«Angriffe werden immer gezielter»

Max Klaus, Sicherheitsexperte des Bundes, sagt, was Internetnutzer für Betrüger und Erpresser verwundbar macht und wie man sich vor Attacken schützen kann. Er rät zu Sensibilität statt Paranoia.

Mit Max Klaus sprach Matthias Schüssler

In Kalkutta wurde kürzlich ein Callcenter ausgehoben, in dem sich Betrüger als Microsoft-Mitarbeiter ausgaben. Haben Sie aufgeatmet?

Es gibt Dutzende oder noch mehr solcher Callcenter. Es ist gut, dass einmal eines ausgehoben wurde. Aber ich gehe davon aus, dass die Anrufe trotzdem weitergehen werden.

Diese Betrugsmasche ist typisches Social Engineering: Die Betrüger manipulieren ihre Opfer im direkten zwischenmenschlichen Kontakt. Ist das die beste Hackermethode?

Social Engineering ist in vielen Fällen eine Vorbereitungshandlung. Man lässt einer Person ein Mail zukommen und versucht, den Kontakt aufzubauen, um sie dazu zu bringen, Geld an eine Kontonummer in Asien zu schicken. Beim Social Engineering gibt es die verschiedensten Schattierungen. Bei den Microsoft-Anrufen, die Sie angesprochen haben, wird den Leuten bewusst Angst gemacht, indem man ihnen sagt, sie sollen das Fehlerprotokoll ihres Computers aufrufen. Dort finden sich bei allen PC Fehler. Aber Leute, die sich nicht auskennen, sind eingeschüchtert und bereit, den Anrufern Zugriff zu ihrem Computer zu gewähren.

Das Betteln um Geld wegen einer vermeintlichen Notlage scheint zuzunehmen.

Diesen Klassiker verfolgen wir seit Jahren. Ich würde nicht sagen, dass er zunimmt. Es gibt Wellenbewegungen.

Was löst die Wellen aus?

Es sind oft Grossereignisse. Bei Olympischen Spielen oder Fussballweltmeisterschaften gibt es manchmal betrügerische Mails im Zusammenhang mit dem Tickethandel. Aber auch Naturkatastrophen werden missbraucht, um vermeintliche Spendenaufrufe zu generieren. Und es gibt einen Anstieg, wenn es auf die Feiertage zugeht. Auch die Hacker brauchen Geld, um Weihnachtsgeschenke zu kaufen.

Gibt es auch politische Auslöser?

Ja, nach dem Angriff in Paris auf «Charlie Hebdo» haben wir entsprechende Mails gesehen. Das Tagesgeschehen kann die Aktivität der Cyberkriminellen beeinflussen.

Ein neues Phänomen ist Erpressung. Angefangen hat es mit angeblichen «Bussen» der Bundespolizei für illegale Downloads.

Da sind viele Leute darauf hereingefallen. Wir stellen seit Anfang Jahr eine deutliche Verschiebung zu Angriffen fest, die von Erpressungsversuchen begleitet sind. Im März wurden bei Angriffen neun Onlineshops lahmgelegt. Wir sahen verschiedene Drohungen gegen Banken mit dem Versuch, sie zu erpressen. Und die Verschlüsselungstrojaner haben stark zugenommen.

Warum ist das so?

Es ist ein einfaches Mittel, an Geld heranzukommen. Verschiedene Banken wurden im Frühling erpresst. Angriffe gab es keine. Trotzdem hat eine Bank bezahlt. Wir haben den Eindruck, dass auch Trittbrettfahrer unterwegs sind. Sie schicken ein Erpresserschreiben los und hoffen, dass jemand bezahlt.

Sie empfehlen, Erpresser nicht zu bezahlen. Dies kann zu Situationen führen, in denen das Überleben einer Firma auf dem Spiel steht.

Absolut. Man muss schon im Vorfeld einiges tun. Eine regelmässige Datensicherung ist wichtig. Das Back-up verhindert eine erfolgreiche Erpressung. Ohne Datensicherung würde ich mir als Privatperson überlegen, ob ich zahlen möchte. Aber man hat keine Garantie, dass man den Schlüssel zur Wiederbeschaffung seiner Daten bekommt. Wir haben schon erlebt, dass jemand zahlte und mit Nachforderungen konfrontiert wurde. Und der dritte Punkt: Man unterstützt mit Zahlungen die Kriminellen, in bessere Infrastruktur zu investieren.

Hat bei den Anwendern das Risikobewusstsein zugenommen?

Zahlen haben wir nicht. Doch viele Bekannte in meinem Umfeld sind der Ansicht, es gebe bei ihnen nichts Interessantes zu holen. Doch man muss seine Kreditkarte nur einmal im Internet benutzen, worauf sie noch in einer Datei gespeichert sein könnte. Ein Kryptotrojaner könnte meine Hochzeitsfotos verschlüsseln. Den Angreifern ist es völlig egal, welche Daten verschlüsselt werden. Sobald die Daten für das Opfer einen emotionalen oder wirtschaftlichen Wert haben, ist die Chance relativ gross, dass es zahlt. Snowden hat uns geholfen, weil man mehr über solche Themen spricht. Aber trotzdem besteht noch viel Nachholbedarf.

Aushorchversuche werden heute oft gezielt auf die Opfer zugeschnitten.

Das ist definitiv so. Die Strafverfolgung wird schwieriger, da die Täter wissen, wie man Spuren verwischen kann. Und für das potenzielle Opfer wird es schwieriger, den Angriff zu erkennen. Wenn ich heute ein Mail mit dem Absender meines Chefs bekomme, dann heisst das nicht zwingend, dass das Mail wirklich von meinem Chef kommt.

Wie gross ist die Gefahr, als normaler Internetbenutzer Opfer einer gezielten Attacke zu werden?

Als Privatperson ist das Risiko nicht wahnsinnig hoch, wenn man nicht in der Öffentlichkeit steht. Unmöglich sind Aushorchversuche aber nicht. Vielleicht hat jemand ein spezielles Hobby. Ein Bekannter von mir baut Raketen in seiner Freizeit. Unter Umständen ist es für einen Staat interessant, so jemanden auszuspionieren.

Wenn Sie sich tagtäglich mit den Cyberkriminellen beschäftigen – wie werden Sie nicht paranoid?

(lacht) Meine Frau sagt, ich sei paranoid. Bei uns zu Hause gab es zu ihrem Leidwesen lange Zeit kein WLAN, weil die Verschlüsselung nach meinem Empfinden unsicher war. Seit ein paar Jahren haben wir WLAN. Ich würde nicht sagen, dass man abstumpfen soll. Aber man darf nicht an jeder Hausecke eine Gefahr vermuten. Wenn man sensibel ist, kommt man sicher über die Runden. Ich mache meine Bankgeschäfte seit 15 Jahren ausschliesslich online und hatte noch nie ein Problem.

Sicherheitsfanatiker nutzen keine Cloud, kein Smartphone, und sie surfen nur verschlüsselt. Ist das sinnvoll oder übertrieben?

Ich nutze keine Cloud. Ich weiss gerne, wo meine Daten liegen. Wenn ich eine Cloud nutzen würde, dann wäre es die eines Schweizer Anbieters. Aber ich benutze fürs E-Banking keinen isolierten Computer, auf dem ich nichts anderes tue, wie manche meiner Arbeitskollegen. Mir persönlich geht das zu weit.

Ist ein Schweizer Cloud-Anbieter wirklich ein Vorteil? Datentransfers machen doch oft Umwege übers Ausland, wo sie abgehorcht werden können.

Klar, das ist so. Man muss Vertrauen haben. Ich verwende seit Jahren einen Passwort-Safe. Der Hersteller sagt, er sei in der Schweiz entwickelt worden und die Daten würden in der Schweiz liegen. Überprüfen kann ich das nicht, aber ich vertraue dem Unternehmen.

Gehören Sie wie Mark Zuckerberg zu den Leuten, die ihre Webcam am Laptop abkleben?

Nein, ich klebe sie nicht ab. Wir haben bei uns im Büro kleine Schieber, ebenfalls von einem Schweizer Hersteller. Die klebt man auf die Linse, und wenn man die Kamera braucht, öffnet man den Schieber, und hinterher schliesst man ihn wieder. Das mache ich seit etwa zwei Jahren so.

Beseitigt das eine reale Gefahr? Oder verbessert das einfach das persönliche Sicherheitsgefühl?

Es tut beides. Ich habe aufgrund meines Verhaltens im Internet nicht das Gefühl, ich sei einer realen Gefahr ausgesetzt. Aber man hat von Sexting in zwielichtigen Chats gelesen, bei denen Männer dazu animiert werden, Körperteile zu zeigen, um sie mit den Bildern zu erpressen. Wenn ich die Kamera offen habe, kann ich zu einem potenziellen Opfer werden.

Wenn Erpresser einen zu Sexting animieren, hilft kein Schieber!

Es ist wie bei vielen Vorfällen das Gleiche, mit Ausnahme der Angriffe auf Websites vielleicht: Die meisten Angriffe erfordern eine Aktion des Users. Er muss etwas anklicken, etwas öffnen, sich in der Kamera zeigen. Ohne die Aktion des Opfers funktionieren die Angriffe nicht.

«Wired»-Autor Mat Honan, der selbst Opfer eines Identitätsdiebstahls geworden ist, findet, man müsse sich daran gewöhnen, dass die eigenen Nacktbilder früher oder später im Web landen.

Unrecht hat er nicht. Man muss sich der Gefahren bewusst sein. Wenn ich das Internet benutze, dann läuft jedes Datenpaket über amerikanische Produkte, und diese Hersteller sind dem Patriot Act unterstellt. Es wird eine Frage der Zeit sein, bis meine Daten von der NSA gespeichert werden. Darum überlege ich mir besser zweimal, ob es schlau ist, Nacktbilder auf Facebook zu stellen. Zwei Jahre später habe ich wahrscheinlich nicht mehr so viel Freude daran.

Sind die Daten hier wirklich sicher? Rechenzentrum von Google in Oklahoma. Foto: Keystone

Max Klaus Der stellvertretende Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes ist u.a. für die strategische Ausrichtung und parlamentarische Geschäfte zuständig.

«Ich nutze auch keine Cloud. Ich weiss gerne, wo meine Daten sind.»