Wie kann ich Spam-Mails verhindern und mit diesen umgehen?
Spam-Mails sind unerwünschte Mailnachrichten in Ihrem Posteingang, die gewöhnlich als Form von Werbung oder Angebotseinholung verwendet werden. Spammer sammeln Mailadressen aus Chatrooms, Websites, Kundenlisten, Newsgroups und Viren, die Adressbücher von Benutzern harvesten. In der ersten Hälfte des Jahres 2010 waren 80 % aller Mails Spam-Mails.
Spam wird zunehmend von Computern gesendet, die mit Computerviren infiziert sind. Es ist wichtig, dass alle Verse-Benutzer Antivirensoftware installieren und pflegen, um eine Infizierung ihrer Computer zu verhindern und unwissentlich zu einer potenziellen Spamquelle zu werden.
"Phishing", bei dem mithilfe von Nachrichten, die von seriösen Geldinstituten zu stammen scheinen, versucht wird, Benutzer dazu zu verleiten, sensible Daten zu "verifizieren" (z. B. Kreditkartendaten), verbreitet sich immer mehr.
Wie man mit einer Datenschutzverletzung umgeht
Es vergeht kaum eine Woche, in der nicht eine Datenschutzverletzung in die Schlagzeilen gerät. Cyberkriminelle haben das Phishing normalisiert, und große Mengen gestohlener Daten sind das Ergebnis.
Ein aktueller Bericht des Sicherheitsverbandes ISACA zeigt, dass weniger als ein Viertel der britischen Verbraucher der Meinung ist, dass Unternehmen ihre persönlichen Daten schützen. Der Bericht weist auch auf die realen Auswirkungen von Datenverlusten hin: Fast die Hälfte der Verbraucher gibt an, dass sie nicht mehr mit einem Unternehmen zusammenarbeiten würden, das eine Datenschutzverletzung erlitten hat.
Verlorene Daten bedeuten verlorene Kunden, hohe Geldstrafen und Rufschädigung. Es ist wichtig zu wissen, wie man mit einer Datenschutzverletzung umgeht, wenn sie passiert.
Hier sind unsere Best-Practice-Tipps für den Umgang mit einer Datenschutzverletzung.
Persönliche Informationen und Datenschutz
Personenbezogene Daten sind alle Daten, die zur Identifizierung einer Person verwendet werden können. Zum Beispiel Name, Adresse, Alter, E-Mail-Adresse, Telefonnummer und so weiter. Diese Daten sind für Cyberkriminelle wie Goldstaub und können schon durch eine einfache versehentliche Offenlegung gefährdet werden.
Personenbezogene Daten müssen gemäß verschiedenen Datenschutz- und Privatsphäre-Vorschriften geschützt werden. Zum Beispiel beschreibt das britische Datenschutzgesetz 2018 (DPA2018) die Datenschutzregeln, um sicherzustellen, dass personenbezogene Daten sicher sind. Die Grundprinzipien des DPA2018 sind, dass Daten sein müssen:
auf faire, rechtmäßige und transparente Weise verwendet werden
für bestimmte, eindeutige Zwecke verwendet werden
in einer Weise verwendet werden, die angemessen und sachdienlich ist und sich auf das Notwendige beschränkt
genau und, soweit erforderlich, auf dem neuesten Stand sind
nicht länger als nötig aufbewahrt werden
so gehandhabt werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unrechtmäßiger oder unbefugter Verarbeitung, Zugang, Verlust, Zerstörung oder Beschädigung
DPA 2018 wird manchmal mit der GDPR der EU verglichen. Aus diesem Grund wird DPA 2018 auch als UK GDPR bezeichnet. Es gibt einige Unterschiede zwischen der DPA 2018/UK-GDPR und der EU-GDPR, z. B. ist die Verarbeitung strafrechtlicher Daten im Vereinigten Königreich weniger streng. Auch die legitimen Gründe für die Profilerstellung sind im Vereinigten Königreich weniger streng als in der EU.
Beide verlangen jedoch, dass personenbezogene Daten geschützt werden, und im Falle einer Sicherheitsverletzung müssen bestimmte Bedingungen erfüllt werden. Dazu gehören Vorschriften für die Meldung von Verstößen und mögliche Geldbußen bei Nichteinhaltung.
Wie kommt es zu einer Datenpanne?
Wo immer Daten erstellt, gespeichert, weitergegeben oder verwendet werden, besteht die Gefahr, dass sie gestohlen oder versehentlich preisgegeben werden. Es gibt eine Vielzahl von Cyber-Bedrohungen, die zu Datenschutzverletzungen führen, darunter:
Phishing - Betrüger stehlen Daten direkt über bösartige Websites. Alternativ nutzen Cyberkriminelle Spear-Phishing, um Anmeldedaten zu stehlen. Diese Anmeldedaten werden dann verwendet, um Zugang zu Unternehmensnetzwerken und -anwendungen zu erhalten. Sogar Anmeldedaten von Mitarbeitern ohne Privilegien können zu Datenbankhacks und massiven Datenverletzungen führen.
- Betrüger stehlen Daten direkt über bösartige Websites. Alternativ nutzen Cyberkriminelle Spear-Phishing, um Anmeldedaten zu stehlen. Diese Anmeldedaten werden dann verwendet, um Zugang zu Unternehmensnetzwerken und -anwendungen zu erhalten. Sogar Anmeldedaten von Mitarbeitern ohne Privilegien können zu Datenbankhacks und massiven Datenverletzungen führen. Social Engineering - Cyberkriminelle bringen Mitarbeiter dazu, persönliche Daten preiszugeben, die sie dann für weitere Straftaten nutzen. Die Betrüger nutzen viele Medien, um Social Engineering durchzuführen, darunter Telefonanrufe und soziale Medien. Diese Angriffe können letztlich zu größeren Datenverletzungen führen.
- Cyberkriminelle bringen Mitarbeiter dazu, persönliche Daten preiszugeben, die sie dann für weitere Straftaten nutzen. Die Betrüger nutzen viele Medien, um Social Engineering durchzuführen, darunter Telefonanrufe und soziale Medien. Diese Angriffe können letztlich zu größeren Datenverletzungen führen. Falsch konfigurierte Webkomponenten - einfache Konfigurationsfehler können Webserver und Datenbanken für Hacker angreifbar machen.
- einfache Konfigurationsfehler können Webserver und Datenbanken für Hacker angreifbar machen. Software-Schwachstellen - Fehler im Software-Code können Datenbanken, Webserver und andere Software anfällig für Angriffe machen. Oft werden Software-Schwachstellen zusammen mit anderen Angriffsvektoren wie Phishing genutzt, um Malware wie Ransomware zu installieren. Dies führt dann zu größeren Datenverstößen.
- Fehler im Software-Code können Datenbanken, Webserver und andere Software anfällig für Angriffe machen. Oft werden Software-Schwachstellen zusammen mit anderen Angriffsvektoren wie Phishing genutzt, um Malware wie Ransomware zu installieren. Dies führt dann zu größeren Datenverstößen. Malware-Infektion - alle oben genannten Techniken und Taktiken können zu einer Malware-Infektion führen. So kann Malware beispielsweise dazu führen, dass Daten an einen Cyberkriminellen weitergegeben werden, der sie auf einem Dark-Web-Marktplatz zum Verkauf anbietet. Oder sie kann zu einer Ransomware-Infektion führen. Ransomware stiehlt häufig Daten, bevor sie sie verschlüsselt und versucht, sie zu erpressen.
- alle oben genannten Techniken und Taktiken können zu einer Malware-Infektion führen. So kann Malware beispielsweise dazu führen, dass Daten an einen Cyberkriminellen weitergegeben werden, der sie auf einem Dark-Web-Marktplatz zum Verkauf anbietet. Oder sie kann zu einer Ransomware-Infektion führen. Ransomware stiehlt häufig Daten, bevor sie sie verschlüsselt und versucht, sie zu erpressen. Unbeabsichtigte Datenschutzverletzungen - persönliche Daten sind nicht nur durch Cyberkriminelle gefährdet. Die versehentliche Offenlegung von Daten ist eine Form der Datenverletzung, die durch einfache Fehler und unbedachte Handlungen entstehen kann.
Der Bericht "The Cost of a Data Breach 2022 " von IBM hat ergeben, dass:
Die wichtigsten Angriffsvektoren, die zu Datenschutzverletzungen führen, sind gestohlene oder kompromittierte Zugangsdaten (19 % der Verletzungen), Phishing (16 % der Verletzungen) und eine falsche Konfiguration der Cloud (15 % der Verletzungen). Alle diese Vektoren können durch menschliches Versagen ausgelöst werden, wenn beispielsweise ein Mitarbeiter nicht merkt, dass er gephisht wird, und auf einen bösartigen Link klickt, der zu gestohlenen Anmeldedaten führt.
Ähnliche Zahlen stammen aus dem Verizon Data Breach Investigation Report für das Jahr 2022:
82 % der Sicherheitsverletzungen gehen auf einen Menschen zurück, der zum Beispiel irgendwann auf einen Phishing-Link klickt.
62 % der Datenschutzverletzungen betreffen Anbieter in der Lieferkette. Auch hier setzten die Angreifer Social-Engineering-Taktiken ein, um Drittanbieter ins Visier zu nehmen und Unternehmen weiter oben in der Kette anzugreifen.
Der Schaden, den Hacker anrichten können
Betrüger nutzen personenbezogene Daten, um eine Vielzahl von Cyberdelikten zu begehen. Beispiel Identitätsdiebstahl: Die nationale Betrugsdatenbank des Vereinigten Königreichs (CIFAS) verzeichnete im ersten Halbjahr 2021 einen Anstieg des Identitätsdiebstahls um 11 %. Darüber hinaus hat CIFAS für 2022 einen noch deutlicheren Anstieg festgestellt: Die Fälle von Identitätsdiebstahl sind gegenüber 2021 um ein Drittel gestiegen.
Identitätsdiebstahl führt zu finanziellen Verlusten für Einzelpersonen und Unternehmen, die mit dem Betrüger hinter der gestohlenen Identität zu tun haben. So verlieren britische Unternehmen und Einzelpersonen jährlich rund 4 Milliarden Pfund durch Identitätsbetrug.
Der Bericht Cost of Data Breaches (Kosten von Datenschutzverletzungen) zeigt die Auswirkungen einer Datenschutzverletzung auf:
Im Jahr 2022 betrugen die durchschnittlichen Kosten einer Datenschutzverletzung 4,2 Millionen Dollar (3,8 Millionen Pfund).
Zu den Kosten einer Datenschutzverletzung gehören:
Kosten für die Behebung direkter Schäden an IT-Systemen
Reputationsschaden
Geldbußen für die Nichteinhaltung von Vorschriften
Schäden für Kunden; häufig können Datenschutzverletzungen zu Sammelklagen führen
Entlassung von Mitarbeitern und Probleme mit der Arbeitsmoral
Mögliches Durchsickern von geistigem Eigentum oder Betriebsgeheimnissen.
Was ist im Falle einer Datenpanne zu tun?
Jede Organisation, die von einer Datenschutzverletzung betroffen ist, muss einen soliden Plan zur Abmilderung der Folgen haben. Im Folgenden finden Sie einige Ideen und Tipps für den Umgang mit einer Datenschutzverletzung:
Ruhig bleiben
Eine Verletzung des Schutzes personenbezogener Daten ist geschehen: Die Bewältigung der Situation ist entscheidend für die Eindämmung des Ereignisses und die Minimierung der Auswirkungen. Bleiben Sie ruhig und bewältigen Sie die Probleme.
Bewerten Sie den Schaden
Die Untersuchung des Vorfalls ist eine zeitkritische Aufgabe. Sie müssen die Behörden informieren, wenn die Verletzung die Kriterien für eine meldepflichtige Verletzung erfüllt. Im Vereinigten Königreich beispielsweise muss das Büro des Informationsbeauftragten (ICO) innerhalb von 72 Stunden nach Aufdeckung einer Datenschutzverletzung informiert werden.
Untersuchen Sie den Vorfall
Halten Sie alle Fakten zu dem Vorfall fest, sobald Sie sie entdecken. Es ist wichtig, dass Sie die Ereignisse festhalten und den Schaden aufnehmen. Dieses Protokoll kann als Beweismittel verwendet werden, wenn der Fall vor Gericht landet.
Eindämmung des Verstoßes
Sie können eine Strategie zur Eindämmung von Sicherheitsverletzungen entwickeln, während Sie den Schaden bewerten und die Ereignisse aufzeichnen. Die Eindämmungsmaßnahmen hängen davon ab, welche Art von Vorfall aufgetreten ist. So erfordert beispielsweise ein Ransomware-Angriff mehr technische Eindämmungsmaßnahmen als eine fehlerhafte Zustellung einer E-Mail mit Kundendaten. Die Art der Maßnahmen zur Eindämmung der verschiedenen Arten von Vorfällen sollte in einer Sicherheitsrichtlinie sorgfältig dargelegt werden.
Bewerten Sie das Risiko
Beurteilen Sie, wie schädlich die Datenverletzung für die Betroffenen war. Besteht zum Beispiel das Risiko eines Identitätsdiebstahls oder könnte jemandem körperlicher Schaden drohen? Wenn Sie den Risikograd kennen, kann Ihr Unternehmen angemessen reagieren.
Reagieren Sie auf den Vorfall
Die Reaktion auf einen Cyberangriff ist vielschichtig. Dazu gehört die Bewältigung der Folgen des Verlusts personenbezogener Daten aus der Sicht der Betroffenen. Es bedeutet auch, dass Ihr Unternehmen seine Sicherheitsvorkehrungen neu bewerten muss. Prüfen Sie, wo die bestehenden Maßnahmen versagt haben. Benötigen Sie regelmäßigere Schulungen zum Thema Sicherheit? Setzen Sie die Verschlüsselung angemessen ein? Bei einer angemessenen Reaktion wird die gesamte Ereigniskette des Vorfalls betrachtet, so dass Sie die Sicherheit Ihres Unternehmens verbessern können.
Maßnahmen, die bei der Reaktion auf eine Datenpanne helfen
Eine Datenschutzverletzung kann einer Organisation unermesslichen Schaden zufügen. Wie bereits erwähnt, kann jedoch der menschliche Faktor in der Kette von Ereignissen, die zu einer Datenschutzverletzung führen, eine echte Veränderung bewirken.
Die Ergebnisse des ISACA-Berichts belegen die Wirksamkeit von Sicherheitsschulungen. Dem Bericht zufolge gaben 80 % der Unternehmen an, dass sich Sicherheitsschulungen positiv auf das Bewusstsein der Mitarbeiter auswirken.
Durch Sicherheitsschulungen der Mitarbeiter als grundlegende Maßnahme im Kampf gegen Cyberangriffe kann ein Unternehmen diese verhindern. Wenn diese Sicherheitsschulung durch Maßnahmen wie Datenverschlüsselung und robuste Authentifizierung ergänzt wird, ist die Wahrscheinlichkeit einer böswilligen oder versehentlichen Datenverletzung wesentlich geringer.
Der richtige Umgang mit Spam
Wenn Spam nicht vorab herausgefiltert wurde, ist es nötig, diesen selbst zu erkennen. Hierbei liefert nur ein versierter Umgang mit Spam-E-Mails verlässlichen Schutz. Viele Mails lassen sich bereits über ihren Betreff als Spam enttarnen: Häufig weist dieser beispielsweise auf eine Gewinnbenachrichtigung, anzügliche Inhalte oder angepriesene Sparmöglichkeiten hin. Wenn eine solche Mail durch den Spam-Filter gekommen ist, sollte sie vom User nachträglich als Spam markiert werden. Durch die Zuordnung zum Spam-Ordner kann ein Filter dazulernen und künftig derartige Mails direkt aussortieren.
Unter keinen Umständen sollten Links und Dateianhänge von verdächtigen Mails geöffnet werden. Hinter unbekannten Absendern und merkwürdig klingenden Betreffzeilen stecken häufig Spam-Inhalte.
Falls es aber dennoch einmal passieren sollte, dass Malware-Inhalte geöffnet wurden, kann nur noch ein Antivirenprogramm den Rechner schützen. Diese Software ist dafür da, bekannte Viren, Trojaner, Würmer, Spyware etc. zu erkennen. Sobald ein Schadprogramm auf einen Computer zugreifen möchte, wird dieser Vorgang vom Virenschutz-Programm geblockt. Da die Software aber nur im Vorfeld bekannte Schadprogramme identifizieren und blocken kann, bietet kein Virenschutz absolute Sicherheit. Dennoch gehört ein Antivirenprogramm zu den fundamentalen Sicherheitsmaßnahmen eines Computers.
Achten Sie auch darauf, das Betriebssystem stets mit aktuellen Updates zu versehen, um Sicherheitslücken zu schließen. Zudem ist es ratsam, die wichtigsten Daten des Rechners mit einem Backup auf einem anderen Medium zu sichern. Denn wenn das System durch Schadprogramme geschädigt wurde, hat man zumindest eine Sicherungskopie. Wer sich umfassend vor Spam-Mails und ihren Folgen schützen will, der sollte daher sowohl über einen Spam-Filter, ein Antimalware-Programm als auch ein Backup verfügen. Darüber hinaus ist Vorsicht bei der Angabe der eigenen Mailadresse und beim Öffnen verdächtiger Mails der beste Schutz.
