Kapitel 1:

Grundlagen – Informationssicherheit

Kapitel 2:

Bedrohungen für die Informations- verarbeitung

Kapitel 3:

Modelle und Maßnahmen zum Schutz von Informationen

Kapitel 4:

Grundlagen – Datenschutz

Kapitel 5:

Informationssicherheit und Datenschutz bei BDO

Kapitel 2

Bedrohungen für die Informationsverarbeitung

Phishing Mails, ungesicherte öffentliche WLANs, Social Engineering – die Bedrohungen für die Informationsverarbeitung sind vielfältig. Auswirkungen und Handlungsmöglichkeiten, wie Sie die Informationssicherheit im Unternehmen unterstützen können, finden Sie in diesem Kapitel.

Eine unterschätzte Bedrohung

Täglich werden über 300 Milliarden E-Mails weltweit versendet. Viele davon sind Phishing-Mails. Aus diesem Grund zählt Phishing zu den häufigsten Cyber-Attacken. Phishing-Mails sind betrügerische E-Mails, die das Ziel verfolgen, den Menschen Informationen zu entlocken, die sie gewöhnlich nicht preisgeben würden (z.B. Zugangsdaten) oder sie zum Ausführen von Aktionen zu verleiten, die sie gewöhnlich nicht tun würden (z.B. Ausführen von Schadsoftware). Phishing ist häufig der erste Schritt, um Unternehmen zu unterwandern, ihnen vertrauliche Informationen zu entwenden und sie dann zu erpressen. Neben wirtschaftlichen, entstehen dann erhebliche Reputationsschäden. Diese können sogar die Existenz von Unternehmen bedrohen.

Scrollen Sie weiter und klicken Sie auf die Zahlen, um Näheres über Phishing-Mails zu erfahren.

1
Der Begriff „Phishing” setzt sich aus den englischen Wörtern „password” und „fishing” zusammen.
2
E-Mails mit betrügerischen Absichten lassen sich nicht immer einfach identifizieren. Häufig wird der Nutzer zu einer gefälschten Webseite weitergeleitet, die der originalen Webseite eines seriösen Unternehmens im Aufbau und Aussehen sehr ähnlich ist.
3
Auf der gefälschten Seite werden die Nutzer aufgefordert, geheime Informationen wie z.B. Passwörter, Geburtsdaten oder Kontoinformationen einzugeben. Oft wird als Grund für die Eingabe dieser Informationen eine Aktualisierung der Daten vorgeschoben. Die Informationen gelangen so unmittelbar an die Betrüger.
4
Mithilfe der gestohlenen Informationen können Betrüger Identitäten fälschen, illegal Transaktionen durchführen oder unbefugt auf vertrauliche Informationen zugreifen.

Sie haben Post!

Welche Merkmale weisen Phishing-Mails auf?

Klicken Sie auf die Textteile in der E-Mail, die Ihrer Meinung nach auf eine Phishing-Mail hindeuten. Überprüfen Sie am Ende Ihre Vermutung, indem Sie auf den „Check“ -Button klicken.

In betrügerischen E-Mails kommt es auf die Details an. Scrollen Sie weiter, um mehr über Phishing-Mails und ihre Merkmale zu erfahren.

Die Details im Blick

Wenn Sie eine E-Mail erhalten, sollten Sie auf diese Merkmale achten.

Klicken Sie auf die Plus-Symbole in der E-Mail, um die Merkmale von Phishing-Mails kennenzulernen.

Achten Sie genau auf den Absender der E-Mail. Häufig kommen Phishing-Mails von Absendern, die den Namen seriöser Unternehmen sehr ähnlich sind. Oft unterscheiden sich die gefälschten Adressen lediglich um vertauschte Buchstaben oder hinzugefügte Sonderzeichen.
Bei Phishing-Mails ist die Anrede meist unpersönlich. Statt einer persönlichen Begrüßung (z.B. „Sehr geehrter Herr König“) wird eine Standardformel gewählt.
Als Druckmittel wird ein bedrohliches Ereignis mit einer kurzen Umsetzungsfrist gesetzt. Wird diese Frist nicht eingehalten, so drohen unmittelbar schwerwiegende Konsequenzen wie z.B. die Sperrung eines Kontos.
In Anhängen von Phishing-Mails verstecken sich oft Schadprogramme. Daneben führen Verlinkungen zu gefälschten Webseiten, die das Ziel verfolgen, den Nutzern sensible Informationen zu entlocken.
Oft sind sprachliche Unstimmigkeiten Anzeichen für Phishing-Mails. Achten Sie besonders auf Grammatik und Rechtschreibung sowie auf Textbausteine, die nicht der Sprache der E-Mail entsprechen.

Nicht in die Fänge geraten!

Um Phishing-Attacken zu erkennen, ist es wichtig, achtsam zu sein und die Tricks der Cyber-Kriminellen zu kennen. Weiterführende Informationen und Beispiele zum Thema „Phishing“ finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik.

Weitere Bedrohungen für die Informationsverarbeitung

Phishing-Mails sind nicht die einzige Gefährdung für die Verarbeitung von Informationen im Unternehmen.

Tauchen Sie in die folgenden Szenarien ein, um weitere Gefährdungen für die Informationsverarbeitung kennenzulernen. Klicken Sie auf die Pfeile links und rechts, um die Szenarien zu steuern.

Szenario 1: Öffentliches WLAN

Lukas König ist bei der ALPHA Automobile AG in der HR-Abteilung tätig. In der Mittagspause setzt er sich in ein Restaurant und wartet auf seine Bestellung. Währenddessen schaut er auf sein Firmenhandy und loggt sich in das frei verfügbare WLAN-Netzwerk des Restaurants ohne Passworteingabe ein.

In der Nähe des Restaurants sitzt ein Hacker auf einer Bank mit seinem Laptop. Er hört die ungeschützte WLAN-Verbindung ab.

Auf diese Weise hat der Hacker Zugriff auf viele Informationen, die Lukas König mit seinem Smartphone versendet oder empfängt. Ausgetauschte Unternehmensdaten werden abgegriffen. Zugangsdaten zu internen Geschäftsanwendungen werden ausgespäht. Dadurch erlangt der Hacker einen illegalen Zugriff auf Unternehmensdaten.

Der Hacker greift auf die Daten ab, verschlüsselt sie auf IT-Systemen und erpresst das Unternehmen. Um seiner Forderung mehr Gewicht zu geben, veröffentlicht der Hacker Teile der Daten im Internet. Das Unternehmen steht vor einem Dilemma: Bezahlen oder nicht bezahlen? Ein erheblicher Schaden entsteht in jedem Fall.

Ihre Meinung ist gefragt!

Wie viel Prozent der Arbeitnehmer in Deutschland greifen wie Herr König über ungeschützte WLAN-Verbindungen auf sensible Unternehmensdaten zu?

Bewegen Sie den Schieberegler, um Ihre Einschätzung abzugeben.

etomer GmbH, 2018

Szenario 2: Passwortdiebstahl

Sandra Müller ist im Management der ALPHA Automobile AG tätig. Privat nutzt sie das soziale Netzwerk „FindingFriends“. Vor kurzer Zeit gab es bei diesem Netzwerk ein großes Datenleak. Bei einem Hackerangriff wurden Millionen von Nutzerdaten und Passwörter erbeutet.

Über Sandra Müllers Profil bei „FindingFriends“ finden die Hacker heraus, dass sie im Management der ALPHA Automobile AG tätig ist. Sie versuchen, mit Sandra Müllers Nutzerdaten aus „FindingFriends“ Zugang zum internen Unternehmensnetzwerk der ALPHA Automobile AG zu erhalten.

Der Zugang gelingt. Sandra Müllers Passwörter bei „FindingFriends“ und beim internen Unternehmensnetzwerk sind identisch. Sie hat zwar von dem Datenleak gehört, jedoch ihre Zugangsdaten nicht geändert.

Nun haben die Hacker freien Zugriff auf sensible Unternehmensdaten. Die Kriminellen erbeuten wichtige Informationen zu innovativen Produktionsverfahren der ALPHA Automobile AG und verkaufen diese an die Konkurrenz. Der Technologie- und Wissensvorsprung nehmen in den folgenden Jahren rapide ab, der Umsatz ebenfalls.

Sicher ist sicher!

Situationen wie die von Frau Müller sind keine Seltenheit. Daher ist es wichtig, für jeden Zugang unterschiedliche und sichere Passwörter zu wählen. Doch wie sieht ein sicheres Passwort aus? Antworten finden Sie im Video des Bundesamts für Sicherheit in der Informationstechnik.

Je stärker, desto besser

Sie haben Kriterien für sichere Passwörter kennengelernt. Jetzt sind Sie an der Reihe!

Erstellen Sie hier Ihr eigenes sicheres Passwort. Achten Sie dabei auf die Tipps im Video.

ACHTUNG: Aus Sicherheitsgründen sollten Sie niemals Ihre echten Passwörter hier eingeben.

Geben Sie ein sicheres Passwort ein.

Szenario 3: Diebstahl von IT- und Kommunikationsgeräten

Frank Schmitt ist Controller bei der ALPHA Automobile AG. Er arbeitet mehrmals pro Woche von zu Hause. Von seinem Arbeitgeber bekommt er ein Notebook zur Verfügung gestellt. Die wichtigsten Daten sichert Frank Schmitt zusätzlich auf eine externe Festplatte.

Für ein Meeting muss Frank Schmitt in die Unternehmenszentrale. Er fährt mit dem Auto dorthin. Auf dem Weg macht er an einer Tankstelle halt. Er steigt aus dem Auto, tankt und vergisst, das Auto abzuschließen. Als er vom Bezahlen zurückkommt, fehlt die Tasche, in der sein Notebook und seine externe Festplatte waren.

Im Gegensatz zum Notebook war die Festplatte nicht verschlüsselt. Der Dieb hat nun Zugriff auf wichtige unternehmensinterne Daten.

Vertrauliche Produktionsdaten der ALPHA Automobile AG wurden ausgelesen und veröffentlicht. Daraus wurde ersichtlich, dass es bei neu eingeführten Auto-Modellen wesentliche Produktionsstörungen gibt. Dadurch verliert die ALPHA Automobile AG nicht nur vertrauliche Produktionsdaten, sondern auch an Ansehen bei vielen Stammkunden und Geschäftspartnern.

Ihre Meinung ist gefragt!

Wie viel Prozent der Konzerne in Deutschland waren 2019 von Diebstählen ihrer IT- und Kommunikationsgeräte betroffen?

Bewegen Sie den Schieberegler, um Ihre Einschätzung abzugeben.

industrie.de, 2019

Szenario 4: Social Engineering

Nina Valentin ist in der Finanzabteilung der ALPHA Automobile AG tätig. Ihre Kontaktdaten stehen für Rückfragen von Kunden öffentlich auf der Unternehmenshomepage zur Verfügung. 

Sie bekommt einen Anruf von Till Neumann, der sich als neuer Assistent des Geschäftsführers ausgibt. Um einen wichtigen Unternehmensdeal abzuschließen, müsse sofort eine Anzahlung von 50.000 Euro auf ein internationales Konto angewiesen werden. Falls die Überweisung nicht sofort veranlasst werde, verliere die ALPHA Automobile AG einen sehr wichtigen Kunden.

Immer wieder überzeugt der Anrufer mit unternehmensinternem Fachwissen über andere Mitarbeiter der Firma und gewinnt somit Nina Valentins Vertrauen. Diese fühlt sich unter Druck gesetzt und möchte die negativen Folgen für die ALPHA Automobile AG abwenden. Schließlich überweist sie den geforderten Betrag an das ausländische Konto.

Monate später stellt die interne Revision Unregelmäßigkeiten auf den Geschäftskonten des Unternehmens fest. Nina Valentins Situation war kein Einzelfall. Insgesamt wurden der ALPHA Automobile AG auf diese Weise mehrere Hunderttausend Euro entwendet.

Was würden Sie tun?

Ein weiteres verdächtiges Telefonat erreicht Thomas Augustin, Neuzugang in der Finanzabteilung der ALPHA Automobile AG. Das Telefonat gleicht dem von Nina Valentin.

Klicken Sie auf die Play-Buttons und hören Sie sich die Forderungen der Anruferin an. Wählen Sie nun diejenigen Antworten aus, die Thomas Augustin der Anruferin Ihrer Meinung nach geben sollte.

Mögliche Auswirkungen im Unternehmen

Diese und weitere Bedrohungen der Informationsverarbeitung können sich unterschiedlich auf die Unternehmen auswirken. Die bekanntesten Auswirkungen sind:

Finanzielle Verluste

Laut dem Bundeslageberichts des Bundeskriminalamtes verursachte die Cyber-Kriminalität für Unternehmen im Jahr 2018 finanzielle Schäden von mehr als 60 Millionen Euro allein in Deutschland.

Betriebsstörungen

Cyber-Angriffe können Störungen und Ausfälle im Geschäftsbetrieb hervorrufen. Greift Schadsoftware interne Unternehmensnetzwerke an und beeinträchtigt die Daten, so können u.a. Produktion und Verwaltung im Betrieb lahmgelegt werden.

Verlust an Reputation

Wenn Unternehmen durch Cyber-Attacken erpresst oder bestohlen wurden, führt dies automatisch zum Verlust des Ansehens und Vertrauens dieses Unternehmens. Neu- bzw. Bestandskunden und Partner wenden sich ab, die Umsatzerlöse gehen zurück und das Geschäftsmodell ist gefährdet.

Industriespionage

In Zeiten der Digitalisierung und dem Entstehen von Innovationen in immer kürzeren Zyklen, häufen sich Cyber-Angriffe, die das Ziel haben, Daten, Patente und Produktpläne von Unternehmen zu stehlen. Oft merken die betroffenen Unternehmen den Datenverlust zu spät. Somit können sie schlecht nachvollziehen, wie lange das Datenleck schon besteht.

Kapitel 1:

Grundlagen – Informationssicherheit

Kapitel 2:

Bedrohungen für die Informations- verarbeitung

Kapitel 3:

Modelle und Maßnahmen zum Schutz von Informationen

Kapitel 4:

Grundlagen – Datenschutz

Kapitel 5:

Informationssicherheit und Datenschutz bei BDO