Vereintes Wissen für ein sichereres Internet

TÜV SÜD und das Google Safety Engineering Center (GSEC) vermitteln in Workshops hilfreiches Wissen für mehr Online-Sicherheit: Ein Gespräch mit Alexander Wolf von TÜV SÜD und Wieland Holfelder von Google über das gemeinsame Anliegen, die Gefahr durch Phishing-E-Mails und besseren Schutz online

Herr Wolf, Herr Holfelder, TÜV SÜD und das Google Safety Engineering Center in München kooperieren. Wie entstand die Partnerschaft?

Alexander Wolf: Sie entstand aus dem gemeinsamen Interesse, Wissen zu Datenschutz und IT-Sicherheit verständlich zu vermitteln. Unser Ziel ist es, die Sicherheit von Nutzerinnen und Nutzern sowie von kleinen und mittleren Unternehmen im Internet zu verbessern. In der Partnerschaft bündeln wir unsere Kompetenzen – die gemeinsame technische Expertise sowie das in TÜV SÜD gesetzte Vertrauen als unabhängiger Dritter und unser Know-how zu technischen Standards.

Wieland Holfelder: Durch die Partnerschaft zwischen TÜV SÜD und dem Google Safety Engineering Center (GSEC) können wir mehr Menschen mit Hilfestellungen und Tipps für mehr Online-Sicherheit erreichen. Wenn wir alle ein besseres Verständnis für die Risiken im Netz haben, sind wir auch auf aktuelle und zukünftige Sicherheitsgefahren besser vorbereitet oder können sie sogar vermeiden.

Wie genau wollen Sie das bewerkstelligen?

Holfelder: Zum Beispiel durch digitale Workshops: In monatlich stattfindenden und kostenlosen Live-Webinaren der Google Zukunftswerkstatt erhalten Nutzerinnen und Nutzer Tipps von unserem Expertenteam, wie sie beispielsweise ihre Konten im Internet besser schützen und worauf sie bei Phishing achten müssen. Wer noch tiefer in die Materie eintauchen möchte, dem empfehle ich auch das siebenteilige Themenspecial »Shortcuts« des TÜV SÜD-Podcasts »Safety First«: Im Gespräch mit Expertinnen und Experten von GSEC und TÜV SÜD werden Hintergründe erklärt, wie zum Beispiel zu Werkzeugen und Einstellungen rund um das Thema Datenschutz, welche auch hier im GSEC in München entwickelt werden.

Herr Wolf, wie kommt es, dass sich TÜV SÜD dem Thema Online-Sicherheit zuwendet?

Wolf: Ganz gleich ob in der physischen oder in der digitalen Welt: Als technischer Dienstleister sorgen wir mit unserer Expertise dafür, dass Technologien sicher und zuverlässig angewendet werden können. Dadurch können die Menschen der Technik vertrauen, und sie wird von der Gesellschaft akzeptiert. Für die Themen Cybersecurity und Datenschutz gilt das auch: Wir kennen die regulatorischen Anforderungen und die aktuelle Bedrohungslandschaft und helfen als neutraler Dritter dabei, Risiken zu erkennen und zu reduzieren.

Herr Holfelder hat bereits das Live-Webinar angesprochen. Was lerne ich dort?

Wolf: Ganz generell kann man dort lernen, Online-Risiken zu erkennen und aktiv zu vermeiden. Ein großes Thema dabei ist das Phishing, eine der häufigsten Gefahren online.

Holfelder: Das Webinar geht auch darauf ein und gibt Hintergrundinformationen dazu, wie Phishing-E-Mails erkannt werden können. Nach der Theorie kommt dann die Praxis: In Übungen trainieren wir mit den Nutzerinnen und Nutzern, diese Gefahren zu erkennen und das Auge für Online-Risiken zu schulen.

Wie genau erkenne ich eine solche Phishing-Mail?

Wolf: Es gibt fünf besonders häufige Anzeichen: Solche Nachrichten spielen mit Ängsten, Emotionen oder suggerieren Dringlichkeit. Es wird nach Zugangsdaten oder persönlichen und finanziellen Informationen gefragt. Die Phishing-Mails verwenden eine ungewöhnliche Begrüßung, beinhalten oft Rechtschreib- oder Grammatikfehler – und man sollte die Absender-E-Mail-Adresse genau prüfen.

Holfelder: Der wichtigste Rat, den wir bei Google deshalb unseren Nutzerinnen und Nutzern immer geben: Aufmerksam sein! Kenne ich den Absender oder die Absenderin einer Nachricht? Ist die URL und die Rechtschreibung der Web-Adresse im Browser korrekt oder widerspricht sie meinen Erwartungen? Muss ich persönliche Daten eingeben? Gibt es Warnungen des Browsers oder des E-Mail-Dienstes?

Okay.

Holfelder: Allen, die sich dem Thema spielerisch nähern wollen, empfehle ich unser Quiz, mit dem sie testen können, wie gut sie Phishing erkennen. Wolf: Das kenne ich noch gar nicht! Holfelder: Ich vermute, Sie würden gut abschneiden.

Nun sind Phishing-Mails das eine, das andere sind unseriöse Websites. Gibt es Möglichkeiten, deren Glaubwürdigkeit zu prüfen?

Holfelder: Mit unserer im Chrome-Browser integrierten Safe-Browsing- Technologie spüren wir unseriöse, manipulierte Websites auf. Wenn wir diese finden, zeigen wir Warnhinweise im Chrome-Browser und auch in der Google-Suche, auch falls ein anderer Browser verwendet wird. Nutzerinnen und Nutzer sollten also auf solche Warnhinweise achten. Wir haben Safe-Browsing auch anderen Browser-Herstellern zur Verfügung gestellt, damit sich Nutzerinnen und Nutzer sicherer im Internet bewegen können, auch wenn sie nicht den Chrome-Browser verwenden.

Wolf: Generell würde ich auf die Verschlüsselung der Verbindung achten, erkennbar am »https« in der URL oder, in vielen Browsern, an einem Schloss zu Beginn der Adress- bzw. Suchleiste beim Aufrufen einer Website. Und natürlich empfehle ich Ihnen, nur Dienste von vertrauenswürdigen Anbietern zu nutzen, am besten mit einem zertifizierten Managementsystem.

Nach wie vor muss ich mich bei den meisten Diensten und Websites online mit Passwörtern anmelden...

Holfelder: Ein starkes Passwort ist deshalb immens wichtig! Jeder von uns kommt mit Passwörtern seit vielen Jahren in Verbindung, allerdings hat sich ein sorgloser Umgang mit der Materie eingeschlichen.

Im normalen Internetnutzungsalltag sind es aber viele.

Holfelder: Ganz genau, deswegen ist es für uns auch so wichtig, dass Nutzerinnen und Nutzer ihre Passwörter einfach und sicher verwalten und verwenden können. Ein Passwortmanager ist ein sehr komfortabler Weg, um mit sichereren Passwörtern zu arbeiten. Denn so muss ich mir selbst nicht die komplizierten Passwörter ausdenken und vor allem merken. Der in Chrome, Android und dem Google-Konto integrierte Passwortmanager wird auch im GSEC entwickelt und bietet plattformübergreifend sehr guten Schutz.

Herr Wolf, aus Sicht von TÜV SÜD: Welchen Risiken sehen wir uns online derzeit gegenüber?

Wolf: Eine der größten Gefahren geht nach wie vor von Phishing-Angriffen aus. Dazu kommen Schadsoftware und Identitätsdiebstahl als ernst zu nehmende Online-Risiken. Während der Pandemie haben sich aber besonders die Phishing-Attacken verstärkt, zumal das Arbeiten im Homeoffice oft schlechter gegen virtuelle Angriffe abgesichert ist als innerhalb eines Unternehmensnetzwerkes.

Ist das auch Ihre Erfahrung, Herr Holfelder?

Holfelder: Allerdings, Krisenzeiten bewirken oft einen Anstieg an Online-Kriminalität. Allein im März und April 2020 entdeckten Google-Expertinnen und -Experten täglich 18 Millionen Malware- und Phishing-E-Mails im Zusammenhang mit Covid-19 – zusätzlich zu den mehr als 240 Millionen Covid-bezogenen täglichen Spam-Nachrichten.

Das ist viel.

Holfelder: Ja, aber ein Passwortmanager schützt übrigens auch vor Phishing-Angriffen, da Passwörter nicht in die Formulare von Phishing-Webseiten eingegeben werden, also ein Grund mehr, einen Passwortmanager zu verwenden! Außerdem spürten unsere Systeme mit Malware infizierte Websites auf, die sich als Anmeldeseiten für beliebte Social-Media-Dienste, Gesundheitsorganisationen und sogar für die offizielle Coronavirus-Karte der Johns Hopkins Universität ausgaben. Auch hier ist das erwähnte Safe Browsing oder der Spamfilter in Gmail ein Schutz für Nutzerinnen und Nutzer.

Seit zwei Jahren ist die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Welche Auswirkungen hat sie auf Google-Produkte und TÜV SÜD-Dienstleistungen?

Wolf: Die Datenschutzberatung ist seit Langem ein fester Bestandteil des TÜV SÜD-Portfolios und macht es speziell kleineren Unternehmen einfach, weil unsere Services individuell buchbar sind. Die Nachfrage ist selbst zwei Jahre nach Inkrafttreten der EU-DSGVO lebhaft.

Das heißt?

Wolf: Vor allem die kleinen und mittleren Unternehmen haben noch Nachholbedarf. Praktisch ist: Wenn intern Expertise und Ressourcen fehlen, können externe Berater wie TÜV SÜD zum Beispiel auch den Datenschutzbeauftragten stellen.

Herr Holfelder, was hat die DSGVO für Google verändert?

Holfelder: Zunächst einmal hat die DSGVO geholfen, den hohen europäischen Datenschutzstandard für unsere Nutzerinnen und Nutzer überall gleich umsetzen zu können. Wir haben die DSGVO genutzt, um noch transparenter zu kommunizieren.

Das bedeutet?

Holfelder: Bei Google ist die Datenschutzerklärung in allen Produkten und Diensten allgegenwärtig. Wir nähern uns ihr deshalb wie einem Produkt – einschließlich vollständiger Unterstützung von User Experience Designern und Forschern, Produktmanagement und Entwicklungsteams innerhalb des Produkterstellungsprozesses.

Mit welchen Folgen?

Holfelder: 2018 haben wir Teile unserer Datenschutzerklärung in Bezug auf die DSGVO neu geschrieben. Sie ist nicht mehr primär ein juristisches Dokument, sondern soll transparent und vor allem verständlich sein. Darüber hinaus geben wir Nutzerinnen und Nutzern im Google-Konto Zugriff auf Werkzeuge, mit denen sie ihre Aktivitätsdaten, ihre Privatsphäre- und Sicherheitseinstellungen verwalten können. So können sie besser verstehen, welche Informationen für welchen Zweck gespeichert werden und wie sich Einstellungen so anpassen lassen, dass sie für den individuellen Gebrauch am besten funktionieren.

Interessant ist, dass Sie beide bewusst immer wieder die Eigenverantwortung der Menschen ansprechen, wenn sie sich online bewegen. Heißt das, wir sollten nicht zu sehr auf Technik vertrauen?

Holfelder: Online-Sicherheit kann durch innovative Technologien immer weiter verbessert werden, allerdings ist der Faktor Mensch nicht zu unterschätzen. Die meisten Angriffe zielen erfahrungsgemäß auf die Gutgläubigkeit des Menschen. Unsere Natur ist es, anderen zu vertrauen. Kriminelle setzen genau auf diesen Instinkt und versuchen Empfängerinnen und Empfänger mit einer persönlichen E-Mail zu locken. Bewusst wird mit Verlustängsten von potenziellen Opfern gespielt, oder Angreifer geben sich als offizielle Behörde oder Autoritätsperson aus.

Was denken Sie: Ist eine zu 100 Prozent sichere Online-Welt überhaupt denkbar?

Wolf: Cybersicherheit ist ein permanenter Prozess, hundertprozentige Sicherheit wird es daher nie geben. Man kann aber als Privatperson und im Unternehmen einiges tun, um seine Online-Risiken zu reduzieren. Aktuelle Antivirensoftware nutzen, sich weiterbilden und sich bewusst damit auseinandersetzen, wem man seine Daten zur Nutzung überlässt, sind wichtige Schritte. Cybersecurity ist kein reines Technikthema. In Unternehmen sollte sich auch das Management damit befassen. Das heißt: Nicht nur die IT-Sicherheit auf dem neuesten Stand halten, sondern auch geeignete Regeln etablieren und die Mitarbeiterinnen und Mitarbeiter durch Awareness-Trainings fortbilden.

Holfelder: Klar ist, dass die Maschen der Kriminellen ausgefeilter werden. Aber gleichzeitig werden auch neue Sicherheitstechnologien entwickelt, die diese identifizieren und Menschen schützen. Daran arbeiten wir auch täglich im Google Safety Engineering Center in München – unter anderem mit zahlreichen Partnern. Gemeinsam mit Nichtregierungsorganisationen, Politikern und Unternehmen wie TÜV SÜD diskutieren und entwickeln wir Ansätze, die uns alle schützen sollen.

Fotos: Markus Mielek/Google, Sima Dehgani (3), Myrzik & Jarisch (2), Google (2)