Cyber-Kriminalität: So schützen Sie sich
Fotos und Videos von den eigenen vier Wänden auf Social Media zu posten, kann gefährlich sein. Wenn es trotz aller Vorsichtsmaßnahmen zu Datendiebstahl, Cybermobbing oder Betrug kommt, bieten diese Policen Hilfe
Ein Stalker aus Japan hatte online Videos seines Opfers analysiert, um zu ermitteln, in welchem Gebäude und auf welcher Etage es wohnt – und tauchte dann vor seiner Tür auf, um es zu attackieren. Dieser Fall hatte im vergangenen Jahr Schlagzeilen gemacht. Er zeigt einmal mehr die Gefahren von Social Media. Es sind eben nicht nur die engsten Freunde und die Familie, die unsere Posts verfolgen. Deshalb sollte man wachsam bleiben und nicht zu viel teilen, um potenzielle Bedrohungen zu vermeiden.
Keine Urlaubsgrüße Posten Sie keine Fotos und Videos von Ihrem Garten, Balkon oder Ihrer Terrasse, zumindest nicht öffentlich. Der Hintergrund dieser Orte kann die Straße und das Gebäude, in dem Sie leben, preisgeben. Solche Informationen sollten nicht an Wildfremde gelangen. Auch wenn man wegfährt, lässt man das besser nicht die ganze (Internet-)Welt wissen. Sonst wird auch potenziellen Einbrechern klar, dass keiner zu Hause ist. Daher: Posten Sie aus dem Urlaub, schränken Sie die Veröffentlichung zumindest so ein, dass beispielsweise nur „Freunde“, aber nicht mehr „Freunde von Freunden“ die Nachrichten lesen können.
Keine Detailaufnahmen Laden Sie keine hochauflösenden Fotos auf Ihren Social-Media-Profilen hoch. Es ist sehr leicht, Fotos und Videos von Facebook und Instagram runterzuladen. Wer es darauf anlegt, kann mit Ihren Bildern dann machen, was er will oder sich Details ansehen, die Sie gar nicht preisgeben wollten. Wussten Sie zum Beispiel, dass man in Selfies oft hineinzoomen kann, um herauszufinden, welche Umgebung sich in den Augen spiegelt?
Keine Adressen Die meisten Smartphones sind standardmäßig so eingerichtet, dass Fotos automatisch einen Eintrag in die Metadaten bekommen, der Informationen über den Standort preisgibt. Das kann praktisch sein, etwa wenn man gezielt nach Fotos suchen will, die an bestimmten Orten entstanden sind. Allerdings ist die Info auch sichtbar, wenn man das Foto teilt. Das kann unter anderem dazu führen, dass Fremde Ihre eigene Adresse erfahren. Zwar löscht beispielsweise Facebook den Eintrag aus den Metadaten automatisch, sobald man ein Bild auf die Plattform hochlädt. Trotzdem sollte man auf Nummer sicher gehen und das sogenannte Geotagging in den Einstellungen der Kamera-App deaktivieren. Machen Sie außerdem auf Ihren Aufnahmen alle Straßennamen, Hausnummern und weitere Informationen, die Aufschluss über Ihren Aufenthaltsort geben können, unkenntlich.
Verschlüsselung Wenn Sie eine Webseite öffnen, verbindet sich Ihr PC, Tablet oder Handy mit einem fremden Server und teilt dem Ihre IP-Adresse mit. Das ist eine eindeutige Nummer, mit der Ihr Wohnort und weitere private Daten ermittelt werden können. Bei einer unverschlüsselten Verbindung können Geheimdienste, Internetanbieter oder Hacker theoretisch alle Ihre Online-Aktivitäten verfolgen. Wer das nicht will, sollte ein „virtuelles privates Netzwerk“, kurz VPN, nutzen (z.B. NordVPN, CyberGhost VPN). Damit surft man sicher und anonym.
Kann mein Handy mich ausspionieren? Spionage-Apps Es gibt eine Handvoll Apps, die in Sekunden auf einem Handy installiert werden können. Die Anbieter, allen voran Flexi Spy, richten sich besonders an eifersüchtige Liebhaber oder misstrauische Chefs. Absolute Kontrolle Ist die App erst mal auf dem Gerät, kann damit wirklich alles überwacht werden. Man kann Gespräche mithören, Nachrichten lesen, die Kamera aktivieren, GPS-Daten abfangen etc. Ohne Zustimmung illegal Wer die Software heimlich installiert, macht sich strafbar.
87000 Fälle von Cybercrime im engeren Sinne gab es im Jahr 2018 Quelle: Bundeskriminalamt Quelle: Bundeskriminalamt
Cyber-Versicherungen Kommunikation via E-Mail oder Nachrichtendienste, Einkaufen in Onlineshops oder Filme und Serien schauen über Streaming- Plattformen: Ein immer größerer Teil unseres Lebens spielt sich im Internet ab. Das ist zwar bequem, birgt jedoch auch Gefahren. Neben klassischen Versicherungen gibt es heutzutage deshalb Policen, die speziell bei Online-Belangen Hilfe und Unterstützung bieten. Welche Bereiche decken sie ab? Die sogenannten Cyber-Versicherungen springen überall dort ein, wo Schäden durch Internetkriminalität entstehen. Das kann zum Beispiel nach Hackerangriffen, Datendiebstahl oder -missbrauch, Ärger beim Onlinekauf oder -verkauf oder auch im Fall von Cybermobbing sein. Hat der Versicherte ein Problem, bekommt er nicht nur juristische Beratung, sondern in vielen Fällen auch psychologische Hilfe. Ein weiterer Zusatzservice bei einigen Versicherungen ist ein Suchdienst, bei dem darauf spezialisierte Dienstleister beauftragt werden, das Internet nach rufschädigenden Inhalten und persönlichen Daten wie Adresse, Geburtsdatum und E-Mail-Adresse des Versicherten zu durchforsten und gegebenenfalls zu löschen. Welche Unterschiede gibt es? Neben klassischem Rechtsschutz, der zum Beispiel bei Streitigkeiten beim Onlinekauf und -verkauf greift, bieten einige Versicherungen auch Tarife an, in denen Schadensersatzrechtsschutz sowie Strafrechtsschutz beinhaltet sind. Letzteres kann sich lohnen, wenn dem Versicherten eine strafbare Handlung vorgeworfen wird, wegen der er sich vor Gericht verantworten muss. Dass dies schneller passieren kann, als man denkt, zeigen Fälle, in denen Personen versehentlich urheberrechtlich geschütztes Videomaterial auf ihren PC geladen haben. Wer sich für eine Versicherung mit Schadensersatzrechtsschutz entscheidet, bekommt wiederum Hilfe, wenn er oder sie zum Beispiel im Fall von Cybermobbing Schmerzensgeld einfordern will. Je nachdem, für welches Paket Sie sich entscheiden, kostet der Versicherungsbeitrag bei gängigen Anbietern wie Arag, Advocard oder Inter für Einzelpersonen zwischen 40 und 200 Euro im Jahr. Wer braucht es? Bevor Sie eine Cyber-Versicherung abschließen, sollten Sie einen Blick auf Ihre laufenden Policen werfen. Wer beispielsweise schon eine klassische Rechtsschutzversicherung abgeschlossen hat, braucht diesen Bestandteil nicht dazubuchen. Auch viele Hausrat- oder Haftpflichtversicherungen decken einige Bereiche bereits ab und bieten zum Beispiel Schutz beim Onlinebanking oder übernehmen die Prozesskosten vor Gericht, wenn der Versicherte, etwa durch einen Computervirus, unabsichtlich Schaden angerichtet hat. Generell gilt, dass sich eine Cyber-Versicherung meist nur für Personen lohnt, die viel Zeit im Internet verbringen. Für alle anderen reichen in den meisten Fällen auch die üblichen Policen, die viele ohnehin schon abgeschlossen haben.
Es kann jeden treffen: So schützen Sie sich vor Cyberkriminalität
Die Cyberkriminalitätsrate in Deutschland ist im Vergleich zum Vorjahr um zwölf Prozent gestiegen.
Jeder Mensch kann Opfer einer Cyberattacke werden.
Wir erklären, wie derartige Angriffe vonstattengehen und wie Sie sich davor schützen können.
Mehr Digitalthemen finden Sie hier
Die Bedrohungslage durch Angriffe aus dem Cyberraum ist so hoch wie nie zuvor. Im vergangenen Jahr musste in den USA eine der größten Ölpipelines der Welt vom Netz genommen werden. Es kam zu Versorgungsengpässen und Lieferausfällen. In Deutschland wurde im Jahr 2021 erstmalig der Cyber-Katastrophenfall festgestellt. Im Landkreis Anhalt-Bitterfeld war die Verwaltung für Wochen stillgelegt. Wer glaubt, solche Angriffe gingen einen nichts an, liegt falsch.
Jeder kann Opfer eine Cyberattacke werden. Die unternehmerische Abhängigkeit von einem funktionierenden IT-System ist häufig so groß, dass ein Systemausfall das komplette Geschäft gefährdet. Der Mensch wird regelmäßig als schwächstes Glied in Sachen IT-Sicherheit identifiziert. Hier gibt es einen Überblick über die Lage der Cybersicherheit in Deutschland und darüber, was Mitarbeiterinnen und Mitarbeiter wissen müssen.
Die Lage in Deutschland
Laut dem Bundeslagebild Cybercrime 2021, dass kürzlich vom Bundeskriminalamt herausgegeben wurde, stieg die Cyberkriminalitätsrate um zwölf Prozent gegenüber dem Vorjahr. Die Aufklärungsrate liegt bei knapp 30 Prozent. Acht von zehn Unternehmen waren bereits Opfer einer Cyberattacke. Die Dunkelziffer liegt bei über 90 Prozent. Die meisten Unternehmen bringen die Angriffe aus dem Cyberraum nicht zur Anzeige. Insgesamt liegen die finanziellen Schäden bei über 220 Milliarden Euro pro Jahr in Deutschland.
Das Vorgehen von kriminellen Hackerbanden
Schritt 1
Die Täter gehen in der Regel in drei Phasen vor. In der ersten Phase geht es darum, einen Fuß in die Tür zu bekommen. Meistens geschieht dieser Vorstoß per E-Mail. Entweder wird der Versuch unternommen, sich per Phishingnachrichten als vertrauenswürdiger Partner auszugeben und den Adressaten der E-Mail zur Ausführung schädlicher Aktionen zu bewegen, oder es wird direkt ein Anhang mitgesendet, der eine Schadsoftware enthält. Diese Schadsoftware nennt sich Ransomeware und kann beispielsweise als Word- oder Exceldatei getarnt sein. An dieser Stelle spekulieren die Hacker damit, dass die Menschen vor den Rechnern Fehler machen und durch unbedachte Klicks die Cyberattacken ermöglichen.
Schritt 2
Das Ziel der Hacker ist es meistens eine Schadsoftware im System des Angegriffen zu platzieren. Über diese Software wird ein Dienst installiert, der es den Angreifern erlaubt, das System auszuspionieren und sich innerhalb des Netzwerks zu verbreiten. Es geht den Hackern darum, sich Zugangsberechtigungen zu ergaunern und die Backup-Systeme auszukundschaften. Sie versuchen das Netzwerk so zu manipulieren, dass es zu einem späteren Zeitpunkt nicht möglich ist Sicherheitsupdates anzulegen. Zwischen Angriff und Schritt drei können Wochen und Monate liegen.
Schritt 3
Im letzten Schritt werden die kompletten Daten des Angegriffenen verschlüsselt und die Backups zerstört. Dann folgt eine Nachricht an die Opfer: Bei einer Zahlung von Lösegeld in Form von Kryptowährung gebe es einen Key um die Daten zu entschlüsseln. Besonders gefährlich ist es, wenn solche Angriffe auf Kritische Infrastruktur erfolgen. Beispielsweise Krankenhäuser, die lebensnotwendige Patienteninformationen auf ihren Rechnern gespeichert haben.
Eine Marktanalyse des israelischen Cybersecurity-Anbieters Check Point Software Technologies ergab, dass die Lösegeldforderungen auf einer genauen Recherche basieren und zwischen 0,7 und 5 Prozent des Jahresumsatzes der angegriffenen Firma liegen. Es besteht zudem die Möglichkeit, dass die Kunden des Angreifers oder die Patienten erpresst werden - mit der Herausgabe von persönlichen Daten oder Geschäftsgeheimnissen.
ABER: Nicht immer sind Hackerangriffe wirtschaftlich motiviert. In speziellen Fällen, etwa extremistischer Natur, oder in Kriegssituationen, kann es auch darum gehen die Kritische Infrastruktur so empfindlich zu treffen, dass das Gesellschaftsmodell destabilisiert wird.
Wie kann man sich schützen?
Unternehmen, Institutionen und Behörden wird empfohlen regelmäßig Sicherheitsupdates aufzuspielen und diese außerhalb des eigenen Netzwerks zu speichern. Außerdem wird es immer wichtiger die gesamte Belegschaft im Umgang mit E-Mails zu schulen und zu sensibilisieren. Sudhir Ethiraj, Global Head of Cybersecurity von der TÜV Süd AG, erklärte bei der Nationalen Konferenz für Cybersicherheit am Hasso-Plattner-Institut in Potsdam: "Cybersicherheit muss zur DNA eines Unternehmens gehören." Damit sei aber nicht nur gemeint, dass Unternehmen die Sensibilität ihrer Mitarbeiter erhöhen sollen. Es wird ebenso empfohlen, die Rechte der Mitarbeiter fein abzustimmen, im Zweifel sogar zu beschneiden, um das unbeabsichtigte Öffnen von schädlicher Software zu unterbinden.
Wer in einem Unternehmen Verantwortung trägt, muss sich bewusst sein, dass IT-Sicherheit zu einem zentralen Thema geworden ist. Man selbst sollte die Risiken kennen und sich eine Expertise zu dem Thema erarbeiten. Präventiv kann man sich schützen, indem man die Dienste von Cybersicherheitsanbietern in Anspruch nimmt.
Lesen Sie auch: Bewusstsein von Computern – weniger absurd als es scheint
Was tun, wenn man Opfer eines Angriffs ist?
Nicht immer ist ein Hackerangriff erfolgreich. Trotzdem empfiehlt das BKA den Versuch eines Angriffs anzuzeigen. In jedem Fall gilt: Nerven behalten. Solche kriminellen Angriffe sind Geschäftsmodelle, die nicht auf moralischen Standards basieren. Deshalb schocken sie die Belegschaft und die Betroffenen besonders. Man braucht Kraft, um einen solchen Angriff zu überstehen. Zuerst gilt es einen Krisenstab einzuberufen. Es empfiehlt sich ein externer Experte, der den Krisenstab moderiert.
In der Regel ist Transparenz geboten. Man sollte offen mit dem Angriff umgehen, um seine Glaubwürdigkeit nicht zu verlieren, zum einen vor den Mitarbeitern, zum anderen vor den Kunden. Je transparenter die Gefahr durch Cyberangriffe ans Tageslicht tritt, desto mehr stößt man in der öffentlichen Wahrnehmung auf Verständnis. So schützt man sich vor einem Reputationsverlust.
Verwendete Quellen:
BKA: Bundeslagebild 2021 Cybercrime
Ransomware – Erpressungsgeschäfte mit Standard-Ablauf
Behind the Curtains of the Ransomware Economy – The Victims and the Cybercriminals
Gespräch mit Sudhir Ethiraj, Global Head of Cybersecurity, TÜV Süd AG
Wie kann man sich vor Cyberkriminalität schützen?
Die digitale Transformation von Wirtschaft und Gesellschaft schafft Chancen und Herausforderungen, und die Cybersicherheit wird auf gesellschaftlicher und persönlicher Ebene immer wichtiger.
Zu den gängigen Betrugspraktiken zählen die Installation von Schadsoftware oder das Versenden von Phishing-Mails, um Daten zu stehlen und auf Geräte zuzugreifen. Auf diese Weise können Cyberkriminelle beispielsweise Zugang zu Bankkonten oder Datenbanken von Organisationen erhalten.
Erfahren Sie mehr über die wichtigsten Bedrohungen der Cybersicherheit.