E-Mail, USB-Stick oder auch das gute, alte Telefon: Cyber-Kriminelle nutzen viele Angriffsflächen, um in Firmen einzudringen. Sogar der Papierkorb gibt oft ungewollt Geheimnisse preis. AKTIV sagt, wie man sich vor Zugriffen schützt, mit Tipps vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

1. Viren und Trojaner

Schadprogramme kommen oft auf Speichermedien daher. Ein beliebter Trick ist der „USB-Drop“: Auf dem Parkplatz oder in der Raucherecke wird ein verseuchter Stick ausgelegt, in der Hoffnung, dass ein Mitarbeiter den „kostenlosen“ Speicher am Arbeitsplatz verwendet. Zum Schutz nur autorisierte Sticks, DVDs und Festplatten einsetzen, mit Virenscanner prüfen.

2. Verseuchte Nachricht

Saboteure lieben die elektronische Post, nutzen Viren im E-Mail-Anhang, versteckte „Zugaben“ in Downloads oder bösartige Makros in einem Office-Dokument. Manchmal genügt auch ein präpariertes Werbebanner – schon ist der PC infiziert. Daher vor dem Anklicken überlegen, ob Absender, Betreff und Text der Nachricht stimmig sind. Verdächtige Post der IT-Abteilung melden. Und nie private E-Mails mit dubiosem Inhalt an die Büroadresse weiterleiten, um sie dort in der vermeintlich sichereren Umgebung zu öffnen. Schlimmstenfalls verseucht man so das ganze Firmennetz.

3. Phishing

Vorsicht auf Webseiten, die Zugangsdaten verlangen. Sieht das Logo plötzlich anders aus, sind Schreibfehler auf der Seite? Das sollte stutzig machen, es ist ein Hinweis auf Kriminelle. Die Täter angeln mit geschickten Ködern, kopieren etwa das Erscheinungsbild bekannter Angebote und fangen die eingegebenen Passwörter ab. Die nutzen sie für Attacken und Betrügereien.

4. Visual Hacking

Augen auf und Ohren spitzen heißt es auf Dienstreisen. Beim scheinbar harmlosen Über-die-Schulter-Schauen („Shoulder surfing“) fließen vertrauliche Informationen ab. Am Laptop hilft ein Blickschutzfilter, eine Spezialfolie, die man auf den Bildschirm klebt. Maßnahme gegen Lauschangriffe in der Flughafenlounge: Sich zum Telefonieren ein ruhiges Eckchen suchen.

5. WLAN

Offene Drahtlos-Netzwerke sind zwar kostenlos, dafür fließen Daten ungesichert hin und her. Sie können abgefangen werden, ohne dass man es bemerkt. Das klappt auch im Hotel, wo oft jeder Gast dasselbe Passwort bekommt, das zudem selten geändert wird. Installiert ein Bösewicht ein paralleles Netzwerk unter gleichem Namen, sieht er alles, was auf dem eingeloggten Gerät erscheint.

6. Social Engineering

Hilfsbereitschaft ist okay, aber besser zweimal überlegen, bevor man „netten“ Unbekannten, die scheinbar vertraut klingen, allzu viel über die eigene Firma verrät – oder gar unter Zeitdruck einen folgenschweren Gefallen tut.

7. Spoofing

Fremde, die nichts Gutes im Schilde führen, geben sich am Telefon als Vorgesetzte aus. Mittels Technik können sie jede beliebige Nummer auf dem Display erscheinen lassen. Bei dubiosen Anrufen auflegen und sich direkt beim Vorgesetzten rückversichern. Die Nummer selbst eintippen, sonst landet man wieder beim Betrüger. Auch E-Mail-Absender lassen sich manipulieren. Im Zweifelsfall nicht auf „Antworten“ klicken, die Adresse selbst eintippen.

8. Passwort

Kennwörter weder notieren noch weitergeben. Der eigene Name, Begriffe aus dem Wörterbuch und Zahlenfolgen wie 123456 sind tabu, sie lassen sich schnell knacken. Für jede Anwendung ein separates Kennwort wählen, regelmäßig ändern, auch wenn das ein bisschen Arbeit macht. Mehr Tipps dazu hier auf AKTIVonline – wie sie sichere Passwörter bilden und für immer im Kopf behalten

9. Zugangskarte

Mit gestohlenen Ausweisen verschaffen sich Unbekannte Zutritt zum Gebäude. Verhält sich jemand komisch, darf man höflich, aber bestimmt nachfragen, was er da eigentlich macht. Und sich nicht täuschen lassen, wenn der Fremde einen beim Vornamen nennt. Der ist vielleicht nur abgelesen vom Pappbecher aus dem Coffeeshop ums Eck, wo man sich manchmal einen Kaffee holt.

10. Clean-Desk-Policy

Aufräumen am Feierabend hilft gegen Schnüffler. Akten nicht offen herumliegen lassen. Auch an den Papierkorb denken. Vertrauliche Unterlagen gehören in den Schrank, werden sie nicht mehr gebraucht, ab in den Aktenvernichter.

Wenn’s doch passiert: Opfer eines Cyberangriffs kann jeder werden, häufig unverschuldet. Doch selbst wenn einem ein Fehler unterlaufen ist, weil man etwa einen verseuchten Anhang geöffnet hat, sollte man die Sache nicht vertuschen, aus Scham oder weil man die Folgen fürchtet. Den Vorfall besser melden, dann können Sicherheitsbeauftragte schnell reagieren. In den meisten Betrieben gibt es eine solche Stelle, an die man sich wenden kann.