Das Virus kommt per SMS
Unmengen manipulierter SMS über Paketsendungen landen bei Handynutzern. Für die Opposition ein Beispiel mangelhafter It-sicherheit.
Seit Wochen erhalten Handynutzer Sms-nachrichten, in denen sie zum Öffnen eines Links aufgefordert werden. Getarnt sind die Mitteilungen als Versandbenachrichtigungen von Paketen, Rücksendeinfos oder Terminbestätigungen. Gemeinsam haben die Kurzmitteilungen eines: Die Pakete gibt es nicht, hinter den Links stecken Betrüger.
Bei den Nachrichten handelt es sich um sogenanntes „Smishing“, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine Wortschöpfung aus SMS und Phishing, was so viel wie den Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-mails bedeutet. Klickt man auf die Links, passiert je nach Betriebssystem Unterschiedliches. iphone-nutzer landen auf Fake-webseiten, die auffordern, die eigenen Daten einzugeben, etwa um an einem Gewinnspiel teilzunehmen oder eine Sendung nachzuverfolgen. Android-nutzer hingegen werden aufgefordert, eine App herunterzuladen, hinter der sich Schadsoftware verbirgt.
Die Betrugsmasche hat momentan Hochkonjunktur, beobachten deutsche Sicherheitsbehörden. Seit Anfang April warnen deutschlandweit Polizeibehörden vor den SMS, die Zentral- und Ansprechstelle Cybercrime in Köln spricht von einer „Welle“: Man beobachte „eine außergewöhnlich große Häufung von Vorfällen“, sagt der zuständige Staatsanwalt Christoph Hebbecker.
Zuletzt wurde gemutmaßt, dass die Häufung mit einem jüngst bekannt gewordenen Datenleck bei Facebook zu tun hat, durch das Informationen wie Handynummern, Namen, Geburtsort, etc. entwendet wurden. Das lässt sich zu diesem Zeitpunkt jedoch nicht bestätigen. So sind Fälle mit dem Vornamen des Empfängers personalisierter Nachrichten bekannt, ohne dass die betroffene Person über einen Facebook- oder Whatsapp-account verfügt. Möglicherweise kommen Nummer und Name aus dem Telefonbuch anderer Nutzer. Dafür spricht, dass die Schadsoftware für Android-nutzer massenweise SMS an die Nummern der jeweiligen Telefonbücher schickt.
Dass solche persönlichen Nutzerdaten im Netz landen, ist seit Jahren leider trauriger Alltag. Fast zeitgleich mit dem Facebook-leck wurde auch eine Datenpanne bei der Jobplattform Linkedin bekannt, kurz hinterher beim Audio-netzwerk Clubhouse. Auf die Ausmaße des Problems deutet eine Datenbank des Hasso-plattner-instituts hin, bei der man sich über geleakte Datensätze informieren kann: Zwölf Milliarden sind dort gelistet, aus 1200 Lecks.
Digitalpolitiker der Opposition sehen dafür auch eine Mitverantwortung der Bundesregierung.
„Digitaler Verbraucherschutz wird nach wie vor zu klein geschrieben“, beklagt etwa die parteilose Anke Domscheit-berg (im Bundestag für die Linke) gegenüber dieser Zeitung. Das könne man gut am Entwurf des It-sicherheitsgesetz 2.0 von Innenminister Horst Seehofer (CSU) erkennen, der viele wichtige Elemente offen lasse. Bei einer Expertenanhörung im Bundestag wurde der Entwurf vor ein paar Wochen selbst von der Regierungsfraktion geladenen Fachleuten massiv kritisiert (wir berichteten). Domscheit-berg bemängelt etwa, dass Softwareanbieter nicht häufiger zu Sicherheitsupdates verpflichtet werden, die solche Angriffe erschweren würden.
Cdu-netzpolitikerin Nadine Schön betont hingegen, dass die Regierung sich durchaus für die Cybersicherheit eingesetzt habe, indem sie die Initiativen „Deutschland sicher im Netz“und als Behörde das BSI finanziell und mit neuen Kompetenzen gestärkt habe. Vor allem das BSI leiste gute Arbeit, indem es bereits Mitte Februar vor der neuen Masche gewarnt habe und auf seiner Webseite die Bürger informiere. „In meinen Augen muss dieses gute Angebot noch stärker bekannt werden“, sagt Schön. „Warum nicht bei Attacken größeren Ausmaßes über die Katastrophenschutz-app NINA warnen?“Vor allem aber müsse die digitale Kompetenz der Verbraucher gestärkt werden.
Sicherheitslücken teils bekannt
Dem Vorsitzenden des Digitalausschusses im Bundestag, Manuel Höferlin (FDP), geht das nicht weit genug. Er kritisiert, dass die Regierung It-sicherheit „viel zu stiefmütterlich“behandele. Ihn treiben vor allem dem Innenministerium bekannte Sicherheitslücken um, die dieses aufgrund eigener Überwachungsinteressen nicht preisgibt – und die so auch von Kriminellen genutzt werden können. „Jede Sicherheitslücke ist ein Risiko“, sagt er zu dieser Zeitung. Wenn die Regierung das nicht begreife, „wird sie selbst zum größten Sicherheitsrisiko“.