Verstand

Egal, ob Sie «Geschenke» für Ihre Familie oder eine neue Lösung für Ihre IT oder die IT-Sicherheit Ihres Unternehmens einkaufen - kaufen Sie mit Sinn und Verstand. Jedes Unternehmen hat seine eigenen Anforderungen an seine Sicherheitslösungen. Stellen Sie sicher, dass Sie alle Ihre individuellen Anforderungen erfassen, bevor Sie sich für eine Sicherheitslösung entscheiden. Wenn sich das Geschenk bzw. die Lösung, welche Sie in Betracht ziehen, wie etwas anfühlt, bei dem Sie einfach einen Punkt auf Ihrer To-Do-Liste abhaken können, sollten Sie wahrscheinlich besser weitersuchen.

Alle Jahre wieder – Weihnachten ist das Fest der Phisher

Vor allem während der letzten Tage und Wochen vor Weihnachten steigt die Zahl der täuschend echten Mails, SMS, Whatsapp-Nachrichten, der gefälschten Internetseiten und Gutscheincodes sowie der schadhaften Werbeanzeigen, etc. rapide an. Die Cyberkriminellen locken mit Aktionen und Rabatten und wecken unseren inneren Schnäppchenjäger. Sie versenden gefälschte Angebote, Rechnungen, Versandhinweise und bauen auf unsere Vertrauensseligkeit. Mails im Namen von grossen Marken wie DHL oder Amazon sind dabei an der Tagesordnung. Die Cyberkriminellen wissen, dass wir oftmals zuerst klicken und uns erst im Nachhinein fragen, ob es damit auch seine Richtigkeit hat. Viele von uns warten auf Pakete, entweder als Geschenk oder selbst geordert. In der Weihnachtszeit sind wir noch weniger argwöhnisch und klicken aus Furcht, eine Aktion oder ein Paket zu verpassen, noch unbedachter. Die Weihnachtszeit bietet also ideale Voraussetzungen für Phisher auf der Jagd nach persönlichen Kunden- und Zahlungsdaten.

Sicher einkaufen und sich gegen Phishing schützen

Beim Online-Einkauf sollte immer der gesunde Menschenverstand eingeschaltet sein. Ist ein Angebot zu schön, um wahr zu sein, ist besondere Vorsicht geboten. Achten Sie beim Online-Einkauf auf:

• Kaufen Sie nur bei offiziellen Online-Shops. Tippen Sie die Webadresse manuell ein und klicken Sie auf keinen Link in einem Werbemail.
• Prüfen Sie, ob die Webseite die HTTPS-Verschlüsselung verwendet.
• Bezahlen Sie Ihre Einkäufe nur über sichere Zahlungsmethoden, wie Kreditkarten, damit die Transaktionen geschützt sind.
• Wählen Sie starke Passwörter und verwalten Sie diese mit einem Passwortmanager. Damit können Sie sicherstellen, dass Sie für jedes Online-Konto ein einzigartiges Passwort verwenden.
• Verwenden Sie, wann immer möglich, eine Mehrfaktor-Authentifizierung.
• Halten Sie die Gerätesoftware und Ihre Anwendungen immer auf dem neuesten Stand.

Um sich vor Phishing zu schützen, sollten Sie bei jedem E-Mail rasch die folgenden Punkte prüfen:

• Ist der Absender bekannt und seine E-Mail-Adresse korrekt?
• Ist der Betreff sinnvoll?
• Wird ein Datei-Anhang von diesem Absender erwartet?
• Ist die Anrede unpersönlich oder ist gar keine Anrede vorhanden?
• Beinhaltet das E-Mail eine Aufforderung zum sofortigen Handeln?
• Stimmt der Linktext mit dem Link überein oder führt dieser auf eine ganz andere Seite?
• Ist der Text in korrektem Deutsch oder Englisch verfasst? Aber Achtung: je gezielter eine Attacke, desto besser die Sprache!

Ergeben diese Punkte kein stimmiges Bild, sollten Sie das E-Mail direkt löschen (Shift-Delete). Wenn Sie sich beim Inhalt eines E-Mails unsicher sind:

• Generell gilt: Kein seriöser Anbieter fordert seine Kunden per Mailnachricht oder Telefon zur Angabe von Passwörtern und/oder Kreditkartendaten auf!
• Öffnen Sie niemals den Anhang eines unseriösen E-Mails und klicken Sie keine Links an.
• Prüfen Sie auf der Webseite des vermeintlichen Absenders, ob Sie einen Hinweis zu einer Phishing-Attacke finden.
• Fragen Sie telefonisch nach, ob eine solche Nachricht tatsächlich verschickt wurde.

Cyberkriminelle möchten mitkassieren

Das Weihnachtsgeschäft zählt für viele Unternehmen zur umsatzstärksten Zeit des Jahres. Sie sind daher besonders anfällig. Weihnachtszeit ist auch Ferienzeit und viele IT-Abteilungen sind im ausklingenden Jahr unterbesetzt. Das führt dazu, dass Cyberkriminelle mit Attacken nicht nur versuchen, persönliche Daten zu ergattern, sondern auch Malware oder Ransomware in die Unternehmen zu schleusen. Auch DDoS-Attacken sind ein besonders beliebtes Mittel, um das Business zu stören. Mit einer riesigen Welle an Serveranfragen attackieren Hacker die Online-Systeme der Unternehmen, welche dadurch einbrechen. Während die Systeme darniederliegen, gehen den betroffenen Unternehmen jede Menge Verkaufschancen verloren. Häufig stecken Erpresser dahinter, die Geld von den Betreibern verlangen, damit die Attacken aufhören. Denn in umsatzstarken Zeiträumen sind Unternehmen eher bereit, hohe Lösegelder zu bezahlen. Dank der vielen unterschiedlichen Angriffsmöglichkeiten und Schwachstellen sind Cyberangriffe heimtückischer und folgenreicher als je zuvor. Es ist also kein Wunder, dass so viele Cyberkriminelle die Festtage strategisch nutzen, um Systeme zu infizieren und Unternehmen wie Benutzer zu kompromittieren.

Unternehmen müssen sich schützen

Jedes Unternehmen verfolgt sein eigenes Sicherheitskonzept. Vielen Firmen fehlt jedoch eine gesamtheitliche Sicherheitsstrategie, um sensible Mitarbeiter-, Kunden- und Unternehmensdaten zu schützen und um die Cyber Resilience zu stärken. Die Unternehmen werden von verschiedenen Seiten gleichzeitig angegriffen und sind gefordert, sich mit neuen Denkweisen in allen vier Bereichen - Protect, Detect, React und Proact - vorzubereiten.

• Trauen Sie Nichts und Niemandem und führen Sie schrittweise ein Zero-Trust-Modell ein, um Workforce, Workloads und Workplace zu schützen (z. B. Multi-Faktor-Authentifizierung, Software Defined Access, etc.)
• Halten Sie Ihre E-Commerce-Plattformen immer auf dem neuesten Stand.
• Schützen Sie sich vor DDos-Attacken mit einem Belastbarkeitsplan, Filterung des Angriffs-Traffics, Erkennung von Angriffsroutinen, Multilayer Defense, Challenge Response System, etc.
• Überwachen Sie kontinuierlich Ihre Systeme mit einer Detect und Respond Lösung (SOC as a Service).
• Sensibilisieren Sie Ihre Mitarbeiter mit kontinuierlichen Security-Trainings und internen Phishing-Kampagnen.

Zusammen. Sicher.

Die Weihnachtszeit stellt zwar besondere Herausforderungen an die Sicherheit von Unternehmen. Allerdings ist Sicherheit auch ausserhalb der Weihnachtszeit ein mehr als relevantes Thema. Ein hohes Sicherheitsniveau erfordert eine ständige Analyse des Risikoprofils eines Unternehmens und der neuen Methoden, mit denen Cyberkriminelle das Unternehmen und dessen Kunden ins Visier nehmen. Cybersicherheit erfordert Disziplin und Prioritätensetzung an 365 Tagen im Jahr.

Setzen Sie in Sachen Sicherheit auf Kompetenz. Profitieren Sie von der Expertise der ISPIN-Experten, die auf Ihre individuelle Situation eingehen und eine für Sie massgeschneiderte Lösung erarbeiten. Sie haben eine Frage zur IT-Security? Wir beraten Sie gerne. Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.