Liebe Kunden,

leider sind unsere E-Mail-Adressen gehackt worden und es werden in unserem Namen virenverseuchte Anhänge versendet. Sollten Sie eine E-Mail mit Anhang von uns erhalten, bitte öffnen Sie diese NICHT!!! Sollten Sie sich nicht sicher sein, lassen Sie einen Virenscanner laufen oder rufen Sie uns an. Als Hinweis dient, dass die Formatierung ungewöhnlich ist, die Sprache gelegentlich nicht Deutsch und die Telefonnummer in der E-Mail nicht der untenstehenden entspricht.

Wir arbeiten mit Hochdruck an einer Lösung und bitten vielmals um Entschuldigung. Eine Anzeige wurde bereits bei der zuständigen Polizeidienststelle gestellt.

Mit freundlichen Grüßen

Geschäftsführer

… GmbH

Dies stand kürzlich auf der Startseite eines rheinländischen Handwerksbetriebes im Internet zu lesen. Der Geschäftsführer wurde von einem Freund auf den im Namen seines Betriebes erfolgenden Versand von E-Mails aufmerksam gemacht. Der Freund des Geschäftsführers erhielt eine E-Mail mit dem Betreff: „Aktualisierte Rechnung I8V94511“. Im Text hieß es, es werde die „Mitgliedschaftsrechnung für das laufende Jahr“ übermittelt. Einzelheiten und Zahlungsmodalitäten sollten dem Anhang entnommen werden. Dies hatte den Freund des Handwerkers stutzig gemacht, denn Mitgliedschaften in Handwerksbetrieben sind alles andere als gewöhnlich. Von der Mail wurde lediglich ein Screenshot angefertigt und diese sodann gelöscht.

Nun sind aber nicht alle E-Mails, mit denen Schadprogramme verbreitet oder Zahlungsinformationen ausgespäht werden dilettantisch formuliert und dadurch leicht zu erkennen. Auch kann der Postfachinhaber nicht verhindern, dass Cyber-Kriminelle seine E-Mail-Adresse als Tarnung verwenden, denn die sichtbare Absenderabgabe muss nicht zwingend mit der tatsächlichen technischen Absenderadresse übereinstimmen. Das Bundesamt für Sicherheit in der Informationstechnik informiert auf seiner Homepage ausführlich über die Hintergründe. Je nach Programm werden unterschiedliche, sensible Daten gestohlen und diese auch unterschiedlich verwendet. So kann Ihr PC zweckentfremdet werden, indem Programme gestartet werden, von denen der durchschnittliche Anwender nichts mitbekommt, oder Bankdaten werden missbraucht.

Man kann es Cyber-Kriminellen aber schwer machen, das E-Mail-Postfach zum illegalen Versand von Schadsoftware und massenhaften Werbebotschaften zu verwenden. Ein wichtiger Baustein im Cyber-Sicherheitskonzept eines jeden Unternehmens sollten sichere Passwörter sein. Für das Jahr 2017 konstatierte das Hasso-Plattner-Institut in einer Studie, deren Ergebnisse unter https://hpi.de/pressemitteilungen/2017/die-top-ten-deutscher-passwoerter.html abgerufen werden können, dass die zehn beliebtesten Passwörter in Deutschland gerade nicht als sicher gelten können. So belegte die Zahlenkombination „123456“ Platz 1 und Worte wie „hallo“ (Platz 6) und „passwort“ (Platz 7) lassen keinen Zweifel daran aufkommen, dass sie schon durch einfaches Ausprobieren den Zugang zu vertraulichen Daten öffnen.

Wie sichere Passwörter aussehen müssen, erklärt das Bundesamt für Sicherheit in der Informationstechnik mit einfachen Worten wie folgt: Wer viele Online-Accounts hat, sollte ein Passwort-Verwaltungsprogramm wie zum Beispiel „keepass“ verwenden. Mit einem solchen kann er dann starke und sichere Passwörter generieren lassen und muss sich nur noch ein besonders starkes Masterpasswort merken. Sichere Passwörter liegen nicht offen herum – z. B. auf einem Post-It am Monitor oder auf dem WhiteBoard, insbesondere wenn das im Sichtfeld einer Kamera angebracht ist. Man muss sich das Passwort gut merken können. Kleine Merksprüche als Eselsbrücke bieten eine gute Hilfe. Von jedem Wort wird dann nur ein Buchstabe benötigt und Wortteile können durch Zahlen und Sonderzeichen ersetzt werden. Die Mindestlänge für Accounts sollte acht Zeichen nicht unterschreiten und neben Groß- und Kleinbuchstaben auch Ziffern und Sonderzeichen enthalten. Bei WLAN-Keys wird empfohlen, eine Länge von mindestens 20 Zeichen vorzusehen. Eine Mehrfachverwendung eines einzigen Passworts ist ebenfalls nicht empfehlenswert.

Ein Beispiel, wie man sich ein gutes Passwort merken kann liefert das BSI gleich mit. Man merke sich den Satz „Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“. Nimmt man von jedem Wort jeweils den ersten Buchstaben ergibt dies: „MsiaupmmZdMl“. Nun ersetzt man einzelne Buchstaben noch durch Ziffern. Hierzu kann man diejenigen auswählen, die eine optische Ähnlichkeit aufweisen wie z.B. „i“ und „l“ mit der Ziffer „1“. Zusätzlich kann man die genannte Zahl „drei“ ebenfalls durch die Ziffer „3“ ersetzen, so dass sich die Zeichenkette wie folgt darstellt: „Ms1aupmm3M1“. Zum Sonderzeichen gelangt man, wenn man das Wort „und“ durch das Zeichen „&“ ersetzt. Das Passwort lautet nun: „Ms1a&pmmZ3M1“ (Quelle). Klar ist allerdings auch, dass dieses Beispiel – weil es ja auf unserer Internetseite offen herumliegt – nicht mehr sicher ist.

Für private, aber auch geschäftliche Nutzer des Internetbrowsers Firefox gibt es außerdem das Angebot „Firefox Monitor“, das Ihre Mailadressen mit Datenbanken abgleicht, die über Datenlecks angelegt wurden. So erfahren Sie, ob Nutzerdaten einer bestimmten E-Mailadresse bei einem Datenklau anderer Firmen in kriminelle Hände gelangt sein könnten. Darüber hinaus bietet der Firefox Monitor auch Hilfe beim Erstellen von starken Passwörtern.

Eine Mitarbeiterin einer Aufsichtsbehörde formulierte einmal sinngemäß: „Ein gutes Passwort ist wie eine gute Zahnbürste – nicht zu hart und nicht zu weich, von Zeit zu Zeit auszutauschen und nicht zu verleihen.“

Beachtet man die Empfehlungen, bietet dies einen guten, wenn auch keinen absoluten Schutz gegen Angriffe. Allerdings gerät man in diesem Fall nicht so leicht in Erklärungsnot, denn besonders kritisch wird es, wenn der Rechner, auf dem die E-Mail-Adressen der Kunden oder von Mitarbeitern abgelegt sind, kompromittiert – also mit einer Schadsoftware verseucht – ist. Wird das elektronische Adressbuch für den Versand der E-Mails des Urhebers der Schadsoftware verwendet, liegt regelmäßig ein meldepflichtiges Datenleck vor. Nur wenn absolut ausgeschlossen werden kann, dass ein Risiko für die betroffenen Adressaten existiert, kann von einer Meldung an die zuständige Aufsichtsbehörde gemäß Art. 33 DS-GVO abgesehen werden. Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der Adressaten müssen diese unverzüglich – das bedeutet ohne schuldhaftes Zögern – von dem Datenleck unterrichtet werden.

Unsere Tipps:

  1. Sichere Passwörter nach dem oben geschilderten Beispiel bilden und dabei auf Groß- und Kleinschreibung sowie Sonderzeichen und Ziffern sowie die Mindestlänge achten.
  2. Kommt es gleichwohl dazu, dass ein Account gehackt wird, sofort reagieren und das Passwort ändern.
  3. Software, Firewall und Virenschutz immer auf dem aktuellsten Stand halten.

Fazit

Passwortsicherheit ist nicht schwierig, wird aber noch nicht besonders häufig umgesetzt. Während man privat das Risiko selbst trägt, können durch unsachgemäße Passwörter im Betrieb wichtige Daten gestohlen werden, die Kunden und Partnerunternehmen betreffen. Aus diesem Grund ist hier besondere Vorsicht geboten.