Zuhause

Cyberkriminalität: So schützen Sie sich gegen Hacking, Phishing & Co.

Auf Facebook teilen Auf Twitter teilen Auf LinkedIn teilen Auf Xing teilen Per Email teilen

Alarmierende Zahlen: 350'000 Schweizerinnen und Schweizer wurden 2021 gemäss Bundesamt für Statistik BFS Opfer von Online-Kreditkartenbetrug. Ebenso viele haben durch Angriffe von Hackern persönliche Dokumente verloren. Und in den sozialen Netzwerken werden «Schweizer Daten» im europäischen Vergleich überdurchschnittlich oft gehackt.

  • Teaser Image
    Silenccio

    Das Zürcher Start-up Silenccio ist seit 2019 Kooperationspartner der AXA. Wir haben bei Katrin Sprenger (CEO) und Lukas Keller (CTO) nachgefragt, wie man Gefahren und Risiken im Internet erkennen und sich gegen Cyberkriminalität schützen kann.

Warum nimmt die Cyberkriminalität zu?

Katrin Sprenger: Man kann sicher davon ausgehen, dass mit zunehmender Nutzung des Internets mit Computern, Tablets und Smartphones potenziell auch die Gefahr steigt, Opfer von Cyberkriminalität zu werden. Hinzu kommt, dass Surfen, Shoppen und Socializen im Netz immer populärer wird und für viele Menschen mittlerweile zum Alltag gehört. War man vor ein paar Jahren noch sehr vorsichtig – z. B. bei der Eingabe persönlicher Daten, Telefonnummern und Kreditkartendaten –, gibt man diese heute oft schnell und ohne nachzudenken preis. Diese Aspekte kommen Cyberkriminellen zugute: Es gibt eine zunehmende Masse an geleakten Daten, die ein Einfallstor für viele Betrugsmaschen bieten.

In letzter Zeit wird vermehrt vor Phishing-Mails gewarnt. Was kann passieren, wenn ich diese öffne, Lukas Keller?

Lukas Keller: Das Öffnen einer Phishing-E-Mail stellt noch kein Problem dar. Gefährlich wird es erst, wenn Sie unbedacht in gefälschten E-Mails einen Link öffnen und der Aufforderung nachkommen, vertrauliche Daten einzugeben. Dann haben die Kriminellen ihr Ziel erreicht: Sie sind im Besitz Ihrer persönlichen Zugangsdaten. Um die Sicherheit zu erhöhen, empfehle ich, wenn z. B. eine E-Mail der Bank eintrifft, nicht via Link auf die Seite zu gehen, sondern die Ihnen bekannte URL manuell in der Adresszeile einzugeben.

Was ist der Unterschied zwischen Phishing-Mails und Malware?

Lukas Keller: Bei beiden Attacken handelt es sich um Angriffe, die den Eintrittskanal E-Mail verwenden. Der grundlegende Unterschied ist, dass Phishing-Attacken darauf abzielen, dass die Empfängerin oder der Empfänger auf einer Webseite Daten eingibt, die dann gespeichert und missbraucht werden können.

Malware Mails haben zum Ziel, ein Endgerät, meist einen Computer, zu infizieren. Dabei gehen die Betrüger in der Regel so vor, dass ein vermeintlich harmloser Anhang wie ein PDF oder Word-Dokument eine Schadsoftware «versteckt». Klickt die Empfängerin oder der Empfänger auf den Anhang, installiert sich das Programm im Hintergrund. Ziel dieser Programme ist entweder das Löschen der Daten auf dem entsprechenden Endgerät oder aber das Auslesen und Verschicken von Daten an Cyberkriminelle.  

Doxing, Fuzzing, Spear-Phishing, Ransomware, Pharming? In unserem Glossar Internetkriminalität erklären wir die wichtigsten Straftaten im Bereich Cybercrime.

«Denken Sie immer daran: Seriöse Onlineanbieter – dazu gehören selbstverständlich auch Banken – werden Sie nie per E-Mail dazu auffordern, Zugangsdaten auf einer Webseite einzugeben.»

Lukas Keller, Co-Founder und CTO Silenccio

Smishing – Phishing per SMS

Sie erhalten öfters SMS mit der Aufforderung, kleinere Beträge an Zollgebühren zu bezahlen, damit Ihr Paket zugestellt werden kann?

Hierbei handelt es sich um eine mittlerweile weitverbreitete Smishing-Masche. Kundinnen und Kunden verlieren manchmal den Überblick, welche Pakete bzw. Bestellungen sie erwarten. Dies nützen die Internetbetrüger aus und verlinken in der SMS eine Zahlungsseite, auf der die Kleinstbeträge per Kreditkarte gezahlt werden können. Letztendlich ist aber nicht der Verlust der meist weniger als CHF 5 das, was der Kundin oder dem Kunden weh tut, sondern der Schaden durch die Eingabe der Kreditkartendaten.

Durch die Eingabe der Daten haben die Betrüger nämlich nebst dem Namen der Karteninhaberin oder des Karteninhabers und der Kartennummer auch den CVV-Code und können so im schlimmsten Fall die Kreditkarte «leerräumen».

Wie kann ich erkennen, ob es sich bei der erhaltenen SMS um eine echte Nachricht oder einen Smishing-Versuch handelt?

Da sich diese Nachrichten in der Regel nicht von anderen Mitteilungen unterscheiden, ist es fast unmöglich, deren Echtheit anhand der SMS allein zu überprüfen. Aber: Die grossen Paketzustelldienste wie DHL und Post schicken in der Regel eine E-Mail, um die Sendung anzukündigen. Wenn man auf den Link zur Sendungsverfolgung in der E-Mail klickt, kommt man auf die persönliche Übersicht der erwarteten Pakete. Hier wird dann meistens auch angezeigt, ob es noch ausstehende Beträge zu zahlen gibt.

Unser Tipp: Erstellen Sie ein Kundenkonto beim Versanddienstleister. Bei Erhalt einer SMS loggen Sie sich ein und überprüfen, ob es offene Beträge in Zusammenhang mit den erwarteten Paketen gibt. 

  • Teaser Image
    Achtung vor Smishing-Betrug

    Phishing per SMS ist eine weit verbreitete Betrugsmasche im Internet. Lesen Sie jetzt, wie die Romande Claudine Berger um CHF 13’000 betrogen wurde – und wie die AXA ihr helfen konnte.

    Mehr erfahren

Was sind die grössten digitalen Gefahren für Mitarbeitende im Homeoffice?

Katrin Sprenger: Da immer mehr Arbeitnehmende von zu Hause arbeiten, haben Cyberkriminelle ihre Taktik geändert: Sie sind den Menschen nach Hause gefolgt und versuchen dort verstärkt, die IT-Schwachstellen auszunutzen. Denn es ist praktisch unmöglich, daheim am Schreibtisch dieselben hohen Sicherheitsstandards zu gewährleisten wie am Firmenarbeitsplatz. Diese Gefahren sind nicht neu, werden aber dadurch prekär, dass sehr schnell sehr viele Mitarbeitende ins Homeoffice gewechselt haben.

Die erste Gefahr: Endgeräte. 

Da es in vielen Unternehmen nicht für alle Mitarbeitenden Laptops gab, wurde oft auf «Use your own device» gesetzt. Die Folge: Veraltete Rechner mit fehlenden Sicherheitsvorkehrungen, Sicherheitsupdates oder Virenscannern bieten ein erstes Einfalltor für Hacker und damit potenziell Unbefugten Zugang zu Daten.

Die zweite Gefahr: WLAN. 

Da für das Arbeiten im Homeoffice ein Internetzugang unumgänglich ist, werden die bereits vorhandenen WLANs genutzt. Nun weiss jeder, wie Passwörter für private Netzwerke eingerichtet werden: mit Passwörtern, die so einfach sind, dass man sie mal eben dem Besuch nennen kann. Entsprechend einfach sind diese Passwörter zu knacken. Und genau hier setzen Hacker an und nutzen diese schlecht geschützten Netzwerke, um unerlaubt auf Daten zuzugreifen oder Viren und Trojaner einzuschleusen.

Die dritte Gefahr: E-Mails

Mitarbeitende werden im Homeoffice mit Phishing-Mails regelrecht bombardiert. Ziel ist es meist, mit Malware oder gefälschten Informationen an gesicherte Daten zu kommen. Dazu nutzen Hacker nach wie vor Links zu gefälschten Websites oder gefälschte E-Mails von bekannten Absenderadressen wie der oder dem Vorgesetzten. Hier versagt in vielen Fällen weniger die IT-Sicherheit als der Mensch am Endgerät. Denn dieser ist und bleibt der Schwachpunkt: Phishing-Mails werden aus Unwissenheit geöffnet, gefährliche E-Mail-Anhänge werden nichtsahnend heruntergeladen und auf dem Rechner gespeichert oder vermeintlichen IT-Dienstleistern werden arglos Zugangspasswörter weitergegeben.

Aber auch E-Mail-Anwendungen – insbesondere auf mobilen Endgeräten – zeigen immer wieder Sicherheitslücken, die es den Cyberkriminellen ermöglichen, sie zu hacken und sich so Zugriff zu Daten zu verschaffen.

Wie kann ich mich bzw. meinen Firmen-PC gegen Cyberkriminelle schützen?

Katrin Sprenger: Am Arbeitsplatz im Homeoffice wächst die Verantwortung jedes Einzelnen – denn die IT-Administratorinnen und -Administratoren sind nicht vor Ort. Besonders wichtig wird in dieser Situation einerseits die Sensibilisierung jeder einzelnen Mitarbeiterin und jedes einzelnen Mitarbeiters, aber auch das Treffen der entsprechenden Sicherheitsmassnahmen in der Arbeitsumgebung.

Um das Endgerät zu schützen, ist und bleibt der beste Rat: Installieren Sie eine umfassende Antiviren-Software. Deren Sicherheitsfunktionen schützen gegen viele der oben genannten Bedrohungen – auch wenn ein Restrisiko bleibt.

Und nicht zuletzt gilt es, die Geräte innerhalb des eigenen Haushalts vor unbefugten Zugriffen zu schützen. Idealerweise werden Firmenlaptops und -mobiltelefone standardmässig bei Nichtbenutzung mit einem Passwortschutz in den Standby gesetzt und ausserhalb der Reichweite anderer Personen aufbewahrt.

  • Teaser Image
    Sicheres Passwort erstellen

    Ob E-Banking, Lieblings-Onlineshops oder E-Mail-Accounts: Passwörter sind aus unserem digitalen Leben nicht mehr wegzudenken. Katrin Sprenger sagt Ihnen, wie Sie ein starkes Passwort erstellen, Fehler vermeiden und welche hilfreichen Tools es fürs Passwortspeichern gibt.

    Zum Blogartikel

Was kann ich tun, wenn ich Opfer von Kreditkartenmissbrauch geworden bin?

Lukas Keller: Kreditkartenmissbrauch im Internet ist vergleichbar mit dem Diebstahl der physischen Kreditkarte. Von daher gilt in einem allerersten Schritt, die Sperrung der Kreditkarte zu veranlassen. Nun ist es im Onlinebereich so, dass zwischen dem Diebstahl der Kreditkartendaten und dem ersten Entdecken des Missbrauchs eventuell schon einige Zeit vergangen sein kann und bereits mehrere Geldabbuchungen gemacht wurden. Schauen Sie sich die Abbuchungen im Detail an, gehen Sie auf die betroffenen Plattformen und versuchen Sie, getätigten Bestellungen rückgängig zu machen.

Auf manchen Plattformen sieht man, von welcher IP-Adresse und von welchem Ort aus die Bestellung getätigt wurde. Wenn z. B. eine Abbuchung  aus Brasilien zu einem Zeitpunkt, als Sie nachweislich in der Schweiz waren, erfolgt, zeigen sich die meisten Plattformbetreiber kulant. Sind die Abbuchungen nicht rückgängig zu machen, müssen Sie Kontakt mit dem Kreditkartenanbieter aufnehmen. Meist übernimmt dieser den entstandenen Schaden. 

Wie oft soll ich mein Passwort fürs E-Banking oder für meine Lieblings-Onlineshops wechseln?

Lukas Keller: Die erste Frage sollte nicht sein «Wie oft soll ich das Passwort wechseln?», sondern «Wie stark ist mein Passwort?».  Besteht das Passwort aus der Zahlenfolge 1234, ist es um ein Vielfaches schneller gehackt als ein Passwort, das aus 8 oder mehr Zeichen inklusive Sonderzeichen besteht. Die meisten Geräte schlagen heute beim Anlegen eines neuen Accounts direkt diese sicheren Passwörter vor. Zudem empfiehlt es sich immer, zusätzlich – sofern das angeboten wird – die Zwei-Faktor-Authentifizierung zu aktivieren. Um die Sicherheit weiter zu erhöhen, sollten Sie zudem alle sechs bis acht Wochen auf allen regelmässig genutzten Plattformen das Passwort wechseln.

Laut einer Studie des BFS werden Schweizerinnen und Schweizer im europäischen Vergleich sehr oft Opfer von Cyberkriminalität. Warum?

Lukas Keller: Das Bundesamt für Statistik sieht den Hauptgrund in der Laschheit, mit der Schweizerinnen und Schweizer ihre Daten schützen. 2019 verwendeten nur noch zwei Drittel der Userinnen und User Sicherheitssoftware, 2014 waren es noch drei Viertel.

Einen weiteren Erklärungsansatz sehe ich in der Kombination folgender drei Faktoren: Die Schweiz hat seit jeher einen hohen Digitalisierungsgrad und bietet damit auch bei vergleichsweise kleiner Einwohnerzahl eine grosse Angriffsfläche. Zudem stellt die Schweizer Bevölkerung aufgrund ihres hohen Einkommensniveaus für Cyberkriminelle ein interessantes Ziel dar.

Diese beiden Faktoren kombiniert mit einem subjektiven Sicherheitsgefühl jeder einzelnen Userin und jedes einzelnen User und die damit einhergehende Fahrlässigkeit beim Schutz der eigenen Daten können zu dem Ergebnis führen, dass Schweizerinnen und Schweizer öfter von Cyberkriminalität betroffen sind als andere Europäerinnen und Europäer. 

Gibt es aus Ihrer Sicht Gefahren im Netz, die völlig unterschätzt oder unbekannt sind?

Katrin Sprenger: Eine der wohl am meisten unterschätzten Gefahren ist der Diebstahl der Identität. Dabei sammeln Kriminelle persönliche Daten wie Geburtsdatum und Adresse, aber auch Scans von Ausweisen oder der Geburtsurkunde. An diese Dokumente kommen sie relativ schnell, wenn sie einmal den E-Mail-Account gehackt haben. Wohl jeder hat schon einen Scan dieser Dokumente per Mail verschickt. Aus diesen Daten setzen sie dann die Identität des Opfers zusammen und bieten diese z. B. im Darknet an oder sind so in der Lage, Verträge im Namen des Opfers abzuschliessen. Ziel ist es in erster Linie, mit diesen gefälschten Identitäten Geld zu ergaunern. 

Verwandte Artikel

AXA & Sie

Kontakt Schaden melden Stellenangebote Medien Broker myAXA Login Garagen-Portal Kundenbewertungen Newsletter abonnieren myAXA FAQ

AXA weltweit

AXA weltweit

In Kontakt bleiben

DE FR IT EN Nutzungshinweise Datenschutz / Cookie Policy © {YEAR} AXA Versicherungen AG

Wir verwenden Cookies und Analyse-Tools, um das Nutzungserlebnis für Sie zu verbessern, die Werbung von AXA und ihren Werbepartnerfirmen zu personalisieren sowie Social-Media-Funktionen bereitzustellen. Sie können Ihre Cookie-Einstellungen bei Verwendung von Internet Explorer 11 leider nicht über unser Cookie-Präferenz-Center ändern. Möchten Sie Ihre Einstellungen anpassen, nutzen Sie bitte einen aktuellen Browser. Durch die Nutzung unserer Internetseite mit diesem Browser stimmen Sie der Verwendung von Cookies zu. Datenschutz / Cookie Policy