Cyberkriminalität

*Philipp Leo
ist Berater zahlreicher Behörden und Organisationen im In- und Ausland und ausgewiesener Experte für Cyberrisiken und Digitalisierung.

*Fabian Muhly 
ist Doktor der Kriminologie und Berater sowie Forscher in der Informationssicherheit. Zusammen betreiben sie die Firma Leo&Muhly, die sich auf Cybersicherheit spezialisiert hat.

«CYBERKRIMINELLE SIND ORGANISIERT WIE EIN UNTERNEHMEN»

In der Schweiz kommt es laut Bundesamt für Statistik jeden Tag zu etwa 100 Fällen von Cyberkriminalität. Was sind das für Delikte und wie gehen Cyberkriminelle vor?

Zuerst etwas zur genannten Zahl: Diese widerspiegelt lediglich die gemeldeten Fälle, die Opferzahl ist in Realität wesentlich höher und dürfte in Zukunft weiter ansteigen. Das liegt daran, dass heute vieles gar nicht zur Anzeige gebracht wird. Denn oft handelt es sich um Kleinbeträge, für die sich der Aufwand nicht lohnt. Oder das Opfer wird mit etwas erpresst, das ihm peinlich ist. Das kann zum Beispiel ein kompromittierendes Foto sein oder der Beleg für eine Sexdienstleistung. Was vielen Menschen nicht bewusst ist: Die meisten Cyberkriminellen gehen hochprofessionell vor und sind organisiert wie ein Unternehmen. Sie wissen oft sehr genau, wieviel sie von jemandem erpressen können, und passen den Aufwand entsprechend an.

Es geht also vielfach um Erpressung?

Ja, bei einer grossen Zahl der Fälle geht es um Erpressung. Diese kann auf verschiedene Arten ablaufen. Sehr häufig ist zum Beispiel der Weg über eine Ransomware. Das ist ein Programm, welches Daten auf einem Computer oder auf einer Datenbank verschlüsselt, womit die Besitzer keinen Zugriff mehr darauf haben. Die Cyberkriminellen verlangen dann ein Lösegeld, um die Daten wieder freizugeben. Oder sie drohen damit, sensible Daten zu veröffentlichen. Für letzteres werden gehackte Datenbanken systematisch durchsucht, zum Beispiel auf Bilder, Finanz- oder Gesundheitsdaten. Es gibt kriminelle Organisationen, die sich auf Unternehmen und Institutionen spezialisiert haben und jeden einzelnen Angriff akribisch durchplanen. Und dann gibt es solche, die nach dem Giesskannenprinzip arbeiten und versuchen, möglichst viele Privatpersonen um Kleinbeträge zu erleichtern.

Damit dies gelingt, muss also zuerst ein Schadprogramm auf dem Computer installiert werden.

Man glaubt gar nicht, wie raffiniert einige dabei vorgehen. Wir alle kennen diese teilweise plumpen E-Mails mit Post-Ankündigungen oder etwas anderem, bei dem man einen Link anklicken soll. Doch vieles läuft wesentlich subtiler ab, beispielsweise über vertrauenswürdig erscheinende Websites oder Apps, die wir herunterladen. Geht es um grosse Beträge, dann nehmen Cyberkriminelle auch gezielt einzelne Schlüsselpersonen ins Visier und bauen ein Vertrauensverhältnis auf. Dieses sogenannte Social Engineering kann über Wochen und Monate andauern, bis das Ziel erreicht ist – also die Ransomware heruntergeladen wurde. Das muss nicht zwingend über einen Link oder einen direkten Daten-Download ablaufen. Schadware lässt sich zum Beispiel auch über Computerschnittstellen wie USB einbringen. Jemand steckt einen präparierten Ventilator oder ein anderes Computer-Gadget ein und schon ist es passiert …

Mit künstlicher Intelligenz dürften noch mehr Einfallstore entstehen?

Das ist so. Schon heute lassen sich Stimmen synthetisieren, d.h. nachahmen, dass man es nicht merkt. Es reicht dazu eine kurze Originalaufzeichnung der Stimme. Was passiert dann, wenn der so vorgetäuschte Chef anruft und einen zu einer bestimmten Aktion auffordert? Zum Beispiel das soeben gemailte Dossier anzuschauen, welches in Realität ein Schadprogramm ist. Auch Deepfakes mit Foto und Video werden in Zukunft immer ausgeklügelter sein. Anfang April berichtete das Bundesamt für Cybersicherheit über den ersten Angriff auf ein schweizerisches Unternehmen, bei dem Stimme und Erscheinungsbild des vermeintlichen CEOs in einer manipulierten Videokonferenz Deepfake waren. Interviews, Videokonferenzen und vieles mehr lassen sich also zunehmend fälschen. Sogar Wahlen könnte man auf diese Weise manipulieren. Sorgen bereiten uns zudem Chatbots. Das sind KI-basierte Programme, die Konversation führen können – auch sie funktionieren immer besser. Phishing-Mails lassen sich so künftig durch eine Hotline ergänzen. Wer anruft, weil er misstrauisch wurde, wird automatisch beruhigt. Da es intelligente Sprach-Programme sind, lassen sie sich grossflächig und in grosser Zahl einsetzen.

Cyberkriminelle setzen also vielfach neuste Technologie ein, die Laien nicht verstehen. Wie schützt sich jemand, der kein Computerprofi ist?

Die meisten Privatpersonen sind glücklicherweise nicht so interessant, dass Cyberkriminelle einen grossen Aufwand betreiben würden. Es geht immer um das Kosten-Nutzen-Verhältnis. Das heisst, die Bedrohung besteht in erster Linie aus Viren und Massen-Phishing. Einfache Schutzprogramme wie Virenscanner schützen gut vor solchen Attacken. Sie können es jedoch nur, wenn man regelmässig ein Update macht – was leider oft nicht der Fall ist. Zusätzlich empfehlen wir regelmässige Datenbackups auf passwortgeschützte Datenträger wie eine externe Festplatte. Auch dazu reichen Standardprodukte. Von wichtigen Daten sollte man drei Backups haben, zum Beispiel auf dem Computer, einem Datenträger und in einer Cloud. Mindestens ein Backup sollte örtlich von den anderen getrennt sein, ansonsten kann ein Hausbrand, ein Wasserschaden oder ein anderes Ereignis alles vernichten. Passwortschutz ist ebenfalls wichtig: Passwörter lassen sich in einem Passwort-Safe speichern. So klappt es auch mit zahlreichen Passwörtern, denn eines für alles, das ist heute schlicht viel zu gefährlich.

Auch Privatpersonen können sich also vor Cyberkriminalität schützen?

Ja, es gibt viele Produkte, die effektiv schützen und sich einfach bedienen lassen – dazu muss man kein Nerd sein. Doch nutzen sollte man sie! Und es ist wichtig, dass wir uns alle mit dem Thema beschäftigen, denn Cyberkriminalität wird nicht mehr verschwinden, sie wird sogar noch zunehmen. Genauso selbstverständlich wie das Abschliessen der eigenen Wohnung sollte daher der Schutz der eigenen Daten sein.