Die Anzahl Cyberangriffe auf Schweizer Organisationen und Unternehmen ist im letzten Jahr erneut angestiegen. Die Angriffsmethoden werden mit der laufenden Entwicklung neuer Technologien immer raffinierter. Bei diesen Angriffen werden Unternehmen, Organisationen sowie ihre Mitarbeitenden meist Opfer von Phishing oder Social Engineering.
Vertrauen ist gut, Kontrolle ist besser
Beatrice Kübli, Projektleiterin bei der Schweizerischen Kriminalprävention (SKP), stellte uns in ihrem Referat zwei klassische Cyberkriminelle vor. Sie wenden unterschiedliche Methoden an, um Daten zu verschlüsseln, Daten zu stehlen, Kontrolle zu übernehmen oder sich finanziell zu bereichern. Während Person 1 mit technischem Know-how die Schwachstellen eines Systems für Angriffe ausnutzt (Cybercrime), versucht Person 2, Menschen psychologisch zu beeinflussen (digitalisierte Kriminalität). Mit sogenanntem Social Engineering manipuliert sie Nutzer:innen, damit diese unbemerkt Zugang zum Computersystem gewähren oder sensible Daten bekanntgeben. Beispiele dafür: eine vermeintliche Postanweisung, bei der für eine Paketzustellung nur ein kleiner Geldbetrag via Kreditkarte überwiesen werden soll, dann aber die Kreditkartendaten gestohlen werden. Oder eine fingierte E-Mail des CEOs, mit der dringenden Bitte, für ein wichtiges Projekt sofort eine Überweisung auf ein bestimmtes Konto zu tätigen. Kübli hält fest, dass oft eine autoritäre Unternehmenskultur sowie ein stresserfülltes Arbeitsumfeld zum Erfolg solcher Angriffe beitragen. Cyberkriminelle würden ihre (potenziellen) Opfer gekonnt unter Druck setzen, indem sie Autorität, Dringlichkeit, Knappheit und Täuschung anwenden. Ihr Ziel: eine Kurzschlusshandlung der betroffenen Person.
Mit der Kampagne S-U-P-E-R (s-u-p-e-r.ch) sensibilisiert die SKP für mehr Achtsamkeit im Umgang mit sensiblen Informationen. So wird Nutzer:innen empfohlen, bei Anweisungen oder anderen Aufforderungen via E-Mail, Social Media und weiteren Kanälen immer zu hinterfragen, ob die Korrespondenz in einem normalen und plausiblen Kontext stattfindet, ob es um Geld geht und ob Zeitdruck aufgesetzt wird. Es gilt «Vertrauen ist gut, Kontrolle ist besser», so die Expertin der SKP.
Als Herausforderungen in der Zukunft sieht sie Deep-Fake-Anwendungen wie Fake Image Creation, Face Swapping, Speech Morphing (z.B. Anruf nach Phishing-E-Mail), Computer Generated Persons und Human based digital clones.
Geheimnisse sollen Geheimnisse bleiben
Sophus Siegenthaler ist Gründer, Managing Partner und IT–Security Engineer bei der Berner cyllective AG. Als ethischer Hacker simuliert er mögliche Angriffe und testet unter anderem mittels Pentesting, wie gut der Schutz von Organisationen und Unternehmen der professionalisierten Cyberkriminalität Stand hält. Hacker:innen seien sehr erfolgreich in der kreativen Zweckentfremdung von frei zugänglichen Technologien und Tools, so der Experte. Darunter befänden sich die von uns täglich genutzen sozialen Medien, Suchmaschinen wie Google Dorks und Innovationen wie ChatGPT und Google Lens. Er appellierte ans Publikum, Informationen bewusst zu teilen – da abgesetzte Posts immer gegen einen verwendet werden können und auch werden. Er zeigte Beispiele, wie sich Kriminelle im Internet frei verfügbare Informationen (OSINT) beschaffen, diese verdichten und somit relativ konkrete Profile generieren können. Eindrücklich ist hier, dass einfache Metadaten (etwa zu finden in hochgeladenen PDF-Dateien oder Daten von Fitnesstrackern) bereits als gute Informationsquelle dienen.
Um Hacker:innen den Zugang zu sensiblen Daten zu erschweren, empfiehlt Siegenthaler, Newsletter nicht direkt über die eigene E-Mail-Adresse zu abonnieren, sondern über duck.com ein Alias zu generieren, das Mailings in die eigentliche Mailbox umleitet. Weiter rät er, nicht mehr mit klassischen Passwörtern zu arbeiten, sondern mindestens eine Zwei-Faktor-Authentifizierung zu verwenden. Zudem sei Google Alerts ein gutes Tool, um eigene Datenlecks zu finden.
Sieben wertvolle Tipps für mehr Cybersicherheit
- Gute Unternehmenskultur: Eine wertschätzende, dialogorientierte Unternehmenskultur schaffen, unter der Überforderung und mögliches Fehlverhalten kommuniziert werden darf.
- Sensibilisieren: Mitarbeitende mit narrativen Texten und aussagekräftigen Bildern für das Thema sensibilisieren und Handlungsoptionen anbieten.
- Testen: Von ethischen Hacker:innen Tests durchführen lassen und intern kommunikativ begleiten.
- Updaten: Regelmässig Updates einspielen, um Sicherheitslücken frühzeitig zu schliessen.
- Prüfen: Virenschutz installieren und aktivieren.
- Starke Passwörter: Mit Passwortmanagern arbeiten. Keine Passwörter mit Post-its an den Bildschirm kleben.
- Achtsam sein: Informationen bewusst teilen und somit Risiken reduzieren.
Impressionen von Samuel Letsch
Video mit Quotes von den Referent:innen zum Anlass | Produktion: kameramann.ch
Slides der Präsentationen von Beatrice Kübli und Sophus Siegenthaler