Cyberbedrohungen
Sicherheitsmythen: Soll ich, oder soll ich nicht …
Was tun, wenn man Opfer eines Betrugs geworden ist? Die Polizei macht eh nichts … Wirklich? Konten mit Multifaktor-Authentifizierung absichern, dann kann nichts mehr passieren. Das stimmt schon, aber nicht immer. Wir klären diese Missverständnisse auf!
Mythen in der Security lassen sich nicht immer mit einem Satz oder über den Appell an die Vernunft enttarnen – meist heißt es, „das stimmt schon, aber …“. So funktioniert es etwa bei der Überzeugung Multifaktor-Authentifizierung sei sicher. Allerdings, wenn es darum geht, einen Cyberbetrugs bei der Polizei anzuzeigen, gibt es nur eine Antwort.
Zur Polizei zu gehen, bringt nichts!
„Ja, es ist nun mal passiert, ich war so dumm, darauf hereinzufallen.“ Dies ist eine normale Reaktion auf einen Cyberbetrug: die Scham über das eigene Verhalten, die eigene „Dummheit“ etwas gemacht zu haben, obwohl man es eigentlich besser wusste … Und damit dann zur Polizei gehen? Bringt nichts! – ist eine der Ausreden, mit der wir uns selbst ein zweites Mal betrügen. Es ist der bequeme Weg, nicht noch einmal alles durchzumachen, sondern die unangenehme Geschichte wegzuschieben. Ja, wir sind sogar bereit, dafür „Lehrgeld“ zu zahlen und den Verlust abzuschreiben.
Laut einer Umfrage der Globalen Anti Scam Allianz (GASA) zeigten 64% der Opfer in der Region DACH Cyberbetrug nicht bei der Polizei an. 18% der Befragten erklärte, ein Bericht bei der Polizei würde nichts ändern.
Diese Zahlen beziehen sich auf Verbraucher. Für Unternehmen gibt es dazu kaum Statistiken. Im Unternehmensbereich gehen Betroffene auch aus anderen Gründen nicht zur Polizei. Zum einen befürchten sie, dass diese Beweismittel z.B. Server und Computer sicherstellt. Andere wiederum wollen sich die Möglichkeit offen halten, die vom Täter geforderte Summe zu überweisen – aber ist man dann selbst kriminell? Natürlich drohen auch Cybertäter bei jeder Erpressung mit dem „Weltuntergang“, sollten Behörden eingeschaltet werden.
Die meisten dieser Überlegungen sind Unsinn. Aber eben einige auch nicht. So gelten einige Tätergruppen tatsächlich als Unterstützer der russischen Kriegsbemühungen. Eine Zahlung an diese kann deshalb durchaus ein Nachspiel haben, vor allem auf internationaler Ebene. Genauso heikel wird es, wenn es um Informationsdiebstahl geht. Handelt es sich um personenbezogene Daten, die gestohlen wurden, muss man die Betroffenen darüber informieren. Das fordert der Gesetzgeber, und kommt man dieser Pflicht nicht nach, so ist das nicht nur einen Verstoß gegen die DSGVO. Das wissen auch die Kriminellen, die nun erneut ein weiteres Druckmittel für ihre Erpressungen erhalten. Ob man am Ende etwas übersehen hat oder strafbar missachtet, ist dann immer schwerer zu unterscheiden. Allein deshalb lohnt es sich die Polizei einzuschalten!
Aber bringt es etwas? Oh ja. In den letzten Jahren haben Behörden zunehmend Erfolge gegen die Cyberkriminalität errungen. In Deutschland zählen dazu die Ausschaltung von Onlinemarktplätzen wie „Hydra“ oder „Crimenetwork“ und dank internationaler Zusammenarbeit auch die Enttarnung von Angreifergruppen wie Lockbit und Emotet. Basis dieser Erfolge sind Daten, die Behörden von individuellen Opfern und solchen aus der Privatwirtschaft erhalten! Die aktive Mithilfe der Betroffenen ist dabei unerlässlich, um gegnerische Infrastrukturen zu identifizieren und auszuschalten. Der Gang zur Polizei trägt auch dazu bei, andere vor neuen Maschen zu warnen. Und schließlich gelingt es der Polizei immer häufiger, die gestohlenen Gelder zurückzuführen.
Multifaktor-Authentifizierung (MFA) ist sicher
Es stimmt, MFA gehört zu den sicheren Technologien. Doch im Bereich der Sicherheit (allgemein) gibt es nur einen Grundsatz, und der lautet: Alles ist nur relativ.
Angriff und Verteidigung befinden sich seit jeher im Wettstreit, und auf jede erfolgreiche Aktion der einen Seite gibt es eine Reaktion der Gegenseite. So gibt es auch im Fall von MFA Wege, daran vorbeizukommen. Eine dieser Methoden wurde mehrfach in Cyberangriffen demonstriert. Es geht um so genannte „MFA Fatigue“-Attacken. Wie der Name schon andeutet, werden Opfer deren Passwörter zuvor entwendet wurden, mit MFA-Anfragen so lange belästigt, bis diese einfach mal auf akzeptieren drücken und dann den „Stress“ los sind.
Das Ganze lässt sich allerdings auch weiter personalisieren: In einigen Angriffen rief ein „neuer Mitarbeiter“ der IT beim Opfer an und entschuldigte sich für die häufigen MFA-Anfragen. Es handle sich um ein IT-Problem, das er, der „neue Mitarbeiter“ verursacht habe. Um es zu lösen, müsste der Nutzer nur einmal kurz die Abfrage genehmigen. Die Aktion wurde, wie sich später herausstellte, von 16-jährigen Schülern erfolgreich gegen mehrere Konzerne angewendet. Wer hilft nicht gern einem jungen Menschen, dem ein Missgeschick passiert ist?
Es sind oft die einfachsten Mittel, um zum Erfolg zu kommen. Die Bitte um Hilfe ist dabei in vielen Fällen ein unwiderstehlicher Köder. MFA sollte man allerdings immer selbst auslösen. Hat man es nicht getan und wird dennoch um Genehmigung gebeten, gilt es, zuerst das eigene Passwort zu ändern. Es wurde höchstwahrscheinlich bereits gestohlen.
Als nächstes wollen wir die Mythen „Mit unseren Daten kann doch niemand etwas anfangen!” sowie „Datenschutz ist gleichbedeutend mit Datensicherheit“ näher beleuchten.