Die Ferienzeit mit ihren zahlreichen Abwesenheiten nutzen Cyberkriminelle, um ihre Angriffe zu intensivieren. Beliebte Mittel sind CEO Fraud und Phishing-Mails mit dem Ziel, Geld von Firmen zu ergaunern. Mit diesen neun Tipps schützen Sie sich und Ihr KMU.
Ferienzeit. Viele Unternehmen laufen auf Sparbetrieb, und die Mitarbeitenden geniessen unbeschwerte Stunden an ihren Lieblingsorten. Nicht so die Cyberkriminellen. Sie haben jetzt Hochsaison. Das nationale Zentrum für Cybersicherheit (NCSC) des Bundes warnt vor einer zunehmenden Zahl betrügerischer Mails, die angeblich vom Chef stammen und zur dringenden Zahlung eines Betrags auf ein Konto aufrufen, das natürlich den Cyberkriminellen gehört. Neben diesem so genannten CEO Fraud konstruieren die Angreifer auch gefälschte E-Mail-Verläufe mit einer Mahnung eines angeblichen Kunden, die natürlich sofort beglichen werden soll.
Der Grund, weshalb Cyberkriminelle ihre Angriffe in der Ferienzeit intensivieren: Aufgrund zahlreicher Abwesenheiten sind in vielen Unternehmen Stellvertretungen und Ferienaushilfen an der Arbeit. Sie sind weniger vertraut mit Abläufen und Personen und deshalb anfälliger für Betrugsversuche.
Phishing aus den Ferien
Auch das Ferienthema selbst nutzen die Angreifer. Die Formen sind vielfältig und reichen von Phishing-Mails mit angeblichen elektronischen Postkarten bis hin zu gefälschten Websites von Reiseunternehmen. Beliebt sind auch Hinweise, dass die Kreditkarte gesperrt wurde oder ein Arbeitskollege dringend Geld benötigen würde. Sie ahnen es: Wenn Sie nun auf den entsprechenden Link im Mail klicken oder Geld überweisen, sind Sie in den Fängen der Betrüger gelandet.
Oft nutzen Cyberkriminelle Methoden des Social Engineerings: Sie gaukeln Autorität vor (Mail vom Chef oder einem bekannten Unternehmen) oder setzen auf Dringlichkeit («Kollege braucht sofort Geld»). Seien Sie deshalb generell vorsichtig gegenüber unvertrauten Abläufen und dringenden Forderungen. Fragen Sie lieber einmal zu viel zurück, indem Sie den angeblichen Absender auf einem bekannten Kanal kontaktieren, etwa per Telefon.
9 Tipps zum Schutz vor Cyberangriffen in der Ferienzeit
Selbstverständlich gelten die grundlegenden IT-Sicherheitsmassnahmen auch in den Ferien – oder dann erst recht. Mit diesen Tipps verstärken Sie den Schutz während der Ferienzeit. Und zwar sowohl bei den anwesenden wie auch bei den abwesenden Mitarbeitenden. Umso mehr, wenn Sie auch in den Ferien gelegentlich Ihre geschäftlichen Mails auf dem Smartphone oder Computer prüfen.
1. Mitarbeitende sensibilisieren
Sensibilisieren Sie Mitarbeitende für die verschiedenen Formen von Cyberangriffen. Idealerweise legen Sie gleich fest, wie die Ferienvertretung auf dringliche Zahlungsaufforderungen reagieren soll, beispielsweise mit einer Rückfrage bei einer anderen Person in der Firma.
2. Notfallplan bereithalten
Erstellen oder aktualisieren Sie einen Notfallplan, damit die anwesenden Mitarbeitenden wissen, wie sie bei einem (erfolgreichen) Cyberangriff reagieren können. Allenfalls sind die Abläufe während den Ferien anders als üblich.
3. Zusammenarbeit mit IT-Partner definieren
Wenn Sie für die Betreuung der IT mit einem Partner zusammenarbeiten, definieren Sie zusammen mit ihm das Vorgehen bei einem IT-Vorfall während der Ferienzeit. Und zwar vorgängig, damit Sie den Ablauf gleich im Notfallplan festhalten können.
4. Backup erstellen
Natürlich sollten Sie die Geschäftsdaten nicht nur vor den Ferien sichern. Aber nach einem erfolgreichen Cyberangriff ist es umso wichtiger, dass Sie über ein möglichst vollständiges Backup verfügen – das Sie auch wiederherstellen können. Diesen Vorgang sollten Sie unbedingt testen.
5. Updates vor den Ferien einspielen
Cyberkriminelle nutzen meistens bekannte Sicherheitslücken, für die oftmals bereits ein Update verfügbar ist. Aktualisieren Sie Ihre Arbeitsplatz-PC und Server vor den Ferien, um möglichst viele Lücken zu stopfen. Aus Sicht der IT-Sicherheit ist es ohnehin optimal, wenn Sie sicherheitsrelevante Updates möglichst zeitnah einspielen, also nicht nur vor den Ferien.
6. Nutzen Sie Zweifaktor-Authentifizierung
Aktivieren Sie bei Ihrer IT-Infrastruktur wo immer möglich die Zweifaktor-Authentifizierung (2FA), um Cyberkriminellen den Zugang zu erschweren. Viele Clouddienste wie Microsoft 365 bieten diese Option. Für Remote-Zugänge auf Ihr Firmennetz ist 2FA aus Sicherheitsgründen zwingend.
7. Vermeiden Sie offene WLAN
Sie sollten generell vorsichtig sein, wenn Sie unbekannte Wifi-Hotspots nutzen für den Internetzugang im Café oder Hotel. Sie wissen nie, wer wirklich hinter dem Zugang steckt und allenfalls mitliest. Das gilt umso mehr für offene WLAN ohne Passwortabfrage. Die meisten seriösen Anbieter von öffentlichen Hotspots verlangen für den Zugang ein Passwort respektive eine Registration.
Im Zweifelsfall nutzen Sie Ihr Smartphone als Hotspot oder eine VPN-Anwendung, um die Kommunikation vor dem Betreiber des öffentlichen WLAN zu verbergen.
8. Installieren Sie nur vertrauenswürdige Apps
Vielleicht ergänzen Sie Ihr Smartphone für die Ferien um den einen oder anderen nützlichen Helfer? Auch Apps können betrügerische Absichten haben, indem sie beispielsweise vordergründig Fotos bearbeiten können, gleichzeitig im Hintergrund aber Ihre persönlichen Daten an den Entwickler weiterleiten.
Installieren Sie deshalb Apps nur aus den offiziellen App Stores. Achten Sie vor der Installation auf die Kommentare anderer Nutzer*innen und werfen Sie einen Blick auf die Website des Anbieters. Das ist zwar keine Garantie für die Vertrauenswürdigkeit einer App, aber immerhin ein Hinweis darauf.
9. Zu guter Letzt: Denken vor dem Posten
Ihre Arbeitskolleg*innen und Freunde werden sich über gelungene Ferienfotos in sozialen Netzwerken genauso freuen wie Cyberkriminelle. Ein betrügerisches Mail wirkt umso glaubwürdiger, wenn es Fakten enthält, die die Angreifer Ihrem Post entnommen haben («Ich liege gerade in Kreta am Strand. Kannst du nicht diese Zahlung sofort freigeben?»).
Wenn Sie alle diese Faktoren berücksichtigen, tragen Sie zu einem besseren Schutz Ihrer Unternehmens-IT bei. Und können dadurch hoffentlich auch Ihre Ferien besser geniessen.
Geben Sie Cyberkriminellen keine Chance
Ein falscher Klick, ein unachtsamer Moment genügt: Einem Grossteil aller erfolgreichen Cyberattacken geht menschliches Fehlverhalten voraus. Mitarbeitende, die auf Cyberrisiken sensibilisiert sind, erhöhen die IT-Sicherheit im KMU. Erfahren Sie im E-Learning in 15 Minuten wichtige Verhaltensregeln.
