Matthias Schüsslers Artikelarchiv

Die gesammelten journalistischen Werke seit 1981

«Für solche Angriffe braucht es null IT-Kenntnisse»

Interview: Matthias Schüssler

Welche neuen Bedrohungen lauern im Internet? Wie können Sie sich schützen? Ein Sicherheitsexperte des Bundes gibt Auskunft.

Vor kurzem wurde in Kalkutta ein Callcenter ausgehoben, in dem 250 vermeintliche Microsoft-Mitarbeiter Anrufe in alle Welt tätigten, um sich Zugang zu den PC nichts ahnender Opfer zu verschaffen. Haben Sie aufgeatmet, als Sie von der Polizeiaktion gelesen haben?

Es gibt wahrscheinlich Dutzende oder noch mehr solcher Callcenter. Aber es ist gut, dass einmal eines ausgehoben wurde. Aber ich gehe davon aus, dass die Anrufe trotzdem weitergehen werden.

Diese Betrugsmasche ist typisches Social Engineering: Die Betrüger manipulieren ihre Opfer im direkten zwischenmenschlichen Kontakt. Ist das die vielversprechendste Methode?

Social Engineering ist in sehr vielen Fällen eine Vorbereitungshandlung. Man lässt jemandem ein Mail zukommen und versucht, den Kontakt aufzubauen, um hinterher die Person dazu zu bringen, Geld an irgendeine Kontonummer in Asien zu schicken. Beim Social Engineering gibt es die verschiedensten Schattierungen. Bei den Microsoft-Anrufen, die Sie angesprochen haben, wird den Leuten bewusst Angst gemacht, indem man ihnen sagt, sie sollen das Fehlerprotokoll ihres Computers aufrufen. Dort finden sich bei allen Computern Fehler. Aber Leute, die sich nicht auskennen, sind eingeschüchtert und bereit, den Anrufern Zugriff zu gewähren.

Sie haben die Betrugsmasche erwähnt, bei der Betrüger ein Mail- oder Facebook-Konto kapern und dann die Kontakte anschreiben, eine Notlage vorgeben und um Geld bitten. Sie scheint in letzter Zeit zugenommen zu haben.

Diesen Klassiker verfolgen wir seit Jahren. Ich würde nicht sagen, dass er zugenommen hat. Es verhält sich wie so oft bei unserer Arbeit: Es gibt Wellenbewegungen. Manchmal gibt es mehr Fälle, mal weniger.

Was löst die Wellenbewegungen aus?

Wir beobachten immer wieder, dass Grossereignisse Wellenbewegungen auslösen können. Bei den Olympischen Spielen oder Fussballweltmeisterschaften gibt es betrügerische Mails im Zusammenhang mit dem Tickethandel. Aber auch Naturkatastrophen werden missbraucht, um vermeintliche Spendenaufrufe zu generieren. Und es gibt einen Anstieg, wenn es auf die Feiertage zugeht. Auch die Hacker brauchen Geld, um Weihnachtsgeschenke zu kaufen.

Gibt es auch politische Auslöser?

Ja, seinerzeit nach dem Angriff in Paris auf die Redaktion von «Charlie Hebdo» haben wir entsprechende Mails gesehen. Das Tagesgeschehen kann die Aktivität von Cyberkriminellen mehr oder weniger stark beeinflussen.

Gibt es auch Maschen, die komplett verschwunden sind?

Es kommt alles immer wieder, selbst der klassische Phishing-Angriff, von dem man mittlerweile vermuten müsste, dass er nicht mehr funktioniert. Auch er kommt immer wieder vor. Und generell ist es so, dass die Angriffe immer raffinierter und darum schwieriger erkennbar werden.

Ein neues Phänomen sind die Verschlüsselungstrojaner und die Erpressungsversuche. Eine erste Variante war die vermeintliche Warnung der Bundespolizei, mit der eine Busse für illegale Downloads eingetrieben werden sollte.

Da sind viele Leute darauf hereingefallen. Wir stellen seit Anfang Jahr eine deutliche Verschiebung zu Angriffen fest, die von Erpressungsversuchen begleitet sind. Im März gab es die Angriffe auf neun Onlineshops, zum Beispiel, bei denen deren Websites lahmgelegt wurden. Wir sahen verschiedene Drohungen gegen Banken mit dem Versuch, sie zu erpressen. Und die Verschlüsselungstrojaner haben stark zugenommen.

Warum ist das so?

Es ist ein einfaches Mittel, an Geld heranzukommen. Verschiedene Banken wurden im Frühling erpresst. Angriffe gab es nicht. Trotzdem hat eine Bank gezahlt. Wir haben den Eindruck, dass es auch Trittbrettfahrer gibt. Sie schicken ein Erpresserschreiben los und hoffen, dass jemand bezahlt.

Ihre Empfehlung ist, nicht zu zahlen.

Das ist so, ja.

Es kann aber eine Situation entstehen, in der das Überleben eines Unternehmens auf dem Spiel steht.

Absolut. Man muss schon im Vorfeld einiges tun. Eine regelmässige Datensicherung ist wichtig. Wenn ich auf die Datensicherung zurückgreifen kann, ist die Erpressung nicht erfolgreich. Ohne Datensicherung würde ich mir als Privatperson unter Umständen überlegen, ob ich zahlen möchte. Aber man hat keine Garantie, dass man den Schlüssel zur Entschlüsselung seiner Daten bekommt. Wir haben auch schon erlebt, dass jemand zahlte und dann mit Nachforderungen konfrontiert wurde. Und der dritte Punkt: Man unterstützt mit einer Zahlung die Kriminellen, in noch bessere Infrastruktur zu investieren.

Die Angriffe auf Digitec und Co. waren medienwirksam. Haben jetzt alle KMU mitbekommen, was es geschlagen hat, oder gibt es Fälle von unentschuldbarer Naivität?

Die gibt es immer noch. Den Schutz vor Denial-of-Service-Attacken (DDOS) muss man vorab mit dem Provider aufgleisen. Wenn ein Angriff läuft, sind die Möglichkeiten sehr beschränkt. Als KMU habe ich da schon fast verloren. Natürlich, bei einem Ein- oder Zweimannbetrieb habe ich Verständnis dafür, dass dort die Leute andere Sorgen haben, als sich um die IT-Sicherheit zu kümmern.

Da sind die Cyberkriminellen haushoch überlegen?

Das ist so. Bei DDOS-Attacken kann man, wenn man nicht vorbereitet ist, es eigentlich nur aussitzen und abwarten, bis der Angriff vorbei ist. Auch die Kriminellen werden ein Unternehmen nicht wochenlang attackieren, wenn kein Geld fliesst. Dann suchen sie sich ein anderes Opfer.

Gibt es auch Unternehmen, die sich technische Schutzmassnahmen sparen und lieber eine Versicherung abschliessen, um notfalls die Zeit zu überbrücken?

Salopp ausgedrückt, kann man das so machen. Die grossen Provider in der Schweiz bieten Dienstleistungen an, die man kurzfristig abrufen kann, wenn man unter DDOS steht.

Hat bei den Anwendern das Risikobewusstsein zugenommen?

Statistisch gesicherte Zahlen haben wir nicht. Doch viele Bekannte in meinem persönlichen Umfeld sind der Ansicht, es gebe bei ihnen nichts Interessantes zu holen. Doch es ist eine Tatsache, dass man seine Kreditkarte nur einmal im Internet benutzen muss und sie dann noch in einer Datei gespeichert sein könnte. Es ist möglich, dass ein Kryptotrojaner meine Hochzeitsfotos verschlüsselt. Und gerade bei den Kryptotrojanern ist es den Angreifern völlig egal, welche Daten verschlüsselt werden. Sobald die Daten für das Opfer einen emotionalen oder wirtschaftlichen Wert haben, ist die Chance relativ gross, dass das Opfer zahlt. Snowden hat uns sicher geholfen, weil man mehr über solche Themen spricht. Aber es besteht noch viel Nachholbedarf.

Neulich wurde der Fall Pegasus bekannt: eine iPhone-Sicherheitslücke, über die man die Nutzer komplett ausspionieren kann. Sie wurde fleissig von Firmen ausgenutzt, um gezielt Journalisten und politische Aktivisten auszuspionieren. Wie kann eine solche Lücke so lange unentdeckt bleiben?

Grosse Programme verfügen über Millionen Zeilen von Code. Die neueste Windows-Version hat 40 Millionen Zeilen Code, habe ich gelesen. Und man sagt, pro 1000 Zeilen gibt es ungefähr drei Programmierfehler. Man kann es sich selbst ausrechnen, wie viele potenzielle Lücken da vorhanden sind, die früher oder später entdeckt werden. Dann kommt es darauf an, wer die Lücke entdeckt. Es gibt Leute, die das den Herstellern melden. Und es gibt natürlich Leute, die solche Lücken, wenn sie eine entdecken, für ihre Zwecke nutzen.

Auch Geheimdienste, Ermittlungsbehörden und staatliche Institutionen haben ein Interesse an Sicherheitslücken. Macht sich der Staat – oder gewisse Staaten – zu Komplizen der Cyberkriminellen?

Es ist ein politisch-strategischer Entscheid jedes Staates, ob man so etwas tun will oder nicht. Wir äussern uns aber grundsätzlich nicht zu Vorgängen in anderen Staaten.

Sie haben es auch schon erwähnt: Die Angriffe werden immer gezielter. Auch beim Phishing spricht man heute vom Spear-Phishing: Das sind Aushorchversuche, die gezielt auf einzelne Personen zugeschnitten sind.

Das ist definitiv so. Die Strafverfolgung wird schwieriger, da die Leute wissen, wie man Spuren verwischen kann. Und für das potenzielle Opfer wird es schwieriger, den Angriff zu erkennen. Wenn ich heute ein Mail mit Absender von meinem Chef bekomme, dann heisst das nicht zwingend, dass das Mail wirklich von meinem Chef kommt.

Die Haltung bei vielen Privatanwendern ist: Mir passiert nichts, bei mir ist nichts zu holen. Trotzdem die Frage: Wie gross ist die Gefahr, als unauffälliger Bürger und Internetbenutzer Opfer einer gezielten Attacke zu werden?

Als Privatperson ist das Risiko einer gezielten Attacke nicht wahnsinnig hoch, wenn man nicht in der Öffentlichkeit steht. Als normaler Bürger muss man keine Angst haben. Unmöglich sind solche Aushorchversuche aber nicht. Vielleicht hat jemand ein spezielles Hobby. Ein Bekannter von mir baut Raketen in seiner Freizeit. Unter Umständen ist das für einen Staat interessant, so jemanden auszuspionieren.

Ich habe schon Anfragen von Lesern bekommen, die das Gefühl haben, sie werden ausspioniert. Ein Fall, an den ich mich erinnere, war von einem Stockwerkeigentümer, der sich mit den anderen Stockwerkeigentümern völlig verkracht hat. Nun hat er das Gefühl, er werde ausgehorcht, weil seine Kontrahenten vielleicht einen Hebel finden könnten, um ihn in die Knie zu zwingen. Haben Sie schon jemals gehört, dass das in der Schweiz passiert wäre?

Mir ist kein solcher Fall persönlich bekannt, und ich arbeite seit neun Jahren für Melani. Ausschliessen kann man so etwas nicht. Man kann sich im Darknet einen massgeschneiderten Trojaner bestellen, der Passwörter stehlen und Daten irgendwohin schicken kann. Für solche Angriffe braucht es heute null IT-Kenntnisse.

Wenn Sie sich tagtäglich mit Sicherheitsvorfällen und -lücken beschäftigen – wie werden Sie da nicht paranoid?

(lacht) Meine Frau sagt, ich sei paranoid. Bei uns zu Hause gab es zu ihrem Leidwesen lange Zeit kein WLAN, weil die Verschlüsselung nach meinem Empfinden unsicher war. Mittlerweile haben wir seit ein paar Jahren WLAN. Ich würde nicht sagen, dass man abstumpfen soll. Aber man darf nicht an jeder Hausecke eine Gefahr vermuten. Wenn man im Umgang mit dem Internet sensibel ist, dann kommt man sicher über die Runden. Ich mache meine Bankgeschäfte seit 15 Jahren ausschliesslich online und hatte noch nie ein Problem.

Gewisse Sicherheitsfanatiker wie zum Beispiel Richard Stallman, der Vater der Bewegung für die freie Software, nutzt keine Cloud. Er hat kein Smartphone und surft nur via Tor-Browser.

Ich nutze auch keine Cloud. Ich weiss gerne, wo meine Daten sind. Wenn ich eine Cloud nutzen würde, dann wäre es die eines Schweizer Anbieters. Aber ich benutze fürs E-Banking keinen isolierten Computer, auf dem ich nichts anderes tue. Ich habe Arbeitskollegen, die das tun. Mir persönlich geht das zu weit.

Ist ein Schweizer Cloud-Anbieter wirklich ein Vorteil? Die Datentransfers machen meist einen Umweg über ausländische Router, wo sie doch abgefangen oder abgehorcht werden.

Klar, das ist so. Man muss auch Vertrauen haben. Ich verwende seit Jahren einen Passwort-Safe. Der Hersteller sagt, er sei in der Schweiz entwickelt worden und die Daten würden nur in der Schweiz liegen. Überprüfen kann ich das nicht, aber ich vertraue dem Unternehmen.

Verschlüsseln Sie Ihre E-Mails?

Privat nicht, nein, aber geschäftlich haben wir ganz klare Vorgaben, was verschlüsselt sein muss und was nicht.

Nutzen Sie Whatsapp?

Ich habe Whatsapp installiert, aber ich brauche es sehr wenig. Momentan nutze ich eine Whatsapp-Gruppe in Zusammenhang mit einem Hobby, das ich betreibe. Die Kommunikation wäre sonst sehr schwierig. Aber das ist sehr eingeschränkt.

Auch Facebook-Chef klebt seine Webcam ab, wie dieses Foto beweist.

Als letzte Frage zu Ihren persönlichen Vorlieben: Gehören Sie zu den Leuten, wie Mark Zuckerberg, die ihre Webcam am Laptop abkleben?

Nein, ich klebe sie nicht ab. Wir haben bei Melani kleine Schieber, ebenfalls von einem Schweizer Hersteller. Die klebt man auf die Linse, und wenn man die Kamera braucht, öffnet man den Schieber und hinterher schliesst man ihn wieder. Das mache ich seit etwa zwei Jahren so.

Ich nutze die Schieber auch und habe sie auch schon vorgestellt. Beseitigen sie aber wirklich eine reale Gefahr? Oder verbessern sie einfach das persönliche Sicherheitsgefühl?

Es tut beides. Ich habe aufgrund meines Verhaltens im Internet nicht das Gefühl, ich sei einer realen Gefahr ausgesetzt. Aber man hat auch schon von Sexting gelesen, irgendwo in zwielichtigen Chats, bei denen Männer dazu animiert werden, Körperteile in der Cam zu zeigen. Dann werden sie mit den Bildern erpresst. Wenn ich die Kamera offen habe, dann bin ich je nach meinem Verhalten im Internet ein potenzielles Opfer für solche Erpressungsversuche.

Von dem Fall habe ich auch gelesen. Wenn die Erpresser ihre Opfer dazu animieren, Sexting zu betreiben, kann auch der Schieber nicht helfen.

Es ist wie bei vielen Vorfällen das Gleiche, mit Ausnahme von DDOS vielleicht: Die meisten Angriffe erfordern eine Aktion des Users. Er muss etwas anklicken, etwas öffnen, sich in der Kamera zeigen. Ohne Aktion des Opfers funktioniert das nicht.

In «Wired» fand der Autor Mat Honan, der selbst einmal Opfer eines Identitätsdiebstahls geworden ist, es bringe nichts, irgendetwas unter Verschluss zu halten. Er rief dazu auf, sich daran zu gewöhnen, dass die eigenen Nacktbilder früher oder später im Web landen.

Unrecht hat er nicht. Ich habe es angetönt: Man muss sich der Gefahren bewusst sein. Wenn ich das Internet benutze, dann läuft jedes Datenpaket über amerikanische Produkte, und diese Hersteller sind dem Patriot Act unterstellt. Es wird eine Frage der Zeit sein, bis meine Daten von der NSA gespeichert werden. Darum muss ich mir von Anfang an bewusst sein, was ich im Internet mache. Ich überlege mir besser zweimal, ob es schlau ist, Nacktbilder auf Facebook zu stellen. Es ist vielleicht im Moment cool, wenn ich das Bild auf Facebook stelle. Aber zwei Jahre später habe ich wahrscheinlich nicht mehr so viel Freude daran.

Wird das Thema Sicherheit ein Katz-und-Maus-Spiel bleiben, oder wird eine Seite irgendwann die Oberhand gewinnen?

Es bleibt ein Katz-und-Maus-Spiel. Man muss aber sehen, dass die Täter mit dem Internet der Dinge noch viel mehr Möglichkeiten haben werden. Theoretisch wird jedes Gerät auf dieser Welt ans Internet angeschlossen werden können. Das bietet die Chance, riesengrosse Botnetze zu betreiben. Zu denen gehören dann nicht mehr nur Computer, sondern auch Kühlschränke, Backöfen… Damit kann man DDOS-Angriffe in einer Stärke auslösen, von der man heute als Angreifer nur träumen kann.

Ist es dann nicht Irrsinn, sich auf diese Technologien einzulassen, ohne die Fragen der Sicherheit abschliessend geklärt zu haben?

Ich persönlich finde das gar nicht sinnvoll. Ich wäre dafür, dass die Unternehmen schon vor Einführung solcher Geräte entsprechende Sicherheitsmassnahmen implementiert haben. Unternehmen wollen von Anfang an möglichst viel Umsatz generieren, und man kümmert sich irgendwann später um die Sicherheit. In unserem Sinne ist das aber nicht.

Opfer über soziale Medien: Betrüger täuschen Kontakten eine Notlage vor, um an ihr Geld zu kommen. (Symbolbild)Bild: Keystone

Max Klaus

Der stellvertretende Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani) ist u. a. für die strategische Ausrichtung und die parlamentarischen Geschäfte zuständig.

Tages-Anzeiger Forum

«Digital Security im Unternehmen»

Die digitale Sicherheit einer Organisation ist unlängst zur Chefsache geworden. Wird die Sicherheit vernachlässigt, können Geschäfte über Tage lahmgelegt, immense finanzielle Schäden entstehen oder hoch sensible Daten gestohlen werden. Das Tages-Anzeiger Forum «Digital Security im Unternehmen» vom 28.09.2016 in Zürich versammelt anregende Impulse und Expertenbeiträge für Entscheidungsträger von Firmen wie RUAG, ABB, Zurich Versicherung oder dem VBS. Erfahren Sie mehr und gewinnen Sie ein Ticket zur hochkarätigen Fachtagung.

Quelle: Newsnetz, Dienstag, 20. September 2016

Rubrik und Tags:

Metadaten
Thema: Newsnetz
Nr: 14149
Ausgabe:
Anzahl Subthemen: 1

Obsolete Datenfelder
Bilder:
Textlänge:
Ort:
Tabb: FALSCH