Riesiges Datenleck

Carina Fuchs , Manager Corporate Communications |

10 Dezember 2020

Sind auch Sie betroffen?

Im sogenannten „Cit0Day“ Data Leak wurden über 620 Millionen Einträge mit zum Teil sensiblen Daten veröffentlicht. Im Gegensatz zu anderen Datensammlungen sind in diesem Fall auch Klartextpasswörter enthalten – eine potenzielle Goldgrube für Cyberkriminelle. Prüfen Sie schnell und unkompliziert, ob auch Ihre Zugangsdaten betroffen sind! BDO verrät außerdem, wie Sie Hackern das Leben schwer machen.

„Cyber Crime ist kein Hype, sondern ein lukratives Geschäftsmodell. Die Daten des ,Cit0day‘-Datenlecks stammen unseren Informationen nach von der gleichnamigen Plattform, die von Cyberkriminellen zum Austausch genutzt wird. Dort wurden die Zugangsdaten, E-Mail-Adressen und Passwörter zum Kauf angeboten“, erklärt Roland Pucher, Cyber Security Experte bei BDO.

Wie können Sie nun überprüfen, ob Ihre Zugangsdaten, z.B. für private oder geschäftliche E-Mail-Konten oder Online-Banking, betroffen sind? Geben Sie einfach unter https://haveibeenpwned.com/ Ihre E-Mail-Adresse ein und lassen Sie diese in Sekundenschnelle überprüfen. 
 

Was tun, wenn die Daten gehackt wurden?

Die Sofortmaßname lautet: Passwort ändern - und zwar für alle Dienste. „Unsere Erfahrung zeigt, dass häufig dieselben Passwörter für mehrere Dienste verwendet werden. Dass das Facebook-Passwort also z.B. mit dem Kennwort der Unternehmensadresse übereinstimmt. Ändern Sie daher alle Passwörter für jene Benutzerkonten, die in einem Data Breach enthalten sind“, betont Roland Pucher. Um Missbrauch vorzubeugen, lohnt es sich regelmäßig zu überprüfen, ob Ihre Zugangsdaten betroffen sind. Auf oben genannter Website können Unternehmen nicht nur ihre Domains auf Sicherheit überprüfen lassen, sondern sich auch anmelden, um im Falle eines Data Breaches informiert zu werden.

 

Was kann man vorbeugend tun? 

„Das A&O sind starke Passwörter und ein sauberes Passwort-Management. Verwenden Sie jedes Passwort nur für einen Dienst – man kann es nicht oft genug betonen. Schreiben Sie es keinesfalls auf: Bei der sicheren und bequemen Speicherung unterstützt Sie ein Passwort-Manager, der in jedem Unternehmen Standard sein sollte“, so Roland Pucher.

 

Für Unternehmen gibt es neben dem Passwort-Manager weitere Maßnahmen, die – gerade in Zeiten von Home Office - die Datensicherheit unterstützen können:

  1. Sicherheit für das Netzwerk daheim
    In den meisten Fällen werden W-Lan-Router mit vordefinierten Passwörtern betrieben. Diese Anmeldedaten sind Cyberkriminellen längst bekannt und werden zum Durchführen von Angriffen genutzt. Die Änderung des Standardpassworts Ihres Routers ist ein wichtiger Schritt, um das persönliche Netzwerk zu schützen. Darüber hinaus sollte die Firmware des Routers auf dem aktuellsten Stand sein. Hackern sind Schwachstellen bekannt, die in veralteten Versionen existieren und sie nutzen diese Angriffsfläche.
  2. VPN-ZugangDas Virtual Private Network verschlüsselt Ihren gesamten Internetverkehr, um sicherzustellen, dass sämtliche ein- und ausgehende Unternehmensdaten vor Angreifern sicher sind.
  3. Zwei-Faktor-Authentisierung
    Sie validiert die Identität einer Mitarbeiterin bzw. eines Mitarbeiters, z.B. in Form einer E-Mail-Nachricht, einer Textnachricht oder einer zufällig generierten PIN, die nur die jeweilige Person angeben kann.
  4. Aktuelle Virensoftware
    Mitarbeiterinnen und Mitarbeiter im Home Office sollten zumindest eine aktuelle Antiviren-Software auf ihren Arbeitsgeräten installiert haben, regelmäßige Scans durchführen und die Software auch regelmäßig updaten.
  5. Arbeitsdaten ausschließlich auf dem Arbeitsgerät
    Das Unternehmen hat mit hoher Wahrscheinlichkeit Schutzmechanismen, Richtlinien und Anforderungen, die ein Arbeiten mit dem Firmengerät sicherer macht als mit dem Privatgerät. Daher sollten Mitarbeiterinnen und Mitarbeiter von der Verwendung von privaten Geräten absehen und keine sensiblen Unternehmensinformationen darauf speichern.
  6. Vorsicht vor Phishing
    Hacker nutzen die Corona-Pandemie, um im großen Stil Phishing-E-Mails zu versenden und überzeugende Phishing-Szenarien zu entwerfen. Bspw. sollen mit offiziell erscheinenden Regierungsinformationen zu Covid-19 Mitarbeiterinnen und Mitarbeiter dazu verleitet werden, ihre Zugangsdaten einzugeben oder Malware herunterzuladen. Je nach Art der eingeschleusten Schadsoftware können Angreifer Benutzer ausspionieren und vertrauliche Informationen und Daten entwenden. Um eine Phishing-E-Mail zu erkennen, überprüfen Sie die E-Mail-Adresse des Absenders und achten Sie auf Auffälligkeiten im E-Mail-Text. Bevor Sie etwas in der E-Mail anklicken, bewegen Sie Ihren Mauszeiger über Links, um die tatsächliche URL zu sehen. Klicken Sie des Weiteren nur auf Links oder Anhänge, wenn sie dem Absender zu 100% vertrauen. Setzen Sie sich im Zweifelsfall mit dem mutmaßlichen Absender in Verbindung, indem Sie einen Telefonanruf tätigen oder über eine E-Mail-Adresse aus einer vertraulichen Quelle (z.B. Adressbuch) eine Nachricht absenden. „Awareness-Kampagnen und simulierte Phishing-Mails stellen ein effektives Mittel dar, um die Wachsamkeit im Unternehmen zu stärken ohne tatsächliche Gefährdungen einzugehen. BDO unterstützt Sie gerne bei der Umsetzung“, schließt Roland Pucher.

Weitere Informationen finden Sie hier.

Am 17.12. findet darüber hinaus ein Webinar statt: „Cyber Crime kann jeden treffen: Insights zum Cit0Day-Datenleck & Live-Hacking-Demonstration“. Zur Anmeldung geht es hier.