SWR2 Impuls-Moderatorin Christine Langer spricht mit Prof. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen.
Betrügerische E-Mails sind nicht mehr leicht zu erkennen. Früher gab es zum Beispiel nur ein „Hallo“ als Anrede, man wurde nicht mit dem Namen angesprochen. Auch die vielen Fehler im Text weckten sofort Zweifel, die gesamte Gestaltung der E-Mail wirkte nicht besonders professionell. Nun muss man ganz genau hingucken, um die betrügerischen E-Mails zu entlarven. Ziel ist es häufig, an die Zugangsdaten der Phishing-Opfer zu kommen.
Tipps vom Sicherheitsexperten:
- Misstrauen in E-Mails, die persönliche Daten abfragen
- Vertrauensunwürdige Dateianhänge am besten nicht öffnen
- Zweifelhafte Absendeadressen kontaktieren und Echtheit der E-Mail bestätigen lassen (z. B. von der Bank)
- System-Software stets auf dem aktuellen Stand halten
- Keine unbekannten Programme herunterladen
Was sind denn die häufigsten Maschen von Cyberkriminellen?
Prof. Dennis-Kenji Kipker: „Cyberkriminalität“ – Das ist ein wirklich schillernder Begriff. Es gibt die verschiedensten Arten, wie digitale Angreifer vorgehen. Und bei vielen erfolgreich durchgeführten Cyber-Angriffen ist es so, dass eine gewisse Sorglosigkeit des Nutzers dem ganzen zugrunde liegt: Indem er zum Beispiel seine IT-Systeme nicht aktuell hält, sorglos Daten teilt oder eben auch Dateien öffnet oder Verbindungen herstellt. Cyber-Angreifer nutzen das auf verschiedenem Wege aus.
Sie können natürlich technische Schwachstellen im Programm ausnutzen – die gibt es zuhauf. Aber man versucht eben auch, über Phishing-Attacken an Passwörter zu gelangen oder eben auch Schadsoftware, wie zum Beispiel Ransomware, auf dem Rechner zu installieren.
Und, was mittlerweile auch eine sehr gängige Masche ist, ist, dass versucht wird, erstmal sozialen Kontakt zum Opfer herzustellen, damit das Opfer sicherheitsrelevante Informationen preisgibt, die für spätere Angriffe genutzt werden können.
Das heißt, ich kriege zum Beispiel einen Anruf und jemanden nimmt Kontakt auf?
Prof. Dennis-Kenji Kipker: Das kann auch über soziale Netzwerk gehen, wenn ein Cyberkrimineller beispielsweise sieht, dass Sie für ein bestimmtes Unternehmen arbeiten.
Dann kann es sein, dass da einfach mal jemand ankommt, Sie anschreibt, ein paar Details abfragt und fragt, wie es so geht. Und so nach und nach, vielleicht auch über einen Zeitraum von mehreren Wochen, Vertrauen aufbaut und dann versucht, über Sie an Informationen über die Unternehmensorganisation zu gelangen.
Ein Tipp ist also, grundsätzlich skeptisch zu sein. Aber wie schütze ich mich noch?
Prof. Dennis-Kenji Kipker: Genau, also einen wichtigen Punkt haben Sie ja gerade angesprochen: Misstrauen – Das ist das Wichtigste im Netz. Alles, was man nicht kennt, was einem irgendwie seltsam vorkommt, da ist meist irgendwo auch so ein bisschen ein Haken dran.
Gerade bei Phishing-Mails wird man stark unter Druck gesetzt. Da wird dann gesagt: „Ich muss jetzt sofort einen Link anklicken in den nächsten zwei Stunden.“ Ansonsten werden vielleicht alle Nachrichten gelöscht oder Ähnliches.
Und dann gibt es natürlich noch technische Maßnahmen. Das ist einfacher, als man denkt. Unter Cyber-Sicherheit stellen sich viele sowas komplexes vor, was eben nur Experten machen können. Das gibt es auch.
Aber wenn wir jetzt gerade an den Bereich Verbraucherschutz denken, dann ist es eben auch wichtig, die System-Software stets auf dem aktuellsten Stand zu halten und keine unbekannten Programme herunterzuladen.
Das gilt natürlich auch für Programme, die ich irgendwo im Smartphone-App Store finde. Denn auf Cyber-Sicherheit werden die meistens nicht geprüft und auch nicht auf Datenschutz.
Und wenn man unbekannte E-Mails bekommt, wo irgendwelche Daten abgefragt werden, oder irgendwelche Dateianhänge drin sind, die man nicht kennt? Da sollte man sich im Zweifelsfall durch einen schnellen Anruf bestätigen lassen, ob tatsächlich diejenige Stelle, die die E-Mail versandt hat, auch in Wirklichkeit diejenige ist, für die- sie sich ausgibt.
Das heißt: Vertrauensunwürdige Dateianhänge am besten nicht öffnen und noch mal nachfragen – sicherheitshalber.
Es gab vor Kurzem den Fall, dass bei WhatsApp weltweit Kundendaten gestohlen wurden. Was bedeutet das? Womit muss ich als Nutzer rechnen?
Prof. Dennis-Kenji Kipker: Aus Deutschland sind etwa sechs Millionen Daten gestohlen wurden. Manch einer behauptet jetzt, dass die Daten veraltet sind. Aber grundsätzlich spielt das erst einmal keine Rolle, weil so groß wie der Datensatz ist, sind da immer brauchbare Daten dabei.
Unter anderem die E-Mail-Adresse und die Telefonnummer sind geleakt worden. Und da hat mich schon manch einer gefragt: „Was will man denn jetzt mit einer E-Mail-Adresse und Telefonnummer anfangen? Darüber läuft doch erst einmal gar nicht so viel, damit habe ich ja nicht automatisch Zugriff auf den Computer oder auf irgendwelche Cloud-Computing-Dienste.“
Aber man hat ja mit einer privaten E-Mail-Adresse und einer privaten Handynummer schon einen Zugang zu einer Person, den man sonst nicht ohne Weiteres erhält. Und der eignet sich natürlich dafür, Menschen zu manipulieren, zu beeinflussen.
Ein Beispiel kurz nach dem Datenleck: Es wurde darüber berichtet, dass Personen über WhatsApp von ihren angeblichen Enkeln angeschrieben wurden, die in einer Notsituation sind und dringend Bargeld benötigen. Das ist natürlich alles gelogen durch Cyberkriminelle und soll unbedarfte, gutgläubige Nutzer dazu bewegen, ihr Erspartes an Cyber-Angreifer zu überweisen.
Zur Kriminalität im Netz gehören auch Hacker-Angriffe auf Unternehmen: Wie oft kommt sowas vor?
Prof. Dennis-Kenji Kipker: Oft – also sehr oft, und gerade dieses Thema Lösegeld. Da sprechen wir von Ransomware, das hat sich seit 2015 bis heute zu einem regelrechten Beruf entwickelt.
Ransomware ist deswegen ein lukratives Geschäftsmodell geworden, weil viele Unternehmen und auch Privatpersonen den Ransom Amout, also das Geld, was von den Tätern gefordert wird, zahlen.
Hinzu kommt, dass man keine große technische Ahnung mehr haben muss, um erfolgreiche Angriffe durchzuführen. Es gibt mittlerweile Softwarepakete, die Ransomware-Angriffe ermöglichen: Im Netz, als vorgefertigte Lösung. Das kann ich nehmen als Angreifer und ich zahle dann dementsprechend Provision an den Programmierer.
Wir haben in Fernost, Indien oder beispielsweise auch in Osteuropa ganze Firmen, die Büros angemietet haben, wo sozusagen eine vernünftige Geschäftsorganisation da ist. Da gehen die Leute morgens zur Arbeit, gehen abends nach Hause. Der Unterschied zum normalen Bürojob: Sie greifen Computer an und verlangen Lösegeld.
Hierzulande diskutiert man viel darüber, ob man jetzt diese Lösegeldzahlungen von Unternehmen wegen Förderung einer kriminellen Vereinigung unter Strafe stellt. Ich persönlich halte davon nicht so viel. Denn meistens sind die Unternehmen nach dem Ransomware-Angriff schon selbst genügend bestraft.
Da muss viel mehr der Staat ansetzen und weitere Mittel zur Prävention und Aufklärung bereitstellen, damit es gar nicht erst so weit kommt.
Wer ist denn eigentlich für die Cyber-Sicherheit in Deutschland zuständig?
Prof. Dennis-Kenji Kipker: In Deutschland haben wir das föderale System und als zentrale Behörde für Cybersicherheit haben wir das Bundesamt für Sicherheit in der Informationstechnik.
Darüber hinaus gibt es aber noch ganz unterschiedliche Cyber-Zuständigkeiten. Wir haben zum Beispiel beim Bundeskriminalamt und den Landeskriminalämtern Abteilungen, die sich allein mit der Verfolgung von Cyber Crime beschäftigen. Das Bundesamt für Verfassungsschutz, und die Landesämter für Verfassungsschutz sind ebenfalls an dem Thema dran.
Und überall da, wo Datensicherheit eine Rolle spielt, sind wir auch beim Thema Datenschutz. Das heißt auch, dass die Datenschutz-Behörden ebenfalls dafür zuständig sind, Unternehmen dabei zu unterstützen, dass sie vernünftige Schutzmaßnahmen in technischer Hinsicht für die Datensicherheit ergreifen.
Was müssen wir machen, damit die Cyber-Sicherheit besser wird?
Prof. Dennis-Kenji Kipker: In erster Linie müssen wir von dieser Verantwortungsdiffusion weg. Wenn man sich mal anschaut, wie viele Zuständigkeiten wir im Einzelnen haben – auf Bundesebene, auf Landesebene. Wie schwer diese teilweise auch voneinander abgrenzbar sind. Dann ist es schon schwierig für Betroffene, überhaupt einen vernünftigen Ansprechpartner zu finden.
Gerade im Bereich Datensicherheit spielt Vertrauen eine ganz große Rolle. Und dieses Vertrauen – von den Behörden und teils auch von den Bürgern – in öffentliche Institutionen aufzubauen, ist ein Punkt, wo der Staat noch sehr, sehr viel zu leisten hat.
Das heißt, es geht um ein anderes Verständnis und um eine andere Wahrnehmung der Institutionen. Dass sich auch staatliche Einrichtungen, Bürger und Unternehmen mehr auf der Ebene der Gleichordnung gegenübertreten, als das bislang im Bereich des Cybersicherheit der Fall ist.