weather-image
14°
Ein kritischer Blick (und ein Stück Klebeband) helfen

Wie Cyberkriminelle uns ausplündern wollen

Welches ist der größtes Risikofaktor in Sachen Internet-Sicherheit? Ganz klar: der Mensch. Das wissen der Informatiker Carsten Fischer vom niedersächsischen Landeskriminalamt und der bundesweit tourende Referent Leon Klein aus ihrem Berufsalltag. Das Ergebnis der Studie eines US-Sicherheitsunternehmens bestätigt das: „91 Prozent aller Cyber-Angriffe beginnen mit Phishing-E-Mails.“

veröffentlicht am 12.07.2018 um 16:32 Uhr

Cyberkriminelle suchen sich immer neue Wege, um an die Daten von Nutzern und Firmen zu kommen. Dabei bauen sie auf Unwissenheit, Überforderung, Hilfsbereitschaft, Neugier und Angst. Foto: dpa
Juliane Lehmann

Autor

Juliane Lehmann Reporterin zur Autorenseite
Weiterlesen für 20 Cent oder mit Ihrem Digital-Abo
Sie haben bereits ein Digital-Abo der DEWEZET? Dann melden Sie sich hier mit Ihren DEWEZET -Login an und lesen Sie den Text, ohne Ihn bei LaterPay bezahlen zu müssen.

Sofern es in betrügerischen Nachrichten vor Rechtschreib- und Grammatikfehlern nur so wimmelt, drücken inzwischen auch ansonsten arglose E-Mail-Empfänger auf „Löschen“. Denn keine Bank schreibt solchen Murks.

Aber kreative Cyber-Kriminelle werden immer professioneller. Die meisten PhishingSchreiben, mit denen sie auf der Jagd nach Passwörtern und anderen wertvollen Nutzerdaten Abertausende von Posteingängen zuspammen, ahmen die Optik der Originale inzwischen fast perfekt nach. Wer die jüngste Masche noch nicht kennt, kann leicht auf die Tarnung der Absender hereinfallen – ob sie sich nun als Amazon ausgeben, als DHL, Paypal oder als Geldinstitut.

Neben Unwissenheit oder Überforderung weisen die Nutzer weitere Eigenschaften auf, die Betrüger nur allzu gern ausnutzen: „Hilfsbereitschaft, Neugierde und Angst“, listet LKA-Informatiker Fischer auf. Es ist die digitale Variante des im analogen Leben grassierenden Polizisten-Tricks: So, wie die Opfer die perfide Legende der vorgeblichen Beamten glauben, die ihr Erspartes vor Einbrechern in Sicherheit zu bringen versprechen, so vertrauen auch die Adressaten betrügerischer Mails der vermeintlichen Quelle. Und sei es auch nur für einen Moment. Der und ein falscher Klick reichen schon – und die Kriminellen dringen ein ins System. Hier schöpfen sie entweder die Daten ab, an die sie ‘ranwollen. Oder sie verschlüsseln via Trojaner sämtliche Inhalte, um ihren Opfern Schutzgeld für die Reparatur abzupressen.

Leon Klein IT-Sicherheitsfachmann, 8com
  • Leon Klein IT-Sicherheitsfachmann, 8com

„Beschäftigen Sie sich mit ihrem Smartphone und seinen Funktionen!

Leon Klein, IT-Sicherheitsfachmann, 8com

So, wie die Digitalisierung den Alltag in der Wirtschafts- und Arbeitswelt zunehmend dominiert, so erschließt sich naturgemäß auch die Betrügerbranche immer neue Tätigkeitsfelder: Das beginnt bei Erpressern aus indischen Callcentern, die sich arg- und ahnungslosen Computernutzern gegenüber am Telefon als Microsoft-Support-Mitarbeiter ausgeben und via Teamviewer-Fernwartungssoftware den Rechner lahmlegen. Und es reicht bis zu hochprofessionellen Kriminellen, die nach ausgiebiger Unternehmensrecherche mit vermeintlich internen Fake-E-Mails authentisch aussehende Zahlungsanweisungen vom Chef simulieren. Zum bekanntesten Opfer dieser „CEO Fraud“-Masche wurde vor zwei Jahren der Nürnberger Autozulieferer Leoni. Betrüger erleichterten das Unternehmen damals via Geld-Transfers ins Ausland um fast 40 Millionen Euro.

Als weit mehr als 100 neugierige Firmenchefs und ITler unlängst auf Einladung der Sparkasse Hameln-Weserbergland bei deren Unternehmerforum zum Thema Cybercrime diese und andere wahre Schauergeschichten erzählt bekamen, konnte es sie schon gehörig gruseln. Denn, das wurde bei der spannenden Lektion schnell klar: Ein Unternehmen kann Unsummen ausgeben für seine IT-Sicherheit. Aber der ganze Aufwand ist vergebens, wenn es Cyberkriminellen gelingt, auch nur einen Menschen zu täuschen. Der Experten-Tipp hier: Den vermeintlichen Mail-Absender direkt anrufen oder, besser noch, hingehen und sich rückversichern, bevor man irgendeinen Link oder Anhang öffnet. Auch PDF-Dateien sind da längst nicht so harmlos, wie mancher glaubt.

Dass die Gefahr ganz nah sein kann, bestätigt ein Sparkassen-Mitarbeiter: Vor einiger Zeit erhielt er an einem Sonntagabend um 21.45 Uhr eine E-Mail. Angeblicher Absender war der Geschäftsführers eines renommierten Hamelner Unternehmens. Der Banker wurde ob der Uhrzeit und des Inhalts stutzig – und tat das Richtige: Er wählte die 110.

91 Prozent aller Cyber-Angriffe beginnen mit Phishing-E-Mails

Mit bekannten Risiken lässt sich natürlich umgehen. Aber jede neue Betrugsmasche fordert erst einmal etliche unwissende Opfer. Umso größer ist der Aufklärungsbedarf. Ihn zu decken und über die im Netz lauernden Gefahren aufzuklären, war die Absicht der Sparkasse. Und das Publikum wurde belohnt mit zweieinhalb Stunden Erkenntnisgewinn.

Schon die vielen Besucher im Weserberglandzentrum zeigten: Die Sparkasse traf mit ihrer Einladung ins Schwarze. Erkenntnisse der Polizei bestätigen den Bedarf: Auch Mittelständler, Kommunen, Verbände und Vereine werden zunehmend zu Zielen des Chefbetrugs in immer neuen Varianten. So soll es örtlichen Medien zufolge kürzlich einen CSU-Kreisverband in Franken getroffen haben. Verlust: mehrere 1000 Euro.

Wer jetzt also noch denkt „Informationssicherheit? Geht mich nichts an“, der täuscht sich, wenn er Pech hat, ganz gewaltig. Denn in krimineller Absicht lassen sich auch Smartphones prima kapern und missbrauchen. Wie bei anderen Aufklärungsshows republikweit demonstrierte der Sicherheitsfachmann Leon Klein das auch in Hameln. Mit Minimal-Equipment las er die Namen von zig Android-Smartphones aus dem Publikums im Saal aus und warf sie und die Namen der jeweiligen privaten WLAN-Netzwerke in einer langen Liste an die Wand.

Ebenso simpel demonstiert Leon Klein die Erstellung einer Fake-Mail der Bundeskanzlerin an die rheinland-pfälzische Ministerpräsidentin Malu Dreyer, inklusive Kanzleramtslogo und der Unterschrift Angela Merkels.

Information

Vor diesen E-Mails warnen Polizei und Verbraucherschützer

Gefälschte E-Mails diverser Geldinstitute: Zu den vorgeblichen Absendern gehören die Landesbank Berlin, die IngDiba und Barclay-Card, aber auch der Zahlungsdienst Paypal.

Auch im Meer der aktuellen Info-Mails zur Datenschutzgrundverordnung schwimmen Cyberkriminelle mit. Ihre Phishing-Mails in täuschend echter Optik der Finanzgruppe des Deutschen Sparkassen- und Giroverbandes fordern deren Kunden zu einer Bestätigung von Daten im Rahmen der DSGVO auf. Wer das nicht tue, müsse andernfalls eine Servicegebühr zahlen, heißt es in den Schreiben. „Ignorieren Sie die Aufforderung und verschieben Sie diese und andere Betrugsversuche unbeantwortet in ihren Spamordner“, mahnt die Verbraucherzentrale Nordrhein-Westfalen.

An der Fußball-WM wollen Kriminelle ebenfalls verdienen. Mit Fake-Shops, Ticketshops und Gewinnspielen versuchen sie an Daten und Geld zu gelangen oder die Rechner ihrer Opfer zu manipulieren.

Und wenn der für das IT-Sicherheitsunternehmen 8com tätige Referent einem zuvor eingeweihten Sparkassen-Mitarbeiter im Namen eines ebenfalls informierten Kollegen per SMS sinngemäß mitteilt: „Ich kündige, Du kannst meinen Job haben“ und die passende Antwort gleich hinterherschickt, dann zeigt die witzige Demonstration denen, die das zuvor nicht wussten, vor allem eins auf: die Verletzlichkeit der digitalen Infrastruktur, wenn deren Nutzer nicht gehörig auf der Hut sind.

Beispiel: Benutzername und Passwort. „Jede digitale Identität ist extrem wertvoll“, sagt Leon Klein. Dass dieselben Codes auf allen Kanälen von Ebay bis zur Hausbank den Identitätsdiebstahl für Kriminelle zum äußerst profitablen Kinderspiel machen, ist in der Tragweite längst nicht jedem klar. Wenn plötzlich 500 Beschwerden kommen, weil 500 Käufer der unter dem eigenen Namen verscherbelten 500 I-Pads endlich ihre Ware wollen, ist guter Rat teuer. Und der gute Ruf dahin. Die Betrüger erzielen derweil mit wenig Arbeit gigantische Erträge.

Leon Kleins Rat: „Beschäftigen Sie sich mit ihrem Smartphone und seinen Funktionen! Und installieren sie immer die Updates!“ Ansonsten werde das Android-Handy zur perfekten Wanze.

Apropos: Die Laptop-Webcam abzukleben, ist ein weiterer Tipp der Experten. Klingt altbacken und leicht paranoid. Schützt aber davor, dass alle Welt die eigene Wohnung von innen kennenlernt.

So werden Firmen betrogen

  • Bewerbungen: Eine fiese Masche sind Trojaner, die den Rechner kapern, wenn der Personalchef einer Firma den angehängten Lebenslauf einer vorgeblichen Bewerbungs-E-Mail öffnet. Potenzielle Opfer finden die Betrüger, indem sie Stellenausschreibungen aus dem Netz kopieren, erklärt Cybercrime-Fachmann Carsten Fischer vom Landeskriminalamt Niedersachsen. Weil viele Erpressungsopfer zahlen, ist die Masche zurzeit ziemlich profitabel.
  • USB-Sticks: Ein Weg, um Schadsoftware in Unternehmen zu schleusen, sind auf dem Firmenparkplatz „verlorene“ oder sogar per Brief verschickte präparierte USB-Sticks. Wer die aus Neugierde in seinen Büro-Rechner steckt, beschert seinem Unternehmen ein Riesenproblem.
  • Vor Anrufern, die sich als Beamte des Auswärtigen Amtes ausgeben und um eine Spende für die Bundesregierung zum Freikauf deutscher Geiseln in Mali bitten, warnt aktuell das Bundeskriminalamt. Die BKA-Pressestelle betont: „Das echte Auswärtige Amt sucht nie Kontakt zu Unternehmen, um finanzielle Unterstützung durch die Privatwirtschaft einzuwerben!“

Hier gibt es Infos, Tipps und Hilfe

  • Der Phishing Radar auf der Homepage der Verbraucherzentrale Nordrhein-Westfalen listet aktuelle Warnungen auf.
  • Die Polizei Niedersachsen bietet auf polizei-praevention.de eine Fülle von Hinweisen rund ums Thema an.
  • Verdächtige E-Mails können Nutzer unkommentiert ans Landeskriminalamt (LKA) Niedersachen weiterleiten – und zwar an

trojaner@zik-nds.de

  • Für Unternehmen hat das LKA die Zentrale Ansprechstelle Cybercrime installiert. Hotline: 0511-26262-3804, Homepage: zac-niedersachsen.de


Copyright © Deister- und Weserzeitung 2018
Texte und Fotos von dewezet.de sind urheberrechtlich geschützt.
Weiterverwendung nur mit Genehmigung der Chefredaktion.


Mehr Artikel zum Thema
Weiterführende Artikel
    Anzeige
    Kommentare