Seit dem Ausbruch der Corona-Pandemie haben Cyberkriminelle ihre Aktivitäten spürbar verstärkt. Daten des Softwareherstellers G DATA zufolge ist das Volumen an abgewehrten Cyberattacken im zweiten gegenüber dem ersten Quartal 2020 um 154 Prozent gestiegen. Im Interview erklärt Dirk Labudde, Professor für Forensik und Bioinformatik an der Hochschule Mittweida, wie man sich vor Cyberangriffen schützt – und was uns als Menschen eigentlich angreifbar macht.
Wird die Gefahr von Cyberangriffen tendenziell unterschätzt?
Ja, leider. Gerade Cyberkriminalität, wo nicht direkt ein haptischer Schaden registrierbar ist, wird unterschätzt. Oft weiß der Bürger überhaupt nicht, dass er gerade Teil einer Cyberattacke oder eines Botnetzes ist, dass seine Daten irgendwo geleakt oder abgezogen wurden. Was auch im Grundverständnis manchmal sehr schwierig ist: Wir wissen gar nicht, dass unsere Daten weg sind, weil sie noch da sind – wenn sie kopiert werden, sind sie trotzdem noch für uns da.
Passwörter schützen unsere persönlichen Daten. Wie leicht können Kriminelle diese hacken?
Das hängt natürlich von der Länge ab und wie viel man über einen Menschen weiß. Wir versuchen ja ein Passwort zu generieren, an das wir uns wirklich immer erinnern. Deswegen ist das meistverwendete Passwort immer noch „123456“. Dann gibt es ganz viele individuelle Passworte mit dem Geburtsdatum – dem eigenen, des Partners, der Kinder – dem Namen des Haustieres … Je mehr Hintergrundinformationen ich da als Social Engineer habe, desto leichter wird es. Bei einem Passwort, das angelehnt ist an einen Satz aus einem Buch, mit Groß- und Kleinschreibung und einer Zahl, wird es natürlich für denjenigen, der alles Mögliche durchprobieren muss, immer schwieriger. Deswegen sollte man sich ein Passwort überlegen, was einem einfällt, aber nicht leicht mit der digitalen oder analogen Identität lösbar ist.
Warum sollten User Passwörter nicht im Internetbrowser speichern?
Unsere Daten sind das wichtigste, was wir gerade schützen möchten. Das Speichern aus der eigenen Applikation heraus ist da nicht zielführend. Man sollte lieber eine Passwortdatei anlegen, die auf dem Rechner verschlüsselt ist. Oder man macht einen analogen Umschlag, schreibt die Passworte da rein, klebt ihn zu und stellt ihn ins Bücherregal. Wenn man es mal wirklich nicht weiß, dann macht man ihn auf. Wenn er auf war, heißt das: Man muss alles ändern. So wie man das früher auch gemacht hat, da hat man seine wichtigen Sachen in einen analogen Tresor gelegt, abgeschlossen und den Schlüssel mitgenommen.
Zum Teil sind Betrugsversuche mit viel Aufwand entworfen. Woran erkennen Empfänger verdächtige Links oder Anhänge?
Die neue Generation ist die sogenannte Spear-E-Mail (Anm. d. Red.: zu Deutsch Speer/Lanze; Spear-E-Mails sind zielgerichtet und sprechen einen Einzelnen persönlich an), wo etwa drinnen steht: „Lieber Herr Lehmann, wir wollen unsere Kundensicherheit erhöhen. Bitte überprüfen sie noch einmal ihre Accounts.“ Bevor man auf so etwas draufklickt, sollte man in Ruhe überlegen. Dahinter steckt immer, dass jemand etwas von einem will. Man kann oben den Header überprüfen und sich fragen: Geht der Inhalt einher mit dem Absender der Mail? Wenn in einer Mail steht „Bitte hier draufdrücken“, ohne Namen und Konkretes, dann lieber nochmal bei der Bank oder beim Versandhaus anrufen. Diese Rückversicherung ist etwas sehr Wichtiges, wo wir den sicheren Umgang mit solchen Sachen trainieren können.
Aufgrund fehlender Geräte nutzen Arbeitnehmer teilweise private Endgeräte für geschäftliche Anliegen. Ist das problematisch?
Diese Vermischung ist eigentlich schon immer da. Es gibt nicht den Angestellten der Firma X und nachher die Privatperson mit ihrer privaten digitalen Infrastruktur. Aber eine Firma muss ihre Daten nach geheim bis öffentlich klassifizieren. Wenn ich da mit meinem eigenen Gerät reingehe, dann ist die Zuordnung – wer darf auf welche Art von Daten zugreifen – für eine Firma hinfällig. Deswegen muss da eine strikte Trennung da sein, auch wenn das zusätzliche Ressourcen erfordert. Das ist auch wichtig für den Mitarbeiter, ansonsten ist er im Schadensfall der Firma gegenüber in der Haftung.
Der Mensch wird häufig als der größte Risikofaktor in Sachen IT-Security bezeichnet – warum?
Weil wir als Menschen unsere Kommunikation auf Vertrauen aufbauen und auf Mechanismen reagieren. Wenn wir angesprochen werden, wollen wir gerne helfen. Am Ende will der Angreifer erreichen, dass wir mit gutem Gefühl draufdrücken und sagen, „Ich habe jemandem geholfen“. Ein kurzes Zeitfenster kann zusätzlichen Druck oder Stress aufbauen. Die Werbung macht uns das vor, indem sie sagt „Es sind nur noch 5 Produkte da“. Zusätzlich haben viele Firmen die Philosophie „Gib der Firma ein Gesicht“. Auch das kommt dazu: Wir wollen zu einer gewissen Gruppe gehören. Genauso funktioniert es beim Fußball, die Fans ziehen alle ein gleiches Trikot an. Dadurch, dass wir dazugehören wollen, sind wir natürlich auch anfällig. All das macht es möglich, dass wir aus diesen einzelnen kleinen Bausteinen den Menschen hacken können.
Vielen Dank für das Gespräch!
Falls Sie noch mehr über IT-Security erfahren wollen:
In Wer hat Angst vor einem Hacker? Niemand! Und wenn er kommt? erläutert Kornelia Hilgers, warum Hackerangriffe auch für kleine und mittlere Unternehmen eine Bedrohung darstellen.
Dass Hacker nicht zwangsläufig kriminell sind, stellt Franziska Russwurm in HACKER – Ein Traumberuf im halb kriminellen Milieu? klar.
