Fast alle Menschen leiden unter der Corona-Pandemie. Eine Berufsgruppe allerdings wittert das Geschäft ihres Lebens: Cyberkriminelle fluten das Netz mit Phishing-Mails und Schadsoftware. Das hat drei Gründe: Erstens haben viele Menschen Angst. Zweitens wollen viele Menschen helfen. Deshalb sind sie bereit, Links anzuklicken oder Anhänge zu öffnen, bei denen sie sonst misstrauisch geworden wären. Drittens arbeiten Millionen Angestellte von zu Hause aus.
Viele von ihnen nutzen nun ihren Privatrechner für die Arbeit und greifen vom Home-Office aus auf Dateien im Firmennetzwerk zu. Die meisten haben keine Schulungen erhalten, schließlich mussten sie von einem auf den anderen Tag zu Hause bleiben. Kaum ein Unternehmen war auf diese Situation eingestellt. Selbst die bayerische Regierung ist überfordert: Die Redaktion der Zeitschrift c't konnte an einer Videokonferenz mit Innenminister Joachim Herrmann teilnehmen - das System war nicht gesichert.
Für Kriminelle werden Angriffe damit einfacher und lukrativer. Plötzlich stehen Türen offen, die bislang durch sorgfältig gepflegte Firewalls versperrt waren. Es braucht nur noch einen leichtsinnigen Mitarbeiter, dann können Hacker auf sensible Daten zugreifen oder das gesamte Unternehmensnetzwerk infiltrieren. Immerhin haben einige Hackergruppen versprochen, Krankenhäuser und Arztpraxen zu verschonen. Normale Heimarbeiter indes können nicht mit Gnade rechnen: Dutzende IT-Sicherheitsunternehmen, die WHO und das BSI warnen vor Kriminellen, die Covid-19 als Köder für ihre Attacken nutzen.
Sie locken mit wichtigen Informationen und Ratschlägen, schleusen vermeintliche Corona-Apps in die Stores von Google und Apple ein oder geben sich als Gesundheitsbehörde aus. Statt zu erfahren, wie sich das biologische Virus ausbreitet, fangen sich Nutzer digitale Viren ein. Trojaner verschlüsseln die Festplatte und verlangen Lösegeld, greifen Passwörter ab und versuchen, Kreditkartendaten zu erbeuten. Vor Covid-19 schützen Händewaschen und Abstandhalten - vor Kriminellen schützen diese acht Sicherheitstipps.
1. Sichere Passwörter verwenden
Mit sogenannten Bruteforce-Attacken können Angreifer in kurzer Zeit viele Passwortkombinationen durchprobieren. Wer sich davor schützen will, muss lange, zufällige und einzigartige Kennwörter verwenden. Sonderzeichen sind unnötig, entscheidend ist die Länge: Zwölf Zeichen sind das Minimum, für wichtige Konten empfehlen sich mindestens 16 Buchstaben und Ziffern. Viele Nutzer verwenden dasselbe Kennwort für mehrere Konten oder variieren es nur geringfügig. Das ist eine Einladung an Hacker. Deshalb sollte man einen Passwort-Manager wie 1Password, LastPass oder die Open-Source-Lösung KeePass nutzen. Diese Programme generieren zufällige und sichere Kennwörter speichern sie verschlüsselt ab.
2. Konten mit einem zweiten Faktor absichern
Selbst das beste Passwort kann gehackt werden. Nur die sogenannte Zwei-Faktor-Authentifizierung (2FA) schützt zuverlässig vor Angriffen. Dann braucht es neben dem Kennwort einen zweiten Faktor, um sich einzuloggen. Oft handelt es sich um einen Code, der in einer separaten App empfangen oder per SMS zugeschickt wird. Manche Dienste bieten dafür auch biometrische Merkmale oder zusätzliche Hardware wie den USB-Stick Yubikey an.
3. Sicherheitsupdates installieren
Kriminelle nutzen oft Schwachstellen aus, die gerade erst entdeckt wurden. Sie rechnen damit, dass viele Nutzer ihre Software noch nicht aktualisiert haben. Wer zum Update aufgefordert wird, sollte die Installation deshalb nicht herauszögern. Vor allem Betriebssystem, Browser, Office-Software wie Microsoft Word oder der Acrobat Reader von Adobe sollten immer auf dem aktuellen Stand sein. Das gilt auch für den Wlan-Router und andere IoT-Geräte, die mit dem Netzwerk verbunden sind. Dort finden sich die Firmware-Updates meist auf den Seiten der Hersteller. Oft lassen sich Updates auch automatisieren.
4. Wlan schützen
Im Home-Office wird das Heimnetzwerk zum Arbeitsnetzwerk - und damit noch interessanter für Angreifer. Viele Menschen haben die Standard-Passwörter ihres Routers und ihres Wlans nie verändert. Das ist fahrlässig. Um die Router-Konfiguration zu ändern, gibt man die IP-Adresse des Geräts im Browser ein, meist ist das 192.168.2.1. Dort loggt man sich ein (die Zugangsdaten stehen oft auf der Rückseite des Routers) und kann in den Einstellungen die Passwörter sowohl für den Zugang zum Router und als auch für Wlan neu vergeben.
5. Sichere Kommunikationswege nutzen
Was Kollegen früher am Arbeitsplatz besprochen haben, wird jetzt digital besprochen und geklärt. Für wichtige Informationen eignen sich jedoch weder unverschlüsselte E-Mails noch Skype-Anrufe oder Chat-Dienste wie Slack. Besser sind Messenger wie Signal oder Threema. Auch Whatsapp schützt Nachrichten mit Ende-zu-Ende-Verschlüsselung. Facebook erfährt zwar, wer wann mit wem schreibt - aber nicht, worum es dabei geht.
6. Berufliches und Privates trennen
Viele Menschen nutzen derzeit ein Gerät für alles und können sich nicht kurzfristig einen zweiten Laptop kaufen. Um berufliche Informationen zu schützen, empfehlen sich zumindest zwei unterschiedliche Browser. Mehr Schutz bieten getrennte Konten ohne Admin-Rechte für den Rechner. Laptops und Smartphones von Freunden sollten nicht für die Arbeit genutzt werden. Schließlich sieht man einem Gerät nicht an, ob Schadsoftware darauf läuft.
7. Daten sicher abspeichern
Brisante Dokumente gehören nicht in eine Cloud wie Dropbox oder OneDrive. Besser eignen sich USB-Sticks, externe Festplatten oder verschlüsselte Netzwerkspeicher. Die lokalen Dateien sollte man mit einer Software wie Veracrypt verschlüsseln. Windows (BitLocker) und MacOS (FileVault) bieten dafür auch integrierte Lösungen an. Um sich vor Ransomware zu schützen, die die Festplatte verschlüsselt und dann Lösegeld verlangt, braucht es regelmäßige Back-ups auf einem externen Speichermedium.
8. Mitdenken
Der größte Risikofaktor sitzt vor dem Rechner. Die sicherste Hardware hilft nichts, wenn Nutzer leichtfertig Anhänge öffnen, Dateien herunterladen und Programme installieren. Wer einem Absender oder Entwickler nicht zu 100 Prozent vertraut, sollte die Finger davon lassen. Im Home-Office ist es schwieriger, schnell Kollegen um Rat zu fragen, und die IT-Abteilungen sind oft überlastet. Trotzdem kann ein kurzer Anruf viel Ärger ersparen.