Cyberattacke & Cyberangriff:
So können Sie sich wehren
Wir erklären, wie sich Vereine und Verbände gegen Cyberattacken schützen können und wie wir im Fall der Fälle helfen.
18.11.2024 • 6 min Lesezeit
Was versteht man unter einer Cyberattacke oder einem Cyberangriff?
Cyberattacken sind digitale Angriffe – schädliche Aktionen mit dem Ziel Daten zu stehlen, Systeme zu zerstören, wichtige Infrastrukturen zu schädigen oder sogar Geld zu erpressen. Cyberattacken können großen finanziellen Schaden anrichten. Dabei richten sich die Angriffe längst nicht mehr nur gegen große Konzerne, sondern gefährden auch Vereine und Verbände.
Welche Arten von Cyberangriffen gibt es?
Werfen wir einen Blick auf die häufigsten Cyberangriffe. Die wohl bekannteste Art ist das Phishing. Dabei werden gefälschte E-Mails verschickt, die darauf abzielen, dass die Empfänger sensible Daten preisgeben oder schädliche Links anklicken. So wollen die Angreifer beispielsweise an fremde Zugangsdaten fürs Online-Banking kommen, um das Konto zu plündern. Sie geben sich als die Hausbank des Empfängers aus und bitten ihn, einen Link anzuklicken, um seine Daten zu aktualisieren. Kommt der Nutzer dieser Aufforderung nach, landet er auf einer Seite, die täuschend echt nachgebildet ist. Dort soll man dann die eigenen Login-Daten angeben – mit fatalen Folgen.
Ein weiterer verbreiteter Angriffstyp ist die Ransomware. Diese Art von Malware verschlüsselt wichtige Dateien auf dem Zielcomputer und verlangt ein Lösegeld für deren Freigabe. Das kann Ihren Verein oder Verband komplett lahmlegen und den Betrieb für Tage oder gar Wochen unterbrechen.
DDoS-Attacken (Distributed Denial of Service) zielen darauf ab, Ihre Webdienste unzugänglich zu machen. Dabei wird Ihr Server mit einer Flut von Anfragen überlastet, um den normalen Betrieb zu verhindern. Zum Beispiel können so Online-Shops lahmgelegt werden, was zu Umsatzeinbußen und einer beschädigten Kundenwahrnehmung führt.
Zuletzt ist auch allgemeine Malware eine ständige Bedrohung. Diese Programme dringen unbemerkt in Systeme ein und richten dort Schaden an, sei es durch Datenklau oder die Installation weiterer schädlicher Software.
Das funktioniert so: Sie erhalten eine E-Mail, die scheinbar von einem vertrauenswürdigen Absender stammt. Die E-Mail enthält eine angehängte Datei, welche beispielweise als wichtige Rechnung gekennzeichnet ist. Wenn Sie diese Datei öffnen, laden Sie die Schadsoftware herunter. Diese beginnt dann, systematisch beispielsweise sensible Mitgliederdaten zu sammeln, einschließlich finanzieller und persönlicher Infos.
Hackerangriff und andere Cyberattacken: Wer steckt dahinter?
Hinter Cyberangriffen können sowohl Einzelpersonen als auch ganze Gruppen stehen. In den meisten Fällen handelt es sich um gut strukturierte kriminelle Organisationen. Ihr Hauptziel ist es, finanzielle Gewinne zu erzielen, indem sie Bankdaten oder Identitäten stehlen oder Lösegeld erpressen.
Cybersicherheit: Schwachstellen identifizieren und Cyberangriffe vermeiden
Angesichts der steigenden Gefahr – beispielsweise durch den Einsatz von künstlicher Intelligenz – sollte sich jeder Verein mit dem Thema IT-Sicherheit auseinandersetzen und entsprechend investieren. Nun fragen Sie sich sicher: Wie kann ich meinen Verein oder Verband vor Cyberangriffen schützen?
Zunächst gilt es, Cyberrisiken zu identifizieren und mögliche Schwachstellen aufzudecken, um entsprechende Präventivmaßnahmen zu planen. Dazu muss die IT-Infrastruktur analysiert werden: Netzwerke, Server, Endgeräte und Softwareanwendungen. Besonderes Augenmerk sollte dabei auf Systeme gelegt werden, die sensible Daten verarbeiten oder speichern, da diese häufig Ziel von Angriffen sind.
Die Identifikation von Schwachstellen kann durch automatisierte Tools erfolgen, die das Netzwerk scannen und bekannte Sicherheitslücken aufdecken. Zusätzlich kann es sinnvoll sein, regelmäßige Tests durchzuführen, bei denen Sicherheitsexperten versuchen, in das System einzudringen, um Sicherheitslücken aufzudecken, die von automatisierten Tools möglicherweise übersehen werden.
Auf Basis der erkannten Schwachstellen wird ein Sicherheitsplan entwickelt. Dieser muss individuell auf die Risiken zugeschnitten sein und klare Richtlinien für das Vorgehen bei Angriffen beinhalten.
Cybersicherheit erhöhen durch Schulung der Mitarbeiter und Funktionäre
Ein oft übersehener, aber wichtiger Aspekt der Cybersicherheit ist die Schulung der Mitarbeiter und Funktionäre. Menschen sind oft das schwächste Glied in der Sicherheitskette und viele Cyberangriffe beginnen mit einem einfachen Phishing-Versuch. Regelmäßige Kurse und Fortbildungen können tatsächlich dazu führen, das Risiko von Cyberattacken zu reduzieren. Das Bewusstsein für die Arten von Cyberangriffen wird geschärft, Ihr Team lernt, wie es Angriffe erkennen und darauf reagieren kann. Idealerweise sollten diese Schulungen auf allen Ebenen der Organisation stattfinden und regelmäßig aktualisiert werden, weil es immer wieder zu neuen und komplexeren Bedrohungen kommt.
So schützen Vereine sich am besten vor Phishing
Viele Sportvereine und Sportverbände nutzen das Online-Banking für ihre Bankgeschäfte. Eigentlich sind die Abläufe und Risiken aus dem privaten Bereich bekannt, aber dennoch kann passieren, was nicht geschehen sollte: Man verrät einem Fremden einen Freischaltcode.
Ein Fall aus der Praxis
Als sich ein angeblicher Bankmitarbeiter bei einem Vereinskassierer telefonisch meldete und ihn aufforderte, ihm den Freischaltcode für die Secure App auf seinem Mobiltelefon zu nennen, tat er dies. Einige Tage später fehlten 10.000 Euro auf dem Vereinskonto. Der Betrag war auf ein fremdes Konto transferiert worden.
Allein durch die Bekanntgabe des Freischaltcodes war der Transfer des Geldes nicht möglich. Der angebliche Bankmitarbeiter war zudem in den Besitz der Onlinezugangsdaten für das Vereinskonto gekommen. Betrüger benutzen E-Mails, SMS und gefälschte Internetseiten, um an vertrauliche Informationen für den Missbrauch von Online-Konten zu gelangen. Fingierte Bankhomepages oder die Nutzung von Schadsoftware (Viren/Trojaner) dienen betrügerischen Zwecken.
Sollten Sie von einem Berater Ihrer Bank nach sensiblen Daten gefragt werden, sagen Sie dem Anrufer einen Rückruf zu und beenden Sie das Gespräch. Rufen Sie bei Ihrer Bank an, um zu verifizieren, ob Ihr Bankberater Sie tatsächlich angerufen hatte.
- Denken Sie daran, dass Banken Sie niemals weder telefonisch noch schriftlich auffordern, Ihre Authentifikationsdaten preiszugeben. Daher nennen Sie niemals Ihre Anmeldedaten, Ihr Passwort, Freischaltcodes oder Ihre persönliche Daten.
- Aktualisierungen oder Umstellungen erfolgen durch die Bank weder per SMS, E-Mail noch telefonisch.
- Folgen Sie nicht der telefonischen Aufforderung angeblicher Bankmitarbeiter, die Software oder Bankdaten zu aktualisieren.
- Führen Sie während des Telefonats mit einem angeblichen Bankmitarbeiter keine Online-Überweisung durch.
- Folgen Sie nicht der telefonischen Aufforderung, Daten zu ergänzen oder abzugleichen.
- Schauen Sie sich in Ruhe E-Mails an, die scheinbar von vertrauten Absendern stammen. Enthalten diese Rechtschreibfehler oder ausländische Sonderzeichen, ist dies häufig ein Hinweis auf einen Phishing-Versuch.
Fazit: Gehen Sie sensibel mit den Bankdaten Ihres Vereins oder Verbands um.
Hacker verlangt Lösegeld? So reagieren Sie auf einen Cyberangriff
Ihr Verein oder Verband ist Opfer eines Cyberangriffs geworden? Keine Panik! Bleiben Sie ruhig und handeln Sie strukturiert. Im Folgenden haben wir für Sie die wichtigsten Schritte zusammengestellt, die Sie im Falle eine Cyberattacke ergreifen sollten:
Schritt 1
Informieren Sie sofort relevante Personen: In Ihrem Verein sollten der Vorstand und die mit der IT befassten Personen Bescheid wissen.
Schritt 2
Holen Sie sich professionelle Hilfe von externen Sicherheitsexperten, die auf die Bekämpfung von Cyberangriffen spezialisiert sind.
Schritt 3
Finden Sie den Ursprung („Patient Zero“). Welches System war als erstes betroffen? Hier müssen Sie ansetzen, um den Angriff zu stoppen.
Schritt 4
Sichern Sie alle wichtigen Informationen wie Systemprotokolle, Log-Dateien und Screenshots. Halten Sie alle Ereignisse, Maßnahmen und Beobachtungen schriftlich fest. All das ist wichtig für eine spätere Analyse und mögliche rechtliche Schritte.
Schritt 5
Informieren Sie Behörden wie das Landeskriminalamt oder das Bundesamt für Verfassungsschutz, insbesondere wenn Sie vermuten, dass der Angriff von einem staatsfeindlichen Akteur ausgeht.
Schritt 6
Kommen Sie Ihren Meldepflichten bei Datenschutzverletzungen oder Angriffen auf kritische Infrastrukturen nach.
„Sofern Sie als Verein trotz aller Vorsichtsmaßnahmen Opfer eines Cyber-Angriffs werden, sollten Sie eine Strafanzeige bei der Polizei stellen. Dies gilt gerade dann, wenn Sie erpresst werden. Dabei wenden Sie sich am besten an die Zentralen Ansprechstellen Cybercrime der Länder und des Bundes.
Vor allem sollten Sie auf keinen Fall das geforderte Lösegeld zahlen. Denn Sie wissen nicht, ob die Erpresser dann wirklich den Zugriff auf die eigenen Daten ermöglichen. Oft ist das nicht der Fall. Darüber hinaus sollte bedacht werden, dass es sich hier um ein lukratives Geschäftsmodell von Kriminellen handelt. Es funktioniert nur, wenn man sich schnell einschüchtern lässt, weil man Angst um seinen guten Ruf hat. Verständlich, denn Sie möchten sich gegenüber der Öffentlichkeit und Ihren Mitgliedern nicht die Blöße geben, dass Cyberkriminelle Ihr System geknackt haben. Genau diese Sichtweise ist jedoch falsch.
Bei einer Strafanzeige besteht die Möglichkeit, dass die Täter gefasst werden. Hierbei handelt es sich keinesfalls um ein Kavaliersdelikt. Vielmehr müssen diese mit einer mehrjährigen Gefängnisstrafe rechnen. Eine Bestrafung kommt vor allem wegen Erpressung, Datenveränderung sowie Computersabotage infrage. Wie für alle Lebensbereiche gilt aber auch hier: Im Fall der Fälle hilft letztlich eine gute Versicherung, zum Beispiel eine spezielle Cyberversicherung für Vereine."
Das könnte Sie auch interessieren