Cybergefahr für Sportvereine?

/in /von

Firewall, Ransomware, Trojaner – alles Begriffe, die mittlerweile täglich in den Nachrichten stehen. Ein Begriff zählt dabei zu den „Guten“ – wissen Sie, welcher? Dazu noch Wirtschaftsspionage, welche meistens unentdeckt bleibt und wenn sie auffällt, es schon zu spät ist.

Inhaltsverzeichnis
1 Wie sollte ein Athlet oder Verein nun Ziel einer Cyberattacke werden?
2 Vorlage: Kennwortliste

Betreffen diese Themen Sportvereine? Ist dieses Thema für Spieler relevant?

Durch die Digitalisierung wird stetig neue Software eingesetzt, die in den meisten Fällen nicht mehr lokal im Netzwerk, sondern bei einem Anbieter gehostet wird. Dieses Cloud-Hosting ist für Unternehmen ohne eigene IT eine einfache Möglichkeit, moderne Software schnell nutzen zu können.

Mit diesem Vorteil kommt aber auch die Verschiebung der Verantwortlichkeiten: Man gibt seine Daten in andere Hände und vertraut darauf, dass diese in der Cloud geschützt sind.
Wie die einzelnen Cloud-Lösungen miteinander zusammenarbeiten (Synchronisation) ist im Detail meistens nicht bekannt.

Von einer Dokumentation oder zumindest einer einfachen Übersicht, welche Cloud-Dienste genutzt werden, mit den wichtigsten Eckdaten fehlt jede Spur. Dies wird aber umso wichtiger, sollte es einmal zu einer Cyberattacke kommen. Dann muss umgehend klar sein, welche Daten/Systeme/Zugänge betroffen sind.

Wie sollte ein Athlet oder Verein nun Ziel einer Cyberattacke werden?

Es gibt mehrere Möglichkeiten, wie das ablaufen kann: gezielte Spionage oder durch das Ausnutzen einer passenden Gelegenheit.

Mögliche Umgebungen, in denen die Gefahr höher ist:

  • Öffentliche WLANs
  • Fremde Ausrichtungsstätten
  • Nutzung fremder Smartphones/Hardware

Formen der Angriffe:

  • Phishing (E-Mail) oder Smishing (SMS)
  • Social-Media-Apps (Erweiterungen, bei denen man die Social Media Zugangsdaten eingeben muss)
  • Keylogger (Software oder Hardware)

Proaktive Maßnahmen zum Schutz:

  • Eine Übersicht mit Zugangsdaten/Portalen auf Papier erstellen
  • Pro Portal ein eigenes Kennwort verwenden (Passwortmanager)
  • Kennwörter regelmäßig ändern
  • Multi-Faktor-Authentifizierung aktivieren
  • Fremde WLANs/Geräte nur im Notfall nutzen und darüber keine sensiblen Daten austauschen

Einer der wichtigsten Punkte, welcher bei vielen Portalen mittlerweile zwingend ist: Mehrfaktor-Autorisierung. Dabei wird die bekannte Anmeldung mit Benutzername und Passwort um einen oder mehrere Faktoren ergänzt. Das kann die E-Mail-Adresse oder Mobilfunknummer sein.

Da über eine E-Mail sehr einfach Schadcode übermittelt werden kann, gilt es E-Mails mit Anhängen doppelt zu prüfen und im Zweifel zu löschen. Ein Anhang mit einem Namen wie „Inkasso“ oder „Letzte Mahnung“ wird im Stress gerne leichtsinnig geöffnet.

Viele besitzen eine E-Mail-Adresse bei einem kostenlosen Anbieter. Dabei kostet eine eigene E-Mail-Adresse mit dem eigenen Namen in der Domain nicht viel und ist ohne IT-Kenntnisse konfigurierbar. Zusätzlich kann man hier einen deutschsprachigen Anbieter, welcher die E-Mails hostet (DSGVO) und ebenso Ansprechpartner bei Fragen und Problemen ist, wählen. Aus Erfahrung mit Kunden sind mir Vorfälle bekannt, bei welchen das E-Mail-Konto von einem kostenlosen Anbieter gesperrt wurde und die Wiederherstellung über den englischsprachigen Support sehr lange gedauert hat.

Wie kann man vorgehen, wenn man angegriffen wurde?

  • Ein Backup ist essenziell, viele Daten liegen bereits in der Cloud – wobei das nicht als richtiges Backup angesehen werden darf
  • Kennwörter ändern. Auch wenn es aufwendig ist, sollte man bei allen relevanten Diensten sein Kennwort ändern
  • Handy/PC zurücksetzen, falls diese Geräte direkt betroffen sind

Es lohnt sich auch über ein Vereinshandy (Firmenhandy) nachzudenken. Dann kann den Athleten für die Zeit einer Reise ein sicheres und neutrales Handy für die Kommunikation mitgegeben werden. Sollte dieses entwendet/gehackt werden, so befinden sich hier keine persönlichen Daten.

Wichtig ist, dass man sein Bewusstsein und seine Kenntnisse in diesem Bereich stärkt. Es benötigt kein Informatikstudium, um die wichtigsten Punkte zum Thema IT-Sicherheit in der eigenen Praxis berücksichtigen zu können.

Ein weiterer Punkt, welcher häufig außer Acht gelassen wird: Jede Nutzung eines Dienstes hinterlässt auch seine Spuren. Durch intensive Recherche und ohne persönliche Kenntnisse kann man sich aus der Ferne ein Bild über die verwendeten Systeme eines Unternehmens machen:

  • Bei welchem Anbieter liegt die Website?
  • Bei welchem Anbieter liegen die E-Mails?
  • Welche externen Dienste (Analytics, Social Media, Newsletter) verwendet das Unternehmen?

Durch diese Kenntnisse kann, wenn zum Beispiel keine Multi-Faktor-Autorisierung aktiviert ist, durch Erraten/Erschleichen von Zugangsdaten, Zugriff erlangt werden.

Vorlage: Kennwortliste

Zum Abschluss finden Sie hier eine kostenlose Vorlage (Excel und PDF) zur Hinterlegung von Zugangsdaten, welche Sie anschließend ausdrucken und an einem sicheren Ort ablegen sollten.

In der Excel-Vorlage färbt sich das Feld je nach Länge des Kennworts ein.