Internet-Sicherheit
im Reisevertrieb
Ihr Reisebüro vor Hacker-Angriffen schützen
Im Zuge der CENTOURIS Impulsveranstaltung mit dem Thema „Internet-Sicherheit im Reisevertrieb“ referierte Christine Deger von Cyberluchs GbR über die Gefahren von Cyber-Angriffen und Tipps sowie Informationen zum besseren digitalen Schutz Ihres Reisebüros.
Christine Deger
Cyber Security Expertin |
zertifizierte ethische Hackerin
M +49 170 4100837
chr.deger@cyberluchs.de
Hier finden Sie die Aufzeichnung des Vortrages und die Präsentation im PDF-Format:
Warum muss ich mein Reisebüro vor Cyber-Angriffen schützen?
Immer mehr Unternehmen sind von Hacker-Angriffen betroffen: Vor allem die mittelständischen Unternehmen geraten besonders ins Visier der Cyber-Kriminellen, da der Angriff auf diese als „Rückgrat der Wirtschaft“ hohen Schaden verursachen kann. Auch Reisebüros werden vermehrt angegriffen.
Laut einer Studie von Bitkom aus dem Jahr 2022 kommen die meisten Hacker-Angriffe aus dem Osten.[1] Durch die Angriffe sind 202 Milliarden Euro Schaden pro Jahr – allein in Deutschland – entstanden. Der Schaden entsteht vorrangig durch Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen, Erpressung mit gestohlenen oder verschlüsselten Daten sowie Datenschutzrechtlichen Maßnahmen (z. B. Information von KundInnen).[1]
Bedrohungen im Überblick
Was ist eine Ransomware?
Auch umgangssprachlich als „Erpressersoftware“ bekannt, werden bei der Infizierung des PCs wichtige und empfindliche Daten von Cyber-Kriminellen verschlüsselt oder der Computer wird gesperrt. Um zu den Daten zu gelangen, verlangen die Hacker Lösegeld.
Wie kann man sich schützen? E-Mail-Absender nach Seriosität prüfen und nicht auf Links/Buttons klicken sowie PDFs/Excel-Tabellen/Bilder herunterladen (nur in der Vorschau öffnen!)
Nutzen für die Hacker:
- Datensammlung zur Erstellung von Persönlichkeitsprofilen
- Rückschlüsse auf (Klick-)Verhalten
- Verkauf der Profile und Verwendung für Hacking-„Kampagnen“
- Erpressung und Geldforderungen – Drohung, die (sensiblen) Daten zu veröffentlichen
- Verursachung von Imageschäden
"in the age of information, ignorance is a choice." - D. Miller
Tipps für mehr Internet-Sicherheit in Ihrem Reisebüro
Die Vorbereitung
Bevor Sie sich um die Cyber-Sicherheit in Ihrem Reisebüro kümmern, ist es notwendig, ein gewisses Mindset aufzubauen: Sich bewusst machen, dass die Gefahren im Internet da sind und bei den Problemen ansetzen, die gerade präsent sind. Dabei ist es ebenso vorteilhaft, sich mit den eigenen Mitarbeitenden und den IT-Angestellten des Unternehmens auszutauschen und Schwachstellen in Ihrem Betrieb gemeinsam zu identifizieren.
Tauschen Sie sich mit Mitarbeitenden aus, recherchieren Sie im Internet über die Cyber-Gefahren, bleiben Sie über Nachrichten up-to-date. Ebenso ist es vorteilhaft, sich in dem Bereich weiterzubilden und gegebenenfalls an Webinaren über diese Thematik teilzunehmen und das Erlernte weiterzugeben. Haben Sie keine Scheu auch andere Betriebe über Ihre potentiellen Erfahrungen – falls Sie selbst von einem Hacker-Angriff betroffen waren – zu erzählen und diese zu warnen.
Sie müssen sich fragen, wo Ihre wertvollen Daten liegen und das Szenario eines potentiellen Angriffs durch denken. Wo fangen Sie in solch einem Fall an? Dabei ist es hilfreich eine „Notfallliste“ zu erstellen. Diese beinhaltet Ihre wichtigen Daten und wo sie zu finden sind. Hier ist ein solches Beispiel aufgeführt:
- Kundendaten
- Kampagnendaten
- Content Material
- Passwörter für Online Tools/Software
- Buchhaltung
- Personaldaten
- Immobilien/Büroräume
- Zugang aus der Ferne
E-Mails empfangen und versenden – Wie schütze ich mich richtig?
- E-Mail-Anhänge von Absendern, die sie nicht kennen, nicht öffnen!
- Immer den Absender genau prüfen: Auch, wenn es so scheint, dass Ihre KollegIn geschrieben hat, besser nachfragen!
- Niemals die Zugangsdaten per E-Mail senden: Besser ist es, diese auf zwei Wegen zu übermitteln, zum Beispiel den Benutzernamen per E-Mail, das Passwort über einem Messenger-Dienst oder SMS
- Nicht auf Links oder Buttons in E-Mails klicken – Prüfen, wohin der Link führt, indem man mit der Maus drüber geht und die URL identifiziert
- Nicht PDFs/Bilder oder Excel-Tabellen herunterladen, sondern diese über die Vorschau-Funktion des E-Mail-Programms kontrollieren
- Im Zweifelsfall die E-Mail löschen. Wenn die E-Mail wichtig ist, meldet sich der Absender nochmals oder über einen anderen Kommunikationsweg.
Ist Ihre E-Mail-Adresse oder Telefonnummer in die Hände von Hackern gefallen? Das können Sie unter folgenden Links einfach überprüfen:
- E-Mail-Adresse: https://sec.hpi.de/ilc/
- Telefonnummer: https://haveibeenpwned.com/
Tipp: Getrennte E-Mail-Adressen für unterschiedliche Funktionen nutzen, z. B. Einkauf, Newsletter, Anmeldung etc.
Wie verhalte ich mich sicher im Netz?
- Beim Besuch einer Webseite auf das Schlosssymbol in der URL-Leiste achten: Das bedeutet, dass die Seite verschlüsselt ist und der Webinhalt geschützt ist.
- Seiten ohne Zertifikat werden mit einer Warnung angezeigt, die Sie nicht überspringen dürfen. Hier ist es empfehlenswert, den Webseitenbetreiber über den Ablauf des Zertifikats zu informieren.
- Sie können eine Webseite über folgenden Link prüfen: https://transparencyreport.google.com/safe-browsing/search
Wie kann ich mich im Home Office vor Cyberangriffen schützen?
- Liste führen: Wer hat wann Zugriff auf meine Daten? Welche Cloud-Anbieter nutze ich und habe ich Virenscanner installiert?
- WLAN-Router: Regelmäßige Updates durchführen, WLAN-Passwort regelmäßig (einmal im Jahr) ändern sowie den WLAN-Router alle drei Jahre austauschen
- VPN-Zugriff auf Unternehmensdaten ermöglichen
- Virenscanner und Firewall konfigurieren und aktuell halten
- Regelmäßige Datensicherung an mehreren Orten, davon eine offline auf einer externen Festplatte
- Rücksicherung der Daten testen
- Drucker, Kopierer sowie andere Geräte mit Updates versorgen und ihren Zugang kontrollieren
- Kontakt zum Provider – Wer ist mein Ansprechpartner?
- Welche vertragliche Vereinbarung gibt es für den Fall eines Sicherheitsvorfalls
Sie möchten herausfinden, welche öffentliche IP-Adresse Sie haben? https://www.wieistmeineip.de/
Wie sicher ist Ihre E-Mail-Domain? https://www.checktls.com/
Tipps für Nutzende
- In Apps die 2-Faktor-Authentisierung einrichten
- Ein Passworttool verwenden, um die Passwörter sicher zu verwahren
- Starke Passwörter erstellen. Dabei gilt es, keine Wörter aus dem Wörterbuch oder reine Zahlenkombinationen zu verwenden. Besser ist es, eine Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zu nutzen. Je länger das Passwort, desto sicherer ist es.
- Keine persönlichen Zugangsdaten und Passwörter weitergeben
- Trennung von Unternehmens- und privaten Daten: Keine Spiele auf den Firmenrechner herunterladen und kein Online-Banking über den Unternehmensrechner durchführen
FAQ
Die Wahrscheinlichkeit beträgt 80 % mit steigender Tendenz. Durch politische Situationen, wie zum Beispiel Krieg, oder das Vertrauen zu großen Unternehmen wie Microsoft und Google führt dazu, dass man als „Kollateralschaden“ Opfer von Cyberangriffen wird und man keinen/ geringen Einfluss auf Hackerangriffe hat.
Phishing-E-Mails werden sprachlich aufgewertet, sodass diese täuschend echt wirken. Auch ist es möglich, in ChatGPT einen Programmcode zu generieren. Hier kann dieser für eine gewisse Zielgruppe optimiert werden.
Ja, VPN ist sicher, da man sich in diesem geschützten VPN-Tunnel im öffentlichen WLAN bewegt.
Auch die Vereinbarung mit einem Cloud-Anbieter muss geprüft und/ oder gesichert werden. Grundsätzlich wird durch die Verwendung der Cloud nur der Ablageort geändert. Um sicher zu gehen, dass die eigenen Daten in der Cloud geschützt sind, ist es notwendig, den Vertrag des Cloud-Anbieters zu prüfen. Hier unterscheidet man zwischen Public Cloud und Private Cloud. Zweiteres ist hier viel sicherer, da die Daten vollständig nur von einem Unternehmen kontrolliert und nicht von anderen Unternehmen genutzt werden.
Eine 2F-Authentisierung ist die sicherste Methode. Ab einer Anzahl von fünf Mitarbeitenden ist es sinnvoll, ein eigenes Passworttool im eigenen Unternehmen zu etablieren. Auch gibt es Passwortmanagementtools, die bereits in einigen Virenscannern integriert sind und eine hohe Sicherheit bieten.
Als Passwortmanagementtool eignet sich 1Password und als Virenscanner F-Secure, welches ebenso ein Passwortverwaltungsmodul beinhaltet.
Wenn sich die Ransomware nicht bemerkbar macht, sollte vor dem Kopieren ein Virenscan erfolgen. Im gegenteiligen Fall werden die Daten verschlüsselt angezeigt. Grundsätzlich sollte prophylaktisch in einem gewissen Turnus (zum Beispiel vier Monate) eine Datensicherung an mehreren Orten erfolgen.
Bei der 2-Faktor-Authentisierung gibt es – zum Benutzernamen und dem Passwort – einen zusätzlichen Faktor: Meist ist es ein Zahlencode, den man über ein weiteres Gerät (zum Beispiel Smartphone) erhält. Dieser Code kann per SMS oder über eine Authenticator-App übermittelt werden. Der Schutz wird hier gewährleistet, da der Zahlencode nur wenige Sekunden zu sehen ist und sich in einem gewissen Turnus ändert (App) oder nach einer gewissen Zeit abläuft (SMS).
Öffnet man die E-Mail, so ist noch von keiner Gefahr zu sprechen. Sobald Sie jedoch Links oder Buttons in der E-Mail anklicken oder PDFs/Bilder/Excel-Listen herunterladen, wird der Computer mit Viren infiziert.
Tipp: Den „Vorschau“-Modus in Ihrer E-Mail-Software aktivieren und über Buttons/Links in der E-Mail drüberfahren, sodass man die URL identifizieren kann.
Über den Identify Leak Checker vom Hasso-Plattner-Institut können Sie prüfen, ob eine E-Mail-Adresse missbraucht wurde. Falls Sie sich unsicher sind, ob die E-Mail-Adresse einem Kunden/einer Kundin zugeordnet werden kann, so fordern Sie ein Telefonat und eine Identifikation bei dieser Person an.
Relevant ist das insbesondere für große Unternehmen, da dort Daten über Proxy-Server protokolliert werden, die potentiell von Hackern angegriffen werden können. Grundsätzlich gilt: Private Tätigkeiten, wie Online-Banking, getrennt über die privaten Geräte durchführen.
Haben Sie schon den Beitrag über unsere Impulsveranstaltung vom Verband Internet Reisevertrieb (VIR) gesehen?
Das letzte Webinar verpasst?
Kein Problem! Hier finden Sie Informationen über unsere letzte Impulsveranstaltung "Digitales Recruiting im stationären Reisevertrieb". Hier gibt es Informationen über Herausforderungen und Lösungsansätze bei der Anwerbung von Fachkräften im Reisevertriebssektor.
Lust auf mehr? Damit Sie keine Veranstaltung mehr verpassen, folgen Sie uns auf Facebook und LinkedIn oder Abonnieren Sie unseren Newsletter!
[1] Bitkom Studie „Wirtschaftsschutz 2022“, 31.08.2022, aufrufbar unter https://www.bitkom.org/sites/main/files/2022-08/Bitkom-Charts_Wirtschaftsschutz_Cybercrime_31.08.2022.pdf
Die Größten Gefahren im Internet: ENISA/ BITKOM, aufrufbar unter IT-Sicherheit: Unternehmen und Daten schützen – architektur-online : architektur-online