Cybersicherheit

10 Dinge, die Sie noch nicht über Cybersicherheit wussten

Mangelnde Cyberkompetenz: Fast jede/r Zweite in Österreich über 16 Jahre schätzt sich in den Kompetenzbereichen "Erzeugung digitaler Inhalte, Sicherheit sowie Problemlösung als wenig kompetent ein, besagt die Studie "Fit4Internet" des Bundesministeriums für Digitalisierung und Wirtschaftsstandort. Bei den tiefergehenden Fragen hat sich gezeigt, dass die Ergebnisse im Kompetenzbereich „Sicherheit“ besonders schlecht waren.

     

Cybersicherheit
Quelle: Bericht Cybersicherheit 2020 Bundeskanzleramt

Die mangelnde Cyberkompetenz hängt ursächlich mit der Entwicklung von Cybercrime zusammen. Ein Kriminalitätsbereich, der seit Jahren wächst. Mangelndes Wissen über Taktiken und Vorgehen der Täter führen zwangsläufig zu mehr Vorfällen. Nicht zuletzt deshalb, weil Cybercrime mittlerweile ein milliardenschwerer Industriezweig ist,  gut organisiert und extrem effizient darin Schwachstellen zu entdecken und auszunützen - Schwachstellen in Systemen und in Menschen.

3 Fragen an Andreas Pilsl, Landespolizeidirektor

  1. Vor welchen Herausforderungen steht die Polizei?
  2. Wie kann sich die Bevölkerung vor Cyberkriminalität schützen?
  3. Welche Tipps haben Sie?

Im Video erhalten Sie die Antworten auf die Fragen.

1. Hilfe, mein Handy trackt mich

Das Wort 'Tracking' kommt aus dem Englischen und bedeutet auf Deutsch 'Verfolgung'. Dabei wird im Internet eine Art Spur eines Nutzers verfolgt. Paketdienste wie DHL oder Hermes verwenden ebenfalls diesen Begriff. Dort können Sie ein Paket mithilfe einer Nummer tracken beziehungsweise den aktuellen Standort ermitteln. 

Nutzerverfolgung: Viele Webseiten zeichnen das Nutzerverhalten im Internet mit Hilfe von Trackingdiensten auf. Zur Überwachung zählen Datensätze wie Zeitpunkt, Bewegungen innerhalb der Seite und von wo ein User auf die Webseite gekommen ist, zum Beispiel über eine Suchmaschine oder über Werbeeinblendungen. 

Auswertung: Das eigentliche Ziel eines Trackingdienstes ist, das Online-Marketing zu verbessern. Eine Webseite kann Profile zu Ihrer Person erstellen. Diese Zuordnungen werden im Hintergrund in einem sogenannten Cookie auf dem PC gespeichert. Wenn die Cookies nicht gelöscht werden, kann Sie eine Webseite langfristig verfolgen und identifizieren.

Tracking ist aber nicht nur über eine einzelne Website möglich, sondern auch über mehrere Seiten, die miteinander kooperieren. Möglich ist das z.B. durch die Cookie-Synchronisation oder durch die Einblendung von Werbebannern. Über das Banner ist dann ebenfalls der Zugriff auf die Cookies möglich.

Um mit dem Tracking nicht nur die Informationen innerhalb einer App zu nutzen, sondern auch über andere Apps hinaus, sind Advertising IDs erforderlich. Diese Technik funktioniert sowohl auf Android- als auch auf iOS-Geräten.

Mit dem Cross-Device-Tracking ist es wiederum möglich, das Nutzerverhalten über verschiedene Geräte hinweg zu analysieren. Dadurch erkennen Sie genauer, welche Stationen Ihre Nutzer bis zu einer Konversion durchlaufen.

2. 10 Likes verraten mehr als meine Kollegen über mich wissen

Bleiben wir beim Thema Tracking & Profilerstellung. Wir erinnern uns: Profile eignen sich hervorragend als Ausgangspunkt für Phishing & Social Engineering. Wu Youyou von der University of Cambridge und ihre Kollegen haben bei 86.220 Facebook-Nutzern untersucht, wie gut ein Computerprogramm ihre Persönlichkeit anhand der von ihnen gelikten Bilder, Videos, Texte und Kommentare auf Facebook bestimmen kann – und wie genau dies mit der über einen psychologischen Test bestimmten Persönlichkeit übereinstimmt. Zum Vergleich ließen sie Arbeitskollegen, Freunde und Lebenspartner die Zielperson ebenfalls beschreiben.

Mit nur einem Klick kann der an der englischen Cambridge Universität entwickelte Test unsere Persönlichkeit einschätzen – vorausgesetzt, wir haben genug Personen, Dinge und Aktivitäten mit einem Like gekennzeichnet. Das Computerprogramm kommt dabei auf erstaunliche Ergebnisse:

  • 10 Likes reichen, um auf dem gleichen Level zu schätzen wie ein Arbeitskollege
  • 70 Likes sind nötig, um jemanden so gut zu beurteilen wie ein Mitbewohner oder Freund
  • 150 Likes benötigt das Programm, um so akkurat zu sein wie ein Familienmitglied
  • 300 Likes um so gut zu schätzen wie der Partner

Anhand der „Likes“ war es möglich, mit einer 88prozentigen Wahrscheinlichkeit vorherzusagen, ob die Person homosexuell oder heterosexuell ist. Die Zuordnung der politischen Ansichten einer Person war mit einer Wahrscheinlichkeit von 85 Prozent möglich. 

Die gezielte Nutzung von Daten der Cambridge Analytica Studie führte im Jahr 2016 zu einer Wahlbeeinflussung (Demotivation campaing) von Donald Trump.

3. So leicht kann Ihr WhatsApp Konto gestohlen werden

In einer WhatsApp-Nachricht werden Sie gebeten, der Person einen 6-stelligen-Code weiterzuleiten. Dieser Code wurde angeblich versehentlich an Sie gesendet. Den Code, um den Sie gebeten werden, haben Sie wahrscheinlich zeitgleich per SMS erhalten. Es handelt sich dabei um einen WhatsApp-Code. Die Person behauptet, dieser Code wäre für sie bestimmt und bittet Sie, diesen rasch weiterzuleiten. Das sollten Sie keinesfalls tun, denn damit ermöglichen Sie dieser Person Ihr WhatsApp-Konto zu übernehmen.

Dieser 6-stellige WhatsApp-Code ist der Schlüssel zu Ihrem WhatsApp-Account. Erhalten die Kriminellen diesen Code, können Sie Ihren WhatsApp-Account mit Ihrer Telefonnummer auf einem anderen Gerät aktivieren. Sie haben dann keinen Zugriff mehr auf Ihr WhatsApp-Profil. Die Kriminellen können sich dann als Sie ausgeben und all Ihren Kontakten schreiben.
 

WhatsApp-Code ist wie ein Passwort

Ein WhatsApp-Code wird immer dann zugesendet, wenn Sie ihn in der App anfordern. Das ist beispielsweise der Fall, wenn Sie Ihr WhatsApp-Konto auf ein anderes Gerät oder auf eine neue Telefonnummer übertragen möchten. Wenn Sie einen WhatsApp-Code erhalten, ohne etwas getan zu haben, hat jemand versucht, sich mit Ihrer Telefonnummer bei WhatsApp anzumelden. Das kann selbstverständlich auch versehentlich passieren – wenn eine falsche Nummer eigetippt wurde. Erhalten Sie aber zugleich eine Nachricht, in der Sie gebeten werde, diesen Code weiterzuleiten, möchte sich jemand Zugriff zu Ihr WhatsApp-Konto verschaffen.

4. Zwei von drei Apps tun nicht (nur) was sie sollen

Bisher hat alles mit Profilen, Daten und Social Engineering zu tun gehabt. Betrug, aber der User hat die Handlungen selbst gesetzt.

Nun kommen wir zu technischeren Angriffen, mittels Schadsoftware. 2020 wurden 218 Milliarden Apps weltweit runtergeladen (31 pro Menschen). Und: Jede dritte App ist Malware. 
 

Welche Vorsichtsmaßnahmen Smartphone-Nutzer einhalten sollten

Folgende Maßnahmen reduzieren die Gefahr, Opfer einer Malware-Attacke zu werden:

  • Laden Sie Apps nur aus den offiziellen Stores der Anbieter. Seien Sie vorsichtig bei neuen Angeboten, die noch keine oder wenige Nutzerbewertungen haben. Lesen Sie sich Bewertungen vor dem Download durch.
  • Überprüfen Sie, welche Rechte sich die App einräumt. Seien Sie misstrauisch, wenn zwischen Funktion und angefordertem Zugang kein logischer Zusammenhang besteht, etwa wenn eine Kamera-App auf das Mikrofon des Smartphones oder auf Ihr Adressbuch zugreifen möchte.
  • Halten Sie Betriebssystem und Browser immer auf dem neuesten Stand. Installieren Sie vor allem Sicherheits-Updates so schnell wie möglich.
  • Meiden Sie WLAN-Angebote, deren Betreiber Sie nicht kennen. Nutzen Sie nach Möglichkeit die offiziellen Hotspots der Provider oder seriöse Angebote von Hotels und anderen Anbietern. Verschlüsseln Sie den kompletten Netzverkehr, indem Sie ein Virtual Private Networks (VPN) einrichten. Installieren Sie Apps, die gezielt vor den Gefahren in WLANs schützen.

5. Schadsoftware funktioniert „Datei-los“

Man muss aber nicht immer etwas installieren, um sich eine Schadsoftware einzufangen.
 
  1. User erhält E-Mail (manchmal von einer bekannten Person)
  2. User öffnet das Attachment oder klickt auf den Link, um das Dokument runterzuladen
  3. Social Engineering bringt den User dazu, sich sicher zu fühlen
  4. Sobald die Makros aktiviert sind, läuft ein Skript, das sich direkt mit dem C2 Server verbindet und Schadsoftware in den Speicher lädt. Es sind keine Installationen erforderlich und es werden keine Dateien auf die Festplatte geschrieben, die vom Antivirus entdeckt werden könnte
  5. Das Gerät ist nun infiziert. Der Angreifer kann beliebigen Code ausführen oder sich auf weitere Geräte verbinden

6. Schadsoftware sitzt jetzt auch im Kabel

Das Phänomen ehemals harmloser Hardware-Komponenten, die plötzlich in schadbringende Malware-Schleudern oder Hackerwerkzeuge verwandelt werden, häuft sich und ein harmloses USB-Kabel kann zum Einfallstor für Schadsoftware werden.

So lassen sich die Kabel beispielsweise so modifizieren, dass sie schädliche Software auf den Computern installieren, an die sie angeschlossen werden. Der Nutzer bekommt dabei im für den Angreifer optimalen Szenario nichts mit, die Geräte werden mit dem Kabel normal geladen. Eine Tastenkombination gibt USB das Go für Malware-Freisetzung und schon ist Ihr Computer infiziert. 

7. Hotel-WLANs sind unsicher

„Captive portals“ stehen zwischen Ihrem Endgerät und der Internetverbindung

Ein böswillig konfiguriertes WLAN kann sich zwischen Sie und den Empfänger setzen und Daten mitlesen. Es kann aber auch Ihren Browser manipulieren und im Worst Case Schadsoftware installieren

Was kann dann passieren?

  • Der Angreifer kann alles mitlesen, inklusive Passwörter die sie eingeben, zB für Webmail
  • Somit kann er ihre Accounts stehlen oder sich auf Social Engineering Angriffe vorbereiten
  • Im Worst Case kann er auf ihre Daten zugreifen oder einen Kryptolocker installieren

https alleine ist nicht ausreichend

VPN hilft, aber nicht in allen Fällen – man verbindet sich mit einem Netzwerk und akzeptiert gewisse Einstellungen, klickt auf Links (Remember: Malware? ;-)

Das Hotel muss nicht bösartig sein, es kann auch ein Hacker nebenan sitzen und ein „gefälschtes Hotel-WLAN“ simulieren, das genauso aussieht wie das echte aber stärker sendet.
 

Wenn Sie auf Nummer sicher gehen wollen: 

  • LTE / Mobilfunk Netz nutzen
  • Niemals WLANs in nicht vertrauenswürdigen Umgebungen nutzen „MySpelunke.com“
  • Immer VPN nutzen

8. Microsoft ist nicht immer Microsoft

Betrüger geben sich als Microsoft Mitarbeiter aus

Social Engineering ist die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlägt rein technische Ansätze in Sachen Geschwindigkeit um Längen. Warum funktioniert das? Weil wir Menschen sind!

Beim Social Engineering erschleichen Angreifer das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen. Die Opfer geben im guten Glauben vertrauliche Daten oder den Zugang zu den Daten weiter. Rein technische Datenschutz-Maßnahmen reichen als Gegenreaktion nicht aus. Die psychologischen Tricks der Angreifer zu kennen, muss hinzukommen. 

Zu den Top-10-E-Mail-Betreffzeilen im 4. Quartal 2018, die die Opfer weltweit am häufigsten anklickten, gehören:

  • Passwort-Überprüfung sofort erforderlich / Änderung des Passworts umgehend erforderlich (19 %).
  • Ihre Bestellung bei Amazon.com / Ihre Amazon-Bestellbestätigung (16 %).
  • Ankündigung: Änderung des Urlaubsplans (11 %).
  • Frohe Feiertage! (10 %).
  • Problem mit Ihrem Bankkonto (8 %).
  • Deaktivierung der [[E-Mail]] im Prozess (8 %).
  • IT-Abteilung (8 %).
  • Überarbeitete Urlaubs- und Krankheitsrichtlinie (7 %).
  • Letzte Erinnerung: Bitte antworten Sie sofort (6 %).
  • UPS Etikettenversand  (6 %).

Wie gegen Social Engineering schützen?

Anders als bei den meisten sonstigen Angriffsformen der Datendiebe ist ein Unternehmen bei Social Engineering auch dann gefährdet, wenn das Netzwerk sowie alle Server und Endgeräte vollständig und optimal durch ein IT-Security-Management abgesichert sind.

Das Ziel von Social Engineering ist eher das Ausnutzen menschlicher Eigenschaften als das von technischen Schwachstellen. Hacker konzentrieren sich häufig auf Eigenschaften und Reaktionen wie

  • Neugierde,
  • Hilfsbereitschaft,
  • Kollegialität,
  • Kundenfreundlichkeit und
  • Angst.
verluste
Social Engineering führt zu realen Verlusten

9. Warum Passwörter ein Problem sind

Auch wenn es lästig ist – um sichere Passwörter kommt niemand herum.

Ein Beispiel zur Veranschaulichung:

Ein Hacker benötigt mit den derzeitigen Möglichkeiten zum Knacken Ihres 11-stelligen Passworts aus:

  • Zahlen ▶ 2 Sekunden. 
  • Kleinbuchstaben ▶ 1 Tag. 
  • Klein- & Großbuchstaben ▶ 5 Jahre
  • Zahlen, Klein & Großbuchstaben ▶ 41 Jahre
  • Zahlen, Klein & Großbuchstaben, Sonderzeichen ▶ 400 Jahre

Quelle: HowSecureismyPassword.net

Quelle: www.haveIbeenpwned.com
Quelle: www.haveIbeenpwned.com

Tipps

  • Sichere Passwörter sollten mindestens 10 Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen und in keinem Wörterbuch zu finden sein oder mit Ihnen in Verbindung stehen.
  • Bei Datenlecks gelangen immer wieder Nutzerkonten und Passwörter in Listen, die sich im Internet verbreiten. Nutzen Sie daher für jedes Nutzerkonto ein einzigartiges Passwort.
  • Je sensibler ein Zugang ist (etwa beim Online-Banking), desto wichtiger ist ein möglichst starkes Passwort.

10. Man kann seinen eigenen Augen nicht mehr trauen

Ein Deepfake oder Deep Fake ist ein mit Hilfe künstlicher Intelligenz erstelltes Bild oder Video, das authentisch wirkt, es aber nicht ist. Auch die Methoden und Techniken in diesem Zusammenhang werden mit dem Begriff bezeichnet. Verwendet werden Machine Learning und speziell Deep Learning.  

Die Gefahren:

  • Identitätsdiebstahl
  • Betrug
  • Social Engineering
  • Erpressung
  • “Outsider Trading”
  • Finanzmarkt Manipulation

die nächsten Schritte

Nächste Woche

  • Gehen Sie auf haveIbeenpwned.com
  • Überprüfen Sie alle Ihre Passwörter. Ändern Sie alle schwachen und wiederverwendeten.
     

Nächsten 3 Monate

  • Überlegen Sie die Nutzung eines Passwort-Safes
  • Überlegen Sie die Nutzung eines VPNs
  • Löschen Sie alle zweifelhaften Apps
  • Checken Sie Ihre Social Media Kontakte und löschen Sie alle, die Sie nicht (mehr) kennen

Quelle: RLB-Talk im Tower/ Dr. Thomas Stubbings, MBA/ 2. Juli 2021