Wer liest da mit?

Viele Menschen sind zu sorglos im Internet unterwegs: Das ist die Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Obwohl die Bedrohungslage durch Cyber-Kriminalität besorgniserregend sei, seien sich viele der Risiken nicht bewusst. Laut der BSI-Studie „Cybersicherheitsmonitor 2024“ war schon jede vierte Person in Deutschland Opfer von Cyber-Kriminellen. Trotzdem stufte mehr als die Hälfte der Befragten ihr Risiko als gering ein, in Zukunft Opfer einer Straftat im Internet zu werden.

Es gibt immer wieder Hoffnungsschimmer im Kampf gegen die Hydra – etwa der erfolgreiche Schlag gegen eine kriminelle Ransomware-Gruppierung im August durch die Zentralstelle Cybercrime Bayern (ZCB) und das Bayerische Landeskriminalamt (BLKA). Die Cyber-Kriminellen waren international von Australien bis Kanada aktiv und nahmen bevorzugt Institutionen sowie kleine und mittlere Unternehmen ins Visier. Sie nutzten verwundbare Rechnersysteme, schwache Passwörter und fehlende Zwei-Faktor-Authentifizierungen als Einfallstor, um dann die Computersysteme zu verschlüsseln.

„Menschliches Fehlverhalten ist nach wie vor die häufigste Ursache für erfolgreiche Cyber-Angriffe“, sagte Kriminalhauptkommissar Andreas Bauer vom BLKA auf dem Webinar „Prävention eines Cyber-Angriffs und E-Mail-Sicherheit“, zu dem die bayerischen IHKs eingeladen hatten. Häufig führten Fehler von Mitarbeitern zu technischen Mängeln, die dann die Tore für die Angreifer öffnen. Einfallstore seien u. a. fehlende Backups und Updates, unverschlüsselte Kommunikation sowie fehlender oder veralteter Virenschutz. Auch schwache Passwörter und Neugierde (z. B. Öffnen von dubiosen Links und Benutzung von gefundenen USB-Sticks) machten es den Angreifern leicht.

Selbst unangemessener Respekt vor Autoritäten wird von den Kriminellen ausgenutzt. Der Cyber-Ermittler illustrierte das Vorgehen bei einem solchen Zahlungsbetrug (Payment Fraud) an einem realen Beispiel: Bei der Buchhaltung eines Betriebs geht ein E-Mail ein, das angeblich vom Chef kommt, der sich auf einer Messe in China aufhält. Darin wird der Mitarbeiter aufgefordert, kurzfristig einen Betrag an einen potenziellen neuen Geschäftspartner zu überweisen, aber erst einmal darüber Stillschweigen zu bewahren. Der Messebesuch war für die Betrüger durch Social-Media-Posts kein Geheimnis, der Schaden ging in die Millionenhöhe.

Phishing-Attacken auf Unternehmen

Bei einer anderen Masche wurde eine gefälschte Mail eines wirklichen Geschäftspartners an 100 Mitarbeiter des Partnerunternehmens gesendet – in der berechtigten Hoffnung, „einer klickt auf den Link“. Über den Link gelangte der Mitarbeiter des betrogenen Unternehmens auf eine gefälschte Microsoft-Site und wurde erfolgreich aufgefordert, Benutzername und Passwort einzugeben. Auf diese Weise konnte sich der Täter bei Microsoft einloggen und Rechnungsvorlagen mit dem Firmenlogo stehlen. „Der Mitarbeiter hatte intern überdimensionierte Zugriffsrechte“, betonte der BLKA-Experte. In diesem Punkt bestehe bei manch einem Unternehmen Handlungsbedarf, denn die Benutzerrechte seien häufig zu großzügig eingestellt, sollten aber so stark wie möglich begrenzt werden. Denn mit den erbeuteten Daten des gehackten Mitarbeiters wurden in seinem Namen Rechnungen mit einer geänderten IBAN an einen Kunden gesendet, von denen drei auch beglichen wurden. Erst nach 28 Tagen wurde der Angriff bemerkt, nach 35 Tagen wurde die Polizei eingeschaltet. „Da sind die Täter bereits über alle Berge.“

Bei diesem sogenannten Phishing versuchen Angreifer aus dem Cyber-Space, sensible Daten wie Passwörter oder Bankdaten zu stehlen. Das funktioniere nicht nur per Mail, sondern auch etwa per SMS, weiß Bauer aus seiner Praxis. Nicht so häufig sei das Crypto-Hacking, bei dem Firmenrechner gekapert werden, um mit der Rechenleistung beispielsweise Bitcoins schürfen, also zu produzieren. Bei einem Angriff mit Ransomware versuchen die Kriminellen etwa durch gefälschte Mails, die Empfänger zum Download von Schad-Software zu verleiten. Einmal auf „öffnen“ geklickt, verbreitet sich die Malware im ganzen System. Sind dann die Daten verschlüsselt, wird von dem Unternehmen oder von der Einrichtung Geld erpresst.

Gefährliche Mails erkennen

Eine kriminelle Mail zu erkennen, ist aber nach den Erfahrungen der Sicherheitsbehörden oft gar nicht so einfach. Durch das sogenannte Spoofing lassen sich nämlich Namen der Absender relativ leicht fälschen. Oder die Angreifer arbeiten mit bekannten Unternehmensnamen wie etwa Amazon und ersetzen das „o“ durch eine Null. Ein anderer Trick: Es wird der Name eines Absenders verwendet, den der Empfänger kennt, aber ein Buchstabe verändert, was oft nicht auffällt. Oder der Firmenname wird mit einem Zusatz in der Mail verwendet, sodass beispielsweise ein Absender wie @paypal-sicherheit.de auf den ersten Blick fälschlicherweise vertraut aussieht.

„Die E-Mail ist einer der größten Angriffsvektoren“, warnt Bauer. Man sollte deshalb immer einen prüfenden Blick auf Inhalt und Absender werfen. Das gilt auch für Anhänge wie PDF oder Doc-Dokumente, bei denen sich Schad-Software in den Makros der Dateien verbergen kann. Eine Datei, die auf „.exe“ endet, steht immer für ein ausführbares Programm. Zip-Dateien sind immer eine „Black Box“, hier sollte man im Zweifelsfall den Absender kontaktieren. Rechtschreibfehler und falsche Grammatik sind zwar nach wie vor ein gutes Indiz für eine kriminelle Mail. Allerdings hat der Einzug der Künstlichen Intelligenz (KI) hier völlig neue Möglichkeiten geschaffen: „Eine KI wie ChatGPT schreibt für Chinesen eine glaubhafte E-Mail.“ Der Vormarsch der KI erlaubt auch sogenannte Deepfakes, die einen Geschäftsführer am Telefon oder in einem Video ziemlich glaubhaft imitieren können.

Kriminalhauptkommissar Bauer warnte die Webinar-Teilnehmer deshalb eindringlich: „Die Qualität und Anzahl der Angriffe wird deutlich steigen, die Erkennung von Angriffen wird immer schwerer.“ Dem sollte man durch eine geschärfte Aufmerksamkeit und eine sicherheitsbewusste IT-Verwaltung begegnen. Gegebenenfalls müssten Firmen ihre Prozesse und Berechtigungen überprüfen. Wichtig vor allem: Zwei-Faktor-Authentifizierung, sichere Passwörter und regelmäßige Updates.

Autor: Thomas Tjiang