Allgemeines

Worst of Cybercrime: Warum „Zero-Trust“ dein neues Passwort sein sollte

Bildquelle: Pexels

Liebes Tagebuch,

stell dir vor, dein Chef ruft bei dir an: Es geht um Transaktionen für ein streng geheimes Projekt – und deine Hilfe ist gefragt. Wärst du dabei?
Mit dieser Frage war kürzlich ein Manager bei Ferrari konfrontiert. Was er nicht wissen konnte: Beim ganzen Anruf handelte es sich um ein KI-Deepfake, das die Stimme des CEOs und sogar seinen Akzent täuschend echt nachstellte. Abweichungen in der Sprechweise machten den Manager dennoch misstrauisch. Er erkundigte sich als Rückversicherung nach der Buchempfehlung, die sie kürzlich getauscht hatten – und prompt wurde der Anruf unterbrochen.1.

Leider wird weit nicht jeder Angriff dieser Art enttarnt, was für Unternehmen teils Millionenschäden bedeutet. Ich habe mich mit einem Experten über die Facetten von Cyberkriminalität ausgetauscht – und darüber, wie man sie am besten erkennen kann.

Meet the Expert: Im Gespräch mit Christian Schinko

Christian Schinko ist Senior Content Manager & Editor bei CANCOM, einem der größten IT-Dienstleister in Deutschland. Nach seinem Studium führte ihn die Redaktion von CANCOM.info, dem hauseigenen Business IT-Journal von CANCOM, in die IT-Welt. Zu Beginn seiner beruflichen Laufbahn war es eine Herausforderung für ihn, durch Fachbegriffe wie SDS, HCI, SaaS & Co. zu navigieren. Heute setzt er sein breites Fachwissen insbesondere für die Berichterstattung über vielfältige Digitalisierungsthemen ein – wie Cloud Computing, Internet of Things und Cybersecurity.

Formen der Cyberkriminalität: Ein Überblick

Cyberkriminalität hat viele Gesichter, die meistens harmlos aussehen: Eine E-Mail von Freunden, Familie oder Kollegen, mit glaubhaftem Inhalt und augenscheinlich richtigem Absender. Die Forderungen können unterschiedlich sein: Beispielweise schickt der Absender einen Anhang, mit der Absicht, Malware ins System zu schleusen. Oder der Empfänger wird gebeten, Geld auf ein bestimmtes Konto zu überweisen. Im Arbeitskontext spricht man dabei wie im Fall des Ferrari-Managers vom CEO Fraud.

Im Privaten ist besonders das Doxing gefürchtet: Persönliche Daten, wie etwa die Anschrift oder Telefonnummer, werden unerwünscht veröffentlicht.2. Besonders beliebt sind bei Angreifern Passwörter, z.B. um auf fremde Rechnung Einkäufe zu tätigen. Durch täuschend echte Login-Aufforderungen des vermeintlichen Onlineshops wird nach den gewünschten Daten geangelt. Dass der oder die Betroffene Opfer von Phishing geworden ist, kommt oft erst heraus, wenn unerklärliche Rechnungen eintreffen.3.

Von Mensch bis Maschine: Zielscheiben für Hacking

Um zu verstehen, wie man sich am besten gegen Angriffe schützen kann, braucht es erst ein Verständnis über die Schwachstellen, die Angreifer ausnutzen. Häufige Zielscheibe sind Sicherheitslücken internetfähiger Geräte. Das geht weiter als nur bis zu Laptop und Smartphone: Prinzipiell kann sogar der Staubsauger zum Ziel werden – zum Beispiel für Botnetze, die eine Vielzahl an Devices infizieren und zusammenschließen. Du als Anwender bekommst teils gar nicht mit, dass dein Gerät als Teil des Netzes fremdgesteuert wird – beispielsweise für DDoS-Angriffe (Distributed Denial of Service), in der sich die Masse an Geräten mit Anfragen auf einen Server stürzt, um ihn zu überlasten.4.

Daneben ist auch der Faktor Mensch ein Türöffner. Gute Eigenschaften wie Hilfsbereitschaft oder Vertrauen werden beim Social Engineering ausgenutzt, um an vertrauliche Daten zu gelangen. Aber auch Nachlässigkeit kann böse Folgen haben: Das beliebteste Passwort des Jahres 2023 lautet in Deutschland 123456789. Auch wenn die Zahlenreihe damit um drei Ziffern zum Vorjahr wächst – mit Passwortsicherheit hat das wenig zu tun.5.

Effektive Wege zur IT-Sicherheit

Über die grundlegenden Handgriffe, um Hackern das Leben schwer zu machen, habe ich schon einmal berichtet. Denke mitunter daran, Updates nicht aufzuschieben, deine Passwörter gut zu schützen und das Wichtigste per Backup zu sichern.
Darüber hinaus lerne ich im Interview mit Christian den Zero-Trust-Ansatz kennen: Ganz nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“, muss jeder Nutzer und jedes Gerät innerhalb und außerhalb des eigenen Netzwerkes eindeutig verifiziert werden – zum Beispiel durch eine Multi-Faktor-Authentifizierung. In Unternehmen dient dieses Sicherheitskonzept vor allem dazu, das Risiko unbefugter Zugriffe auf ein Minimum zu reduzieren. „Die Firewall allein reicht nicht mehr aus“, betont Christian im Interview. Aber auch auf das Privatleben lässt sich das Modell übertragen und bedeutet im Grunde, mit gesunder Skepsis durch die digitale Welt zu navigieren.6.

Tatsächlich ist das Thema Sensibilisierung enorm wichtig. Denn eine der beliebtesten Maschen der Cyberkriminellen, das Phishing, setzt schlichtweg auf den Faktor Mensch – um so technische Sicherheitsmechanismen auszuhebeln. „Im Zweifelsfall lieber keine E-Mail-Anhänge öffnen oder auf Links klicken, wenn der Absender unbekannt ist oder dubios erscheint.“

Auch künstliche Intelligenz ist nicht fehlerfrei. Wie im Fall von Ferrari helfen hier Rückfragen zur Authentifizierung. Bei Videocalls kann zudem die Aufforderung zu einer Kopfbewegung dazu beitragen, Fakes zu erkennen.1.

Besonders im Geschäftsumfeld wird IT-Sicherheit immer mehr zum Expertenthema. Reicht die Expertise im eigenen Unternehmen nicht aus, so sind IT-Dienstleister darauf spezialisiert, Abwehrstrategien der Firmen zu prüfen und zu verbessern.

FAZIT

Das Gespräch mit Christian hat mich wirklich zum Grübeln gebracht: Hätte ich genauso scharfsinnig gehandelt wie der Ferrari-Mitarbeiter? Hand auf’s Herz: Ich weiß, dass E-Mail Anhänge und Links mit Vorsicht zu genießen sind – aber dass selbst ein Anruf von jemandem, den ich kenne, unecht sein kann, macht mir ein mulmiges Gefühl. Umso mehr gebe ich Christian recht, dass Sensibilisierung enorm wichtig ist. Und wenn mein Eintrag ein klein wenig dazu beitragen kann, habe ich mein Ziel schon erreicht.



Quellen:

  1. https://t3n.de/news/ki-deepfake-betrug-ferrari-manager-entscheidene-frage-1638005/?utm_source=rss&utm_medium=feed&utm_campaign=t3n-news
  2. https://www.tagesschau.de/inland/gesellschaft/doxing-internet-datenschutz-100.html
  3. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/methoden-der-cyber-kriminalitaet_node.html
  4. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/botnetze_node.html
  5. https://www.zeit.de/digital/2023-12/beliebte-passwoerter-deutschland-jahr-2023
  6. https://www.security-insider.de/was-ist-ein-zero-trust-modell-a-aee40a92525d3d81600abc90cdcdf91e/

Eine Antwort schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner