Immer wieder werde ich gefragt, was es mit den Cookies auf Internetseiten auf sich hat. Viele Menschen haben Bedenken, was mit Ihren Daten passiert, wenn sie die Cookies akzeptieren.
Deshalb habe ich dieses Thema einmal aufgegriffen und möchte mit Ihnen eine kleine „kulinarische“ Reise in die Welt der Cookies unternehmen – auf geht´s!
Woher haben Cookies eigentlich Ihren Namen?
Kennen Sie die chinesischen Glückskekse, die mit einer Botschaft gefüllte sind? Diese Fortune Cookies standen wahrscheinlich Pate bei der Namensfindung für die Magic Cookies, die wir heute als kleine Datenelemente auf Webseiten kennen, die im Browser gespeichert werden. Als 1994 Lou Montulli das Web Cookie erfand, wurde dieser Begriff geprägt.
Und was sind Cookies?
Das Wichtigste vorweg: Mit dem Akzeptieren der Cookies wird keine Plätzchen-Bestellung ausgelöst, obwohl die Idee eigentlich ganz verlockend klingt, aber mit der Zeit sicher seine Spuren auf meinen Hüften hinterlassen würde. Nein, Cookies sind kleine Datenpakete, die beim Aufrufen einer Webseite gespeichert werden, um das Nutzungsverhalten zu dokumentieren. Entwickelt wurden sie ursprünglich, um Daten zu speichern, damit man diese beim wiederholten Besuch der Webseite nicht noch einmal eingeben muss.
Welchen Zweck haben Cookies?
Cookies dienen in erster Linie der Optimierung von Internetseiten und lassen sich grundsätzlich in technisch notwendige und technisch nicht notwendige Varianten unterscheiden. Ziel des Ganzen ist z. B. passende Werbung im Internet zu schalten oder den Traffic auf einer bestimmten Webseite zu analysieren.
Welche Arten von Cookies gibt es?
Unbedingt notwendige Cookies:
Wie der Name schon sagt, sind diese Cookies für das Ausführen spezifischer Funktionen einer Internetseite unbedingt erforderlich. Die so gespeicherten Daten werden ausschließlich an die gerade besuchte Website gesendet.
Beispielsweise werden solche Cookies genutzt, um den Warenkorb auf einer Shopping-Seite zu sichern, auch wenn der User auf dieser oder einer anderen Seite surft, bevor er zur Kasse geht.
Die Nutzung von notwendigen Cookies erfordert keine Einwilligung des Users. Diese können auch nicht aktiviert oder deaktiviert werden. Es gibt allerdings immer die Möglichkeit im Browser grundsätzlich Cookies zu deaktivieren.
Funktionale Cookies:
Funktionscookies sind nicht unbedingt erforderlich, sie dienen der Benutzerfreundlichkeit. Die so gespeicherten Daten bieten verbesserte und personalisierte Funktionen. Aber keine Angst, hier werden alle gesammelten Informationen anonymisiert.
Diese einwilligungspflichtigen Cookies können jederzeit in den Einstellungen aktiviert bzw. deaktiviert werden.
Zum Beispiel kann der Standort gespeichert werden, die Sprache oder andere Informationen, die bei einem erneuten Besuch der Webseite wichtig sein können.
Performance Cookies:
Hierbei geht es darum, die Hauptinteressen eines Nutzers zu ermitteln. Diese Leistungs-Cookies sammeln also Informationen über das Nutzerverhalten auf der Website, z. B. wie lange und mit welcher Häufigkeit Unterseiten aufgerufen werden oder in welcher Reihenfolgen die Seiten besucht werden. Auch die Suchbegriffe, die zur Website geführt haben, werden erfasst, genau so wie die Region, aus der der Zugriff erfolgte. Aber auch hier kann ich Ihre Bedenken zerstreuen: Es werden keine persönlichen Daten, wie z. B. die IP-Adresse, die eine Rückverfolgung möglich machen würde, gespeichert. Da auch die Performance-Cookies zustimmungspflichtig sind, kann deren Verwendung jederzeit widersprochen werden.
Marketing Cookies:
Die Informationen, die diese Werbe- bzw. Targeting-Cookies sammeln, werden dazu genutzt, genau die Werbeanzeigen einzublenden, die auf die Interessen des jeweiligen Nutzers abgestimmt sind. Der Einsatz dieser Cookies ist Ihnen bestimmt schon einmal begegnet z. B., nachdem Sie einen Online-Shop besucht haben. Denn anschließend erscheinen Werbeanzeigen dieses Shops auch auf Webseiten, die sie später besuchen.
Sind Cookies gefährlich?
Diese Frage lässt sich nicht ganz eindeutig beantworten. Wie überall, ist es auch hier ratsam die Webseite, die die Cookies speichert, kritisch zu hinterfragen.
Ich würde Ihnen raten, zumindest teilweise, nicht alle Cookies einfach zu akzeptieren. Vertrauen Sie auf Ihr Bauchgefühl: Fühlen Sie sich auf der Internetseite nicht sicher, hinterlassen Sie keine Daten.
Doch eines ist sicher: Cookies können keine sensiblen Daten ermitteln, wie beispielsweise Ihre E-Mail-Adresse. Deshalb gilt auch hier, wie generell überall: Achten Sie auf Ihre Daten und geben Sie diese nur weiter, wenn es sich um eine vertrauenswürdige Seite handelt. Besonders an öffentlichen Rechnern sollten sie vorsichtig sein, denn lokal gespeicherte Daten sind für jeden späteren Nutzer zugänglich.
Das so genannte „Recht auf Vergessenwerden“
Artikel 17 der DSGVO räumt jedem Nutzer das Recht auf Löschung seiner persönlichen Daten und Einstellungen ein. Dies ist relativ unkompliziert, variiert jedoch je nach Browser.
Na, das war mal ein anständiger Schreck in der Morgenstunde! Ich hab mich heute Morgen mit einer dampfenden Tasse Kaffee an meinen Laptop gesetzt und wie immer als erstes das E-Mail-Programm gestartet. Was ich dann gelesen habe, hat mich so erschreckt, dass ich fast meinen Kaffee umgeworfen hätte:
Erpresser-E-Mail
Was ist das???
Tja, das war relativ schnell klar: Eine Erpresser-Mail! Mit allem “drum und dran”:
Meine Website wurde gehackt: Es gab angeblich ein Sicherheitsleck, das die Kriminellen erkannt haben und nun für ihr Dienste nutzen.
Meine Daten wurden extrahiert und auf einen Offshore-Server verschoben.
Eine einschüchternde Drohung:
Meine Daten werden an den Höchstbietenden verkauft.
Meine Kunden werden darüber informiert, dass ihre Daten durch meine Schuld in falsche Hände geraten sind.
Mein Ruf wird mit allen zur Verfügung stehenden Mitteln ruiniert.
Eine fette Geldforderung: 3.500$ in Bitcoins! (Freundlicherweise haben die Kriminellen mir auch direkt mitgeteilt, wie ich Bitcoins erwerben kann.)
Ein kurzes Zeitfenster: Innerhalb von 72 Stunden muss die Forderung bei den Kriminellen eingegangen sein. (Ordentlich Druck ausüben, damit wenig Zeit zum Überlegen bleibt!)
Ansonsten: Startet der Angriff wie angedroht und man wird meine Reputation zerstören.
Ein Versprechen: Falls ich zahle, wird der Vorgang gestoppt und ich werde nie wieder etwas von diesen Typen hören. (Echt nett, danke!)
Was nun???
Abwarten und Kaffee trinken, würde ich sagen. Nachdem der erste Schreck sich gelegt hat, habe ich mir die ganze Sache mal etwas genauer angeschaut.
Erstmal checken, ob die Website wirklich gehackt wurde (kann ja nicht schaden). Check! Alles läuft problemlos wie immer!
Alle Sicherheitsvorkehrungen überprüfen. Check! Das wäre ja auch ein Ding, wenn in einem Digitalisierungsunternehmen, das Tipps zu Cyber-Security gibt, ein so immenses Sicherheitsleck auftauchen würde, oder?
Und bei genauerem Hinsehen und ein bisschen Recherche war relativ schnell klar: Alles nur fake!
Was können sie tun?
Leider kann man sich nicht generell vor solchen Mails schützen, man kann jedoch den Umgang damit lernen. Ein ganz wichtiger Punkt: Auf keinen Fall zahlen!!! Am besten die Mail ignorieren und als Spam markieren. Sind sie dennoch unsicher, können sie ihre Website von einem Spezialisten überprüfen lassen und sich mit der Polizei in Verbindung setzen.
Falls sie bereits die geforderte Summe gezahlt haben, sollten sie sich bei der Polizei melden und Strafanzeige erstatten.
Ich hoffe, wir konnten Ihnen helfen, damit sie nicht auch ein solcher Schreck in der Morgenstunde ereilt.
Bei meiner Recherche für die Blog-Artikel beginne ich meist mit der Definition der Fachbegriffe und ihrer Herkunft. Besonders das Kunstwort “Phishing” hat diesmal mein Interesse geweckt. Es ist ein Begriff, der sich bei Diskussionen zum Thema Cyber-Security still und heimlich eingenistet hat. Deshalb habe ich mich einmal auf die Suche nach seiner Herkunft gemacht. Dieser englische Begriff setzt sich aus password harvesting (Passwörter ernten) und fishing (Fischen) zusammen und steht somit für das Fischen nach Passwörtern mit einem Köder.
Okay, die Idee, die dahintersteckt ist klar: Cyber-Kriminelle versuchen mithilfe eines Köders meine Passwörter zu ergattern. Der Köder hierbei ist meist eine E-Mail.
Doch nun drängt sich sofort eine weitere Frage auf:
Wie erkenne ich Phishing-Mails?
Erhält die eingegangene E-Mail eines oder gleich mehrere dieser Merkmale, handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail:
Anrede und Sprache: Meist fehlt eine persönliche Ansprache und der Text der E-Mail ist angefüllt mit Rechtschreibfehlern. Häufig erkennen sie eine Phishing-Mail auch an der Sprache: Nimmt eine Organisation immer in deutsch Kontakt zu ihnen auf, erscheint es doch ungewöhnlich, wenn die E-Mail plötzlich in Englisch oder Französisch verfasst ist.
E-Mail-Adresse: Kennen sie den Absender? Eventuell können sie die Adresse anhand vorheriger Kontakte überprüfen. Haben sie diese Möglichkeit nicht, sollten sie beim Absender telefonisch nachfragen, ob diese E-Mail tatsächlich auch vom angezeigten Absender stammt.
Handlungsbedarf wird vorgetäuscht: Werden sie dazu aufgefordert dringend etwas zu unternehmen, sollte sie das ebenfalls stutzig machen.
Drohungen werden ausgesprochen: Kommt diese Handlungsaufforderung dann auch noch gepaart mit einer Drohung um die Ecke, wie z. B. dem Sperren ihres Kontos oder dem Einleiten eines Inkassoverfahrens, ist äußerste Vorsicht geboten.
Links: Der Aufforderung, eine Datei zu öffnen, die entweder als Anhang der E-Mail direkt beigefügt ist oder über einen Link zum Download bereitsteht, sollten Sie auf keinen Fall nachkommen. Diese leiten Sie zu gefälschten Webseiten weiter, auf denen sie dann aufgefordert werden, ihre Daten und Passwörter einzugeben oder sie laden sich eine Ransomware direkt auf ihr Gerät.
Was können Sie tun, falls sie Daten weitergeben haben?
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste* herausgeben, die im Ernstfall weiterhilft:
Haben sie Zahlungsdaten weitergegeben?
Informieren sie Ihre Bank und sperren Sie Ihr Bankkonto
Kontrollieren sie die Umsätze auf Ihrem Bankkonto
Vergeben sie neue Passwörter und PINs
Haben sie Zugangsdaten zu anderen Konten weitergeben (z.B. Online-Shops)?
Generieren sie ein neues Passwort (Hilfe hierzu finden sie in unserem Blog-Beitrag: Ändere-dein-Passwort-Tag )
Kontaktieren sie den Anbieter
Sind auch Zahlungsdaten betroffen? Dann sollten sie die o. g. Schritte durchführen.
Haben sie Zugangsdaten zu Ihrem E-Mail-Konto weitergegeben?
In diesem Fall sollten sie schnellstmöglich ein neues Passwort vergeben.
Möglicherweise können hiervon auch andere Online-Dienste betroffen sein, deshalb sollen sie auch die Anmeldedaten anderer Online-Dienste neu generieren.
Haben sie auf einen Link geklickt und anschließend eine Geldforderungen erhalten:
Sie sollten auf keine Fall Geld an Kriminelle zahlen.
Erhalten sie Geldforderungen Unbekannter, wenden sie sich an die Polizei, die Verbraucherzentrale oder suchen sie Rat bei einem Rechtsbeistand.
Haben sie den Verdacht, dass Ihre Daten abgeschöpft wurden?
Auch wenn es sich nur um einen vagen Verdacht handelt: Erstatten sie in jedem Fall Anzeige bei Ihrer örtlichen Polizeidienststelle, denn als Opfer von Internetkriminalität haben sie die gleichen Rechte wie Opfer anderer Straftaten.
Das Thema Cyber-Security liegt uns sehr am Herzen. Denn oft werden wir unverschuldet zu Opfern.
Deshalb ist es uns eine Herzensangelegenheit so viel Aufklärung wie möglich zu betreiben und Tipps zusammenzutragen, die sie vor solchen Angriffen schützen.
Der Schutz vor Cybercrime ist ein Thema, das mir persönlich sehr am Herzen liegt, denn in unserer täglichen Arbeit als Digitalisierungsberater sehen wir immer wieder, wie unbescholtene Unternehmen Opfer von Cyberangriffen werden. Es kann jeden treffen, vom aktiennotierten Großkonzern bis zum kleinen Ein-Mann-Handwerksbetrieb, denn jedes Unternehmen, das Kundendaten und Know-how speichert, ist ein potentiell interessantes Opfer für derartige Angriffe.
In unseren Blogbeiträgen “Diebstahl digitaler Identitäten” und “Cyber-Security” haben wir bereits einige wertvolle Tipps zusammengestellt, die Ihnen dabei helfen, Ihre Sicherheit im Web zu erhöhen. Den heutigen “Ändere-dein-Passwort-Tag” möchten wir noch einmal dazu nutzen, auf den Sicherheitsaspekt “Passwort” aufmerksam zu machen. Allzu oft nehmen wir es mit der Vergabe von Passwörtern nicht so genau: schnell wird das Geburtsdatum eingegeben, eine aufeinander folgende Tastenkombination auf der Tastatur oder einfach 0000.
Eine der einfachsten und wichtigsten Maßnahmen
Dabei ist das Vergeben von sicheren und starken Passwörtern sowie das regelmäßige Ändern dieser Daten eine der einfachsten und gleichzeitig wichtigsten Maßnahmen, um die Online-Sicherheit zu erhöhen.
Damit dies nicht in Vergessenheit gerät bzw. im Alltagstrubel untergeht, wurde der 1. Februar zum “Ändere-dein-Passwort-Tag” ernannt.
Nutzen Sie die Gelegenheit
Ein solcher Tag ist eine gute Gelegenheit, sicherzustellen, dass all ihre Passwörter aktuell und sicher sind, denn Cyber-Kriminelle sind immer auf der Suche nach neuen Möglichkeiten, um an ihre wertvollen Daten zu gelangen – und ein starkes Passwort ist der erste Schritt für eine perfekte Verteidigung.
Grundregeln für die Vergabe von Passwörtern:
1. Starke Passwörter verwenden:
Viele User schrecken davor zurück, ein willkürliches Passwort zu vergeben, da sie befürchten, dass es schnell in Vergessenheit gerät. Hier haben wir einen Tipp für sie:
Probieren Sie doch einfach mal die “Merksatz-Methode” aus:
Überlegen Sie sich einen Satz oder einen Spruch, den sie sich gut merken können und verwenden sie für das Passwort die Anfangsbuchstaben und Satzzeichen.
Beispiel: Am Sonntag kaufe ich immer 10 Brötchen und 2 Stücke Kuchen: Nusstorte und Schokoladenkuchen!
Hieraus ergibt sich das sichere Passwort: ASkii10Bu2SK:NuS!
Starke Passwörter (12 bis 15 Zeichen) sollten nicht aus zusammenhängenden Wörtern bestehen oder bekannte Informationen (z. B. Geburtsdaten, Namen) enthalten.
2. Vermeiden sie Mehrfachverwendungen:
Sie sollten unbedingt darauf achten, nicht dasselbe Passwort für mehrere Konten zu verwenden. Auch wenn es auf den ersten Blick verführerisch erscheint, dass man sich nur ein Passwort merken muss, sollte man folgendes bedenken: Wird ein Passwort gestohlen, sind alle Konten gleichermaßen gefährdet. Eine praktische Hilfe bietet hier der …
3. Passwort-Manager:
Er hilft ihnen dabei, starke Passwörter zu generieren und speichert diese verschlüsselt und geschützt.
4. Halten sie ihre Passwörter aktuell:
Ein weiterer wichtiger Punkt ist das Aktualisieren der Passwörter. In einem Abstand von drei bis sechs Monaten sollten sie Ihre Passwörter ändern. Erhalten Sie eine Meldung über ungewöhnliche Aktivitäten auf einem ihrer Konten oder vermuten Sie eine Unregelmäßigkeit, sollten Sie sofort reagieren.
5. Absolute Geheimhaltung:
Geben sie niemals ihre Login-Daten ein, wenn ihnen jemand dabei zusehen könnte. Auch nicht die PIN ihres Mobiltelefons, denn dann hat der Datendieb leichtes Spiel.
Falls Sie ihre Passwörter notieren wollen, bewahren sie diese Notizen an einem geheimen Ort auf. Keinesfalls sollten sie Zugangsdaten z. B. auf einem Post-it am Monitor anbringen.
Die Vergabe eines sicheren Passwortes ist ein wichtiger Schritt, jedoch sollten ihm andere folgen, damit sie sich jederzeit sicher im Word-wide-web bewegen können.
Wir wünschen Ihnen eine schönen “Ändere-dein-Passwort-Tag” und … ändern sie ihr Passwort – JETZT!
Cybercrime – klingt wie eine amerikanische Krimiserie aus dem Vorabendprogramm. Jedoch ist die Gefahr, die von Internetkriminalität ausgeht sehr real.
Diebstahl der digitalen Identität
Meist beginnt die Cyberattacke mit dem Diebstahl der digitalen Identität, dem so genannten ID-Theft. Doch was ist eine digitale Identität?
Geht es darum unsere Identität zu belegen, zeigen wir dem Gegenüber unseren Personalausweis. Auch mithilfe des Fingerabdrucks lässt sich die Identität eindeutig nachweisen. Hierbei handelt es sich jedoch um die analoge Identität, die nur in der realen Welt, im Miteinander mit realen Menschen Bestand hat. Im Netz, der virtuellen Welt, besitzen wir eine digitale Identität. Auf jeder Website, auf der wir Anmeldedaten eingeben, haben wir eine solche ID: in sozialen Netzwerken, im Online-Shop, in firmeninternen Netzwerken, bei der Abgabe der elektronischen Steuererklärung und auch beim Online-Banking.
Im Bundeslagebild 2019 Cybercrime des BKA wird die digitale Identität als “die Summe aller Möglichkeiten und Rechte des einzelnen Nutzers sowie seiner personenbezogenen Daten und Aktivitäten innerhalb der Gesamtstruktur des Internet” beschrieben.
Doch wie schaffen es Kriminelle meine digitale Identität zu stehlen?
Die Anrufe bei denen uns jemand in gebrochenem Englisch erzählt, das unser Computer defekt ist, kennen wir wohl alle, oder? “This is Microsoft calling. Your computer will be damaged. I will help you.” Am besten einfach auflegen, einen Witz erzählen oder was auch immer, aber auf keinen Fall persönliche Daten oder Kennwörter weitergeben. Eigentlich weiß das jeder, doch immer wieder kommen Kriminelle durch analoges Social Engineering an solche Daten. Auch Phishing- und Spam-Mails oder installierte Schadsoftware sind gute Möglichkeiten für diese Verbrecher, um an die digitale Identität zu kommen.
Und was macht der Cybertäter mit der gestohlenen digitalen Identität?
Ich besitze keinerlei kriminelle Energie, jedoch verfüge ich, da ich unter dem Sternzeichen Fische geboren bin, über ein sehr großes Maß an Phantasie. Tja, was kann man mit so einer Identität alles anstellen? Hm, vielleicht einen kostenpflichtigen Streaming-Dienst buchen, den jemand anderes bezahlt? Oder was Schönes bei einem Online-Versandhandel bestellen ohne zu bezahlen? Auf fremde Bankkonten zugreifen? Oder mal schnell in einem sozialen Netzwerk unter dem Deckmantel der geklauten Identität falsche Nachrichten verbreiten, ahnungslose Mitmenschen mobben oder stalken? Interessante Patente von ungeschützten Firmenrechnern abgreifen und gewinnbringend verkaufen? Wow, ich staune, da gibt´s ja echt eine Menge an Möglichkeiten. Und Kriminellen, die ohne Skrupel solche Identitäten stehlen, fallen bestimmt noch viel schlimmere Dinge ein.
Wie kann ich mich schützen?
Leider gibt es nicht den einen guten Geheimtipp, der uns vor solch einer Straftat schützen kann, jedoch gibt es eine Reihe von Präventivmaßnahmen und Verhaltensregeln, die das Risiko Opfer eines ID-Thefts zu werden erheblich reduzieren:
Halten Sie sowohl ihren Computer, als auch Ihr Smartphone durch regelmäßige (evtl. automatische) Updates auf dem aktuellsten Stand (Software und Betriebssystem).
Nutzen sie starke, individuelle Passwörter und wenn möglich, sichern sie sich durch eine Multifaktorauthentifizierung oder eine Zwei-Faktor-Authentifizierung ab. Verwenden sie für jede Registrierung ein eigenes Passwort.
Fragen sie sich bei der Anmeldung, ob es wirklich nötig ist, all die gewünschten Angaben zu machen? Geben sie nicht mehr preis, als unbedingt nötig.
Auch wenn wir uns gerne anderen mitteilen, sollten sie online auf das alte Sprichwort “Reden ist silber, schweigen ist gold” vertrauen.
Geben sie niemals ihre Login-Daten ein, wenn ihnen jemand dabei zusehen könnte. Auch nicht die PIN ihres Mobiltelefons, denn dann hat der Handydieb leichtes Spiel.
Deshalb auch der nächste Tipp: Speichern sie keine Passwärter oder Zugangsdaten auf ihrem Handy oder Tablet.
Sie erhalten eine Mail von einem Fremden? Der Inhalt erscheint ihnen suspekt? Am besten gleich löschen, aber auf keinen Fall sollten sie einem Link folgen. Dieser könnte sie auf eine Webseite lotsen, die lediglich den Zweck hat ihre Daten abzugreifen.
Wir bleiben dran
Seid ich begonnen habe mich mit dem Thema Cybercrime bzw. Cybersecurity zu beschäftigen, zeigen sich immer mehr Fassetten die es zu betrachten gilt und leider auch immer mehr dunkle Ecken, die beleuchtet werden müssen. Das Interesse an diesem Themenkomplex ist groß und deshalb werden wir uns auch weiterhin diesem Thema widmen.
Wenn Sie Fragen oder Anregungen haben oder einfach Ihre Erfahren mit uns teilen möchten, hinterlassen sie einen Kommentar oder nehmen sie Kontakt mit uns auf.
In diesem Sinne, bleiben sie gesund und passen sie auf sich auf!
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Vorlieben
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiken
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
Recent Comments