Ein Datenmeer mit vielen Phishen
Die Zahl der Cyberverbrechen steigt von Jahr zu Jahr. hi!tech erkundet, ob Misstrauen die beste Lösung ist und ob es bei der Abwehr mehr auf die Menschen oder...
Siemens
Die Zahl der Cyberverbrechen steigt von Jahr zu Jahr. Bots, Viren, Phishing, Love-Scam, Fake-Shops, falsche Polizeianrufe und Paketdienste – die Angriffe werden immer raffinierter. hi!tech erkundet, ob Misstrauen die beste Lösung ist und ob es bei der Abwehr mehr auf die Menschen oder die Maschinen ankommt.
Was ist los in der Welt? Wie wird das Wetter? Mit wem ist Taylor Swift zusammen? Was macht meine beste Freundin? Wann fährt der Bus? Hilfe, Sushi-Gusto! Ich brauche dieses fesche T-Shirt! Nachrichten, Antworten auf dringende Fragen, Ablenkung, Shopping und Essen sind im Internet meist nur einen Klick entfernt. 86 Prozent der Bevölkerung sind in Österreich ans Internet angeschlossen, rund 90 Prozent der Österreicher:innen ab 15 Jahren besitzen ein Smartphone. Die Schattenseiten dieser Verfügbarkeit und intensiven Nutzung listet der „Cybercrime Report 2022“ des Innenministeriums auf. Binnen eines Jahres haben Cybercrime-Delikte um rund 30 Prozent zugenommen. „The Global State of Scams Report 2022“ bezeichnet Onlinebetrug bereits als das am häufigsten gemeldete Verbrechen in westlichen Industrienationen. Weltweit wurden 2021 293 Millionen Anzeigen gemacht und 55,3 Milliarden US-Dollar Schaden gemeldet.
Es kann alle treffen
Wir alle können Opfer von Cybercrime werden. Eine E-Mail vom Finanzamt oder der Hausbank, der Anruf eines Polizisten, sogar WhatsApp-Nachrichten der Tochter können gefälscht sein. Die gute Nachricht: Kaum je geht es um Leben oder Tod. Meistens geht es nur um Geld. Gut erpressbar sind wir in emotionalen Zwangslagen oder wenn uns etwas peinlich ist. Onlinebetrug ist ein weltweit etabliertes Milliardengeschäft geworden. Die betrügerischen Angebote passen sich an unsere Gewohnheiten an: Spendenaktionen, Jobangebot, Kleinanzeige, Hotelbuchung, Onlineshop oder Förderung – alles kann ein Schwindel sein.
Julia Krickl, Forscherin am Österreichischen Institut für angewandte Telekommunikation (ÖIAT) und Redakteurin bei der Plattform „Watchlist Internet“, wertet Meldungen von Konsument:innen aus (11.600 waren es im Jahr 2022). Auf Platz eins der Betrugsmaschen steht das Phishing: „Dabei werden Nachrichten über E-Mail oder SMS verschickt und wird versucht Kreditkartendaten abzugreifen, Freigaben für größere Abbuchungen zu erwirken oder fremde Geräte als Apple-Pay- oder Google-Pay-Zahlungsmittel zu hinterlegen.“ Spitzenreiter war hier die „Hallo Mama, Hallo Papa“-Nachricht, in der vorgegeben wurde, dass das Kind die Mobilnummer gewechselt hat und dringend Geld überwiesen braucht. Oft gemeldet werden auch Phishing-SMS von Banken – mit der Aufforderung, Daten zu aktualisieren oder Apps herunterzuladen. Ebenfalls häufig sind Nachrichten von vermeintlichen Paketzustellern, die angeblich ohne Überweisung nicht liefern können. Im Kleinanzeigengeschäft können Verkäufer:innen und Käufer:innen betroffen sein, wenn sie die Plattform verlassen und Kontoinformationen oder Kreditkartendaten preisgeben.
Besonders unangenehm war für das Innenministerium sicher der Anrufbetrug mit dem „falschen Polizeibeamten“ (mehr als 15 Millionen Euro Schaden im Jahr 2022). Zielgruppe sind explizit ältere Menschen. Sie werden telefonisch kontaktiert und mit fiktiven Sachverhalten (Verbrechen, Unfälle) unter Druck gesetzt. So werden die Geschädigten dazu gebracht, vermeintliche finanzielle Vorleistungen zu erbringen. Jugendliche und junge Erwachsene fallen am häufigsten auf Werbung für Tradingplattformen und Fake-Shops für Markenware herein, die auf TikTok und Instagram beworben werden.
Zudem beobachtet Julia Krickl einen Anstieg bei Liebesbetrug (Love-Scam) und Sextortion – wie die Erpressung mit intimem Bildmaterial heißt. Betroffene werden via WhatsApp oder Dating-Apps kontaktiert und in ein Lügennetz versponnen: „Die Schadenssummen sind bei dieser Betrugsart teilweise sehr hoch. Zunächst wird persönliche Nähe durch häufige Kontaktaufnahme vorgespielt. Auch die Verknüpfung von unterschiedlichen Betrugsmaschen nimmt zu“, so Krickl. Nicht nur ein einsames Herz, sondern auch die Aussicht auf schnelles Geld machen uns angreifbar. Nach dem ersten Kontakt via Messenger Nachricht oder Social-Media-Plattform wird lange gechattet und dann eine Fake-Trading-Plattform empfohlen, oder Reisekosten für die Traumpartner:innen werden eingefordert, die jetzt aber wirklich nach Österreich kommen möchten.
„Kriminelle erzeugen eine emotional aufgeladene Drucksituation, in der Betroffene impulsiv handeln. Daher: Einen Schritt zurück machen und überlegen: Ist das realistisch?“
Julia Krickl, Forscherin am Österreichischen Institut für angewandte Telekommunikation (ÖIAT) und Redakteurin bei der Plattform „Watchlist Internet“
Falsche Rechnung – falscher Chef
Auch Unternehmen jeglicher Größe können Zielscheibe von Cyberverbrechen sein. Es braucht für die Täterschaft kein tiefgreifendes Wissen zur technischen Durchführung mehr, weil „Crime as a Service“ als Dienstleistung käuflich zu erwerben ist, wie es im Cybercrime-Report 2022 heißt. Im Darknet gibt es Hackingtools und Schadsoftware, die als Ransomware zum Einsatz gebracht werden können. Ransom bedeutet Lösegeld und das muss bezahlt werden, um ein lahmgelegtes Firmennetzwerk und verschlüsselte Daten „freizulassen“. Auch Bot-Netzwerke, die mit konzertierten „Distributed Denial of Service (DDoS)“-Angriffen oder Spam-Mails Unternehmen lähmen, gibt es quasi von der Stange. Es kann den Industriebetrieb oder den Verein treffen, den Handel oder die Verwaltung – im Mai 2022 wurde das EDV-System des Landes Kärnten gehackt. Auch hier ist Phishing das größte Problem. Im Geschäftskontext sind gefälschte Rechnungen, Zahlungsaufforderungen oder Anweisungen falscher Vorgesetzter häufig. Mithilfe von Deepfake-Technologie in App-Form kann inzwischen Voice-Cloning zum Einsatz kommen, also das Nachstellen der Stimme eines Vorgesetzten, um Zahlungen freizugeben. Auch Fake-Videos mit Lippensynchronisation sind auf dem Vormarsch – aber eher bei „großen Fischen“.
Als Anbieter von Steuerungssoftware, Wartungssystemen, Gebäudeautomation und Datenservices für Infrastrukturunternehmen, Netzbetreiber, Produktionsbetriebe und Gesundheitsdienstleister bemüht sich Siemens besonders um die Sicherheit seiner Lösungen. Das Unternehmen hat 2018 mit der Münchner Sicherheitskonferenz und weiteren Partnern aus Politik und Wirtschaft die Cybersicherheitsinitiative Charter of Trust ins Leben gerufen und beschäftigt sich auch bereits intensiv mit den EU-Vorgaben für kritische Infrastrukturen ab Oktober 2024. Mit einem eigenen Cyber-Emergency-Response Team sorgt Siemens proaktiv für den ständig aktuellen Schutz der Kunden und der eigenen Werke. Das Sicherheitsversprechen beruht auf drei Säulen: Produktsicherheit (für sichere Kommunikation, Schutz der Datenintegrität, Zugriffskontrolle und durchgehende Überwachung), Systemsicherheit (optimale und zuverlässige Interaktion der Komponenten, Produkte, Prozesse und technischen Lösungen für einen geschützten Betrieb im hochsicheren System) und Betriebssicherheit (mit Cybersecurity-Lösungen von der Beratung bis zum Service über den gesamten Lebenszyklus). Für die Automatisationsprodukte gilt das „Zero Trust“- Prinzip und damit der Grundsatz „Never trust, always verify“: Bei allen Kommunikationsteilnehmer:innen wird immer überprüft, wer sie wirklich sind und ob sie berechtigten Zugriff auf dieses System haben.
Niemandem vertrauen, sich in die Höhle zurückziehen, den Glauben an das Gute im Menschen verlieren – ist das die Lösung? Allgemeine Ratschläge sind schwierig, denn es ist anzunehmen, dass die Betrugsmaschen immer besser auf die Onlineprofile von Personen oder Unternehmen zugeschnitten werden. Die Plattform Watchlist Internet hat folgende praktische Tipps parat:
– Phishing-E-Mails: Nicht auf Links klicken, stattdessen in das Konto einloggen und nachsehen, ob die Nachricht wirklich von Bank/Post/Finanzonline etc. stammt.
– Schadprogramme verbergen sich oft in Grafiken oder E-Mail-Anhängen.
– SMS-Nachrichten mit Link sind grundsätzlich verdächtig!
– Sobald persönliche oder finanziell relevante Informationen übers Telefon
abgefragt werden: auflegen!
Gesundes Misstrauen sowie der laufende Überblick über eigene Bestellungen und Transaktionen sind immer ratsam. In einem ruhigen Moment fällt ein Schwindel schnell auf, „doch die Kriminellen erzeugen eine emotional-aufgeladene Drucksituation, in der Betroffene impulsiv handeln. Deshalb funktioniert die „Hallo Mama/Hallo Papa – ich brauche Geld“-SMS so gut, weil in dem Stressmoment, in dem man denkt, das eigene Kind sei in Gefahr, das logische Denken aussetzt“, formuliert Julia Krickl. Ihr Tipp: sich selbst kurz aus der Situation rausnehmen, einen Schritt zurück machen und überlegen: Ist das realistisch? Lieber nochmal sichergehen und nachprüfen.
Fürs Onlineshopping gilt als Minimumstandard ein Impressum mit Name, Anschrift, Geschäftsführung, UID-Nummer und Geschäftsbedingungen. Manche Shops führen Zertifikate und auch die Bewertungen anderer User:innen können Hinweise geben. Zahlungen sollten per Lastschrift, Kreditkarte oder Rechnung erfolgen, lieber nicht auf Vorkasse. Bei Bezahlvorgang und Dateneingabe ist auf die verschlüsselte Verbindung zu achten (https:// in der Adresszeile).
Watchlist Internet bietet eine kostenlose App, die Push-Meldungen zu neuen Fakes und Scams
schickt.
Das Bundeskriminalamt empfiehlt zum Schutz der Infrastruktur ein aktuelles Antivirenprogramm, eine Firewall sowie regelmäßige Updates. Achtung bei Gratissoftware, Raubkopien oder Zusatzprogrammen („Plug-ins“). Die Plattform „Watchlist Internet“ hat eine kostenlose App entwickelt, die den User:innen Push-Meldungen zu neuen Fakes und Scams schickt. Im Rahmen eines Forschungsprojekts wurde zudem am Österreichischen Institut für angewandte Telekommunikation ein Fake-Shop-Detektor als Browser-Plug-in für den Desktop entwickelt.
I N T E R V I E W
„Der Cyberangriff ist wahrscheinlicher als ein Brand“
Georg Schwondra leitet bei Deloitte Wien den Bereich Cyber Risk und berät Unternehmen zum Thema Informationssicherheit. In der aktuellen Cyber-Security-Umfrage gaben 350 österreichische Mittel- und Großunternehmen Auskunft über aktuelle Herausforderungen und wie sie damit umgehen.
Welches Ergebnis der aktuellen Deloitte-Cyber-Security-Umfrage hat Sie überrascht?
Die absolute Anzahl der Angriffe ist gleichgeblieben. Überrascht hat uns der massiv gestiegene Impact. 2022 konnten durch technische Infrastrukturmaßnahmen 76 Prozent der Angriffe abgewehrt werden, 2023 nur noch 41 Prozent. Die Einschläge werden also dichter und die Kriminellen arbeiten immer professioneller. Die Nachrichten, mit denen der Angriff gestartet wird, sind im stressigen Arbeitsalltag kaum mehr unterscheidbar. Wenn einmal User und Passwort eingegeben sind, tut die Schadsoftware ihr Werk. Zudem ist die Wiederherstellbarkeit durch Backups gleich um ein Drittel gesunken.
Was bedeutet es für Unternehmen, dass man Crime as a Service inzwischen im Darknet kaufen kann?
Im Darknet ist das ganz arbeitsteilig organisiert. Da gibt es Gruppen für die Erstellung neuer Ransomware, die gegen eine Umsatzbeteiligung am Lösegeld ihr „Produkt“ verkaufen. Wir haben vor kurzem demonstriert bekommen, wie mit der generativen AI ChatGPT praktisch ohne Programmierkenntnisse eine Malware binnen zehn Minuten geschrieben werden kann. Ransomware ist ein high-reward-low-risk-Geschäft. Wir rechnen damit, dass leistungsfähige AI es für Laien erleichtert, damit Geld zu machen, vor allem aus Ländern ohne Strafverfolgung. Auch Deep Fakes werden immer leichter zu erstellen. Die „Schwachstelle Mensch“ darf in diesem Zusammenhang keinesfalls unterschätzt werden. Wir haben bei einem sogenannten Physical-Penetration-Test neulich eine Mitarbeiterin in Gärtnerinnen-Verkleidung mit Kapperl, Gießkanne und Arbeitsschuhen zu einer großen Firma geschickt und ihr wurde unbeschränkter Zugang gewährt.
Sind alle Betriebsgrößen gleichermaßen betroffen?
Wir haben Organisationen und Unternehmen ab 50 Mitarbeiter:innen befragt. Kleine Unternehmen sind unter Umständen leichter zu knacken und das kann lukrativer sein, weil die Erpressung weniger Aufwand bedeutet. Den Installateur mit fünf Mitarbeitern kann es ebenso treffen wie einen Tourismusbetrieb, in dessen deutschsprachiger Bewerbung die Ransomware im Makro eines Word- Dokuments eingeschrieben war.
Der Fokus liegt hierzulande auf der Vorsorge und weniger auf laufender Detektion, Updates, technischen Maßnahmen und Zugriffsmanagement. Warum braucht es am besten alles gemeinsam?
Awareness ist wichtig und ein Dauerbrenner. Wenn sie eine täuschend echte Nachricht von Microsoft bekommen, klicken – trotz entsprechender Schulungen – in der Regel fünf von 100 Menschen drauf. Technische Infrastruktur, wie segmentierte Netzwerke, können die Ausbreitung verhindern. Wenn ein Laptop verschlüsselt wird, hilft es viel und bringt ein Unternehmen nicht um. Es muss ins Bewusstsein, dass Patch-Management, also das Schließen bekannter Lücken in der Infrastruktur, zeitnah erfolgen muss, weil da ein Scheunentor offensteht. Oft fehlen dafür geschulte Leute. Wir sehen auch, dass nicht nur hoch technisierte Anlagen, sondern auch alte Industrieanlagen Einfallstore für Cyberkriminelle haben. Eine 30 Jahre alte Automatisierungsumgebung ist ein Sicherheitsrisiko.
„Eine 30 Jahre alte Automatisierungsumgebung ist ein Sicherheitsrisiko.“
Georg Schwondra leitet bei Deloitte Wien den Bereich Cyber Risk
Die Studie zeigt, dass nur jedes 5. Unternehmen einen Notfallplan für Cyberangriffe hat. Regelmäßige Übungen für den Ernstfall finden kaum statt.
Der Brandfall wird zwei Mal im Jahr geübt, der Cybervorfall nicht. Er ist aber inzwischen viel wahrscheinlicher. Wir machen regelmäßig Simulationen in Unternehmen. Wir führen durch einen Cybervorfall, gehen mit dem Vorstand den Notfallplan durch und diskutieren. Bei der Extraktion sensibler Daten, Verschlüsselung und Erpressung ist die erste Grundsatzentscheidung und Gretchenfrage im Management: Würde ich zahlen oder nicht? Der zweite Hebel ist Empowerment für die nötige Geschwindigkeit. Wenn eine IT-Fachkraft eine laufende Attacke im Rechenzentrum bemerkt, ist sie dann befugt zum Not-Aus mit allen Konsequenzen? Das sind Hierarchiefragen. Bei einer Ransomware-Attacke sind die ersten fünf Minuten wichtig. Der dritte Punkt ist die Kommunikation, also wie ich Mitarbeitende noch erreiche. Es gibt dafür Möglichkeiten, aber ich muss sie mir vorher überlegen.
Was empfehlen Sie darüber hinaus?
Unternehmen müssen Detektionsfähigkeiten aufbauen. Selbst oder über einen Dienstleister, um Angreifende frühzeitig im Netzwerk zu identifizieren. Meist bewegen sich diese 30 bis 90 Tage unerkannt im Netzwerk. Je früher sie detektiert werden, desto früher kann man dagegen vorgehen und desto kleiner ist auch der mögliche Schaden. Es braucht Expertise für Data-Breach-Forensik, um herauszufinden, was passiert ist. Für Managed-Security-Services gibt es heimische und internationale Anbieter, von der Basis-IT-Hygiene bis zu High-End-Security-Services.
Was empfehlen Sie, wenn Prioritäten gesetzt werden müssen?
Einen holistischen Ansatz, der definiert, was die Kronjuwelen in den Daten sind, welche maximalen Ausfallzeiten verkraftbar sind und wie hoch der Risikoappetit ist. Das Level an Security wird dann risikobasiert abgeleitet. Bei aller Vorsorge müssen sich Unternehmen fragen, wie sie bei einem Vorfall reagieren und den Incident-Response vorvertraglich regeln. Ein Forensik-Team im Bereitschaftsdienst kann innerhalb von zwei Stunden online unterstützen und binnen 24 Stunden vor Ort sein.
Was tun Sie persönlich für Ihre Cybersicherheit?
Ich verwende für meine Passwörter einen Passwortsafe, verwende unterschiedliche für alle Applikationen und niemals die Werkseinstellungen am Router. Ich habe zuhause keinerlei Firmendaten und für die Privatdaten ein Backup auf einer externen Festplatte.