Köder Corona-Krise

Digitale Signatur sagt Phishing-Mails den Kampf an

Durch die Corona-Pandemie ist die Anzahl an Phishing-Angriffen nochmals deutlich gestiegen. Da sie jeden Einzelnen von uns betrifft, kommt sie wie gerufen für Cyberkriminelle, die Fake-Mails unter anderem mit Bezug zu COVID-19 versenden, um Lösegelder zu kassieren oder an sensible Daten zu gelangen. Angesichts der weltweit rasant ansteigenden Infektionsrate, die viele Menschen beunruhigt, machen sich Hacker vor allem gefakte Angebote für Corona-Impfungen als Lockmittel zunutze. Hinzu kommt, dass die perfiden Mails häufig täuschend echt aussehen und nicht selten im Namen bekannter Dienstleister versendet werden. Daher ist es schnell passiert, dass die Empfänger in die Phishing-Falle tappen und auf den beigefügten Link oder Anhang klicken. Mit der Einbindung einer digitalen Signatur könnte dies zukünftig der Vergangenheit angehören.

E-Mails gelten nach wie vor als das meistgenutzte Kommunikationsmittel im Geschäftsalltag und zählen daher zu einem der beliebtesten Angriffspunkte für Hacker. Gerade über Phishing-Attacken gelingt es Betrügern immer wieder, sich Zugang zu Unternehmensnetzwerken zu verschaffen, Datendiebstahl zu betreiben oder Schadsoftware zu installieren. Fallen also Mitarbeiter auf gefälschte Mails in ihrem Posteingang herein, kann dies unter Umständen große Schäden für Unternehmen anrichten.

Um derartige Angriffe zu verhindern, sollte durch die Implementierung einer digitalen Signaturlösung entsprechend vorgesorgt werden. Eine E-Mail mit einem ungebrochenen Siegel zeigt dem Empfänger, dass sie tatsächlich vom angegebenen Absender stammt und auf dem gesamten Versandweg nicht verändert wurde. Für eine solche digitale Signatur wird ein qualifiziertes Zertifikat benötigt, das es bei einer akkreditierten Zertifizierungsstelle zu beantragen gilt. Moderne Lösungen übernehmen diesen administrativen Prozess automatisch.

Damit E-Mails zu jedem Zeitpunkt vor dem Zugriff unbefugter Dritter geschützt sind, sollten Unternehmen darüber hinaus auch eine Verschlüsselungslösung einsetzen. Eine All-in-One-Lösung wie das Secure E-Mail Gateway von SEPPmail, das sowohl die Signatur als auch die Verschlüsselung unterstützt, wäre an dieser Stelle der richtige Weg, um kontinuierlich E-Mail-Sicherheit zu gewährleisten und Sie vor unliebsamen Attacken zu schützen.

Autor: Philipp Bachmann, Sales & Channel Manager

Einfach soll es sein

„Die Bevölkerung erwartet nutzerfreundliche und sichere Verwaltungsleistungen, die 24/7/365 erreichbar sind“, sagt Michael Keller, der als Leiter E-Government und Digitale Prozesse für die Stadt Zürich tätig ist. Die Stadt Zürich ist in Sachen E-Government in der Schweiz ganz vorne mit dabei – 50’000 Zugriffe verzeichnet sie täglich auf ihren Webseiten. In der Schweiz zählt lediglich der Bund mehr Aufrufe.

Auf die E-Gov-Dienste der Stadt Zürich greifen Nutzerinnen und Nutzer via dem zentralen Login auf „Mein Konto“ zu. Hier können Zürcherinnen und Zürcher etwa Parkkarten beantragen, sich für Freizeitangebote einschreiben oder seit neustem Steuern online verwalten. Dass die Dienste zentral ein einem Ort zusammengefasst werden, ist Teil des Erfolgs der Plattform. Denn laut der nationalen E-Government Studie 2019 haben Nutzerinnen und Nutzer oft Schwierigkeiten damit, die richtigen Dienste und Angebote zu finden.

Einwohnerinnen und Einwohner sollten Services stets auch vor Ort in Anspruch nehmen können. Das ist auch für Michael Keller wichtig, denn durch E-Government sollen keine digitalen Gräben entstehen. Aber genauso gelte es umgekehrt: „Viele haben nicht die Möglichkeit, mittwochs um 14 Uhr an einer Marktstandsverlosung am Bürkliplatz mitzumachen.“ Für solche Fälle gibt es eben den Online-Schalter. Wenn das aber so praktisch und durchlässig ist, warum nutzen dann nicht mehr Leute E-Government-Dienstleistungen?

Sicherheit hat Priorität

Der Hauptgrund dafür, dass E-Government-Dienste nicht umfassend genutzt werden, ist laut der nationalen E-Government-Studie 2019 mangelndes Vertrauen in die Datensicherheit. Die Sorge ist teilweise nachvollziehbar. Betrügerische E-Mails, die angeblich von der Zollverwaltung oder der Schweizerischen Post stammen sollen oder Cyberangriffe auf Spitäler und Medienhäuser zeigen, dass es im Internet keine hundertprozentige Sicherheit gibt.

So setzt die Stadt Zürich etwa auf 2-Faktor-Authentisierung, wenn Nutzer auf sensible Daten in „Mein Konto“ zugreifen möchten, sonst reichen Nutzername und Passwort. Nicht alle Prozesse können aber komplett über die Plattform abgewickelt werden. „Manchmal ist auch eine Kommunikation per E-Mail notwendig“, sagt Keller, „jedoch dürfen sensitive Personendaten nie unverschlüsselte per E-Mail übertragen werden, der Schutz der Daten muss als Verwaltung immer oberste Priorität haben.“

Dieser Meinung ist auch Christoph Koch, CTO von Cisco Schweiz. Als ehemaliges Mitglied der Swiss Digitalization Acceleration Taskforce, zuständig für den Bereich Cybersecurity, hat er sich intensiv mit den Themen Datensicherheit und E-Mail-Verschlüsselung auseinandergesetzt. „In Zeiten der totalen Vernetzung ist die eigene Firewall nicht mehr das Mass aller Dinge. Der eigene Sicherheitsperimeter zählt nicht mehr, sobald die E-Mail das eigene Netzwerk einmal verlassen hat“, weiss Koch. Aber „nicht nur die Verschlüsselung einer Übertragung ist essenziell, sondern auch die eindeutige Identifikation des Absenders.“ Damit Nachrichten als vertrauensvoll erachtet werden können, braucht es eine digitale Signatur, die nicht nur die Integrität einer E-Mail, sondern auch die Echtheit des Absenders bestätigt. Dies geschieht durch bestimmte Schlüssel, die von vertrauenswürdigen Zertifizierungsstellen einer bestimmten Person zugeordnet werden. Ein weiteres Beispiel dafür könnte dereinst die E-ID werden, wenn das entsprechende Gesetz das Referendum am 7. März übersteht.

Fazit

Nutzerinnen und Nutzer wollen einfaches und sicheres E-Government. Voraussetzung dafür sind durchgängig digitale und – sichere Prozesse. Dazu gehört auch die verschlüsselte Übertragung von E-Mails sowie die Identifikation der Herkunft und Integrität einer E-Mail mittels digitaler Signatur. Dann klappt’s auch mit dem Vertrauen.