Schwäbische Zeitung (Sigmaringen)
Cyberkriminalität: Jeder kann Opfer werden
Wie man sich davor schützt, erklärt Sicherheitsforscher Tobias Scheible von der Hochschule
SIGMARINGEN - Bei Cyberangriffen sind nicht nur Daten in Gefahr, manchmal kann es auch um Leben und Tod gehen. Sicherheitsforscher und Dozent an der Hochschule Albstadt-Sigmaringen, Tobias Scheible, spricht im Interview mit Redakteurin Anna-Lena Janisch über organisierte Kriminalität, Sicherheitslücken und gute Passwörter.
Sie befassen sich derzeit unter anderem mit der IT-Sicherheit von Smart Textiles, also der Kombination aus Textilien und Elektronik, die häufig am Körper getragen werden. Eine Vorstufe davon sind sogenannte Wearables wie Smart Watches. Dabei geht es ja um sensible Biodaten, die besonders geschützt werden müssen.
Ja, diese Daten sind personenbezogen und müssen sensibel behandelt werden. Es gab beispielsweise einen Vorfall bei einem Fitnesstracker-Anbieter, auf dessen Website zu Marketingzwecken nachzuvollziehen war, wann Nutzer auf welcher Route joggten. So konnte man etwa auch die täglichen Trainings- und Patrouillenrouten von Soldaten einer US-Basis in Afghanistan sehen. Diese Info hätte für einen Anschlag missbraucht werden können.
Nutzen Sie Whatsapp, eine Messenger-App, die ja mittlerweile zu Facebook und Instagram gehört?
Ja, im Datenschutzmodus, sodass Whatsapp nicht auf mein Adressbuch zugreifen kann. Das kann man bei der Installation der App einstellen. Wenn man das zu Beginn versäumt, sind die eigenen Daten und alle Daten der Personen in meinem Telefonbuch allerdings bereits übermittelt.
Zurück zu Cyberangriffen: Wer will unsere Daten?
Hinter Schadsoftware steckt häufig organisierte Kriminalität, nicht mehr nur wie im Klischee einzelne Leute, die im Kapuzenpulli im Keller vor dem PC sitzen. Dieser Weg ist inzwischen attraktiver als beispielsweise ein Banküberfall. Kryptotrojaner sind etwa eine effektive Methode, um an Geld zu gelangen. Dabei handelt es sich um Schadsoftware, die Benutzerdaten auf dem PC verschlüsselt und somit nicht mehr nutzbar macht. Betroffene erhalten dann eine Lösegeldforderung. Das Gemeine ist, dass es reicht, eine Datei zu öffnen, um die Daten einzufrieren. Vor Kurzem war die Uniklinik Düsseldorf von einem derartigen Hackerangriff betroffen, der für einen Ausfall der IT-Systeme gesorgt hat. Patienten mussten verlegt werden, da nichts mehr ging – traurigerweise hat dies eine Person sogar das Leben gekostet.
Mit einem sicheren Passwort kann man sich vor Angriffen schützen. Worauf sollte man achten?
Man sollte ein sicheres Passwort wählen, dass nur einmal pro Dienst verwendet wird, nicht ein Passwort für alles. Es gibt immer wieder Hacks, bei denen Passwörter und Benutzerdaten geklaut und veröffentlicht werden und dann versucht wird, mittels automatischer Scripte die Daten auf verschiedene Dienste anzuwenden. Am besten verwendet man einen Passwortmanager. Dann wird nur ein Passwort benötigt, am besten ein eindrückliches und sehr langes, in dem vielleicht eine Zahl, ein Sonderzeichen oder ein Großbuchstabe vorkommt. Das muss man sich merken. Und dann kann man sich sichere Passwörter generieren lassen, die im Passwortmanager hinterlegt werden. Sinn macht es auch, wann immer es möglich ist, eine Zwei-Faktor-Authentifizierung zu wählen, bei der man sich normal mit Passwort und zusätzlich über einen einmal gültigen SMS-Code einloggt. Von Passwörtern mit aufsteigender Zahlenfolge, Geburtsdaten oder Wohnort rate ich ab.
Sie geben auch Workshops. Wer ist ihre Zielgruppe?
Die Bandbreite ist groß, ich gehe sowohl an Schulen als auch zu Unternehmen unterschiedlicher Größe. Ein wichtiger Baustein in der IT-Sicherheit von Unternehmen ist es, die Mitarbeiter für Gefahren zu sensibilisieren.
Zu diesem Zweck erstellen Sie mit Workshopteilnehmern auch gefälschte E-Mails und Websites zu Übungszwecken.
Genau. Dabei handelt es sich um eine offensive Securitymethode, die vor Augen führt, wie einfach so etwas sein kann. Es geht darum zu erkennen, wie Angreifer arbeiten um dann effektive Maßnahmen ergreifen zu können. Es wird gezeigt, wie man auch mit geringem Programmieraufwand gefälschte Faxe und SMS versenden kann. Bei SMS gibt es keine Überprüfungsmechanismen für die Absendernummer. Es kann leicht eine neue Nummer in einem bestehenden SMS-Chat eingeschleust werden. Stellen Sie sich vor, was passiert, wenn der vermeintliche Geschäftsführer seinen Mitarbeitern Anweisungen per SMS gibt, es sich aber in Wahrheit um einen Betrüger handelt…
Durch Corona gingen vermehrt Arbeitnehmer ins Homeoffice. Bietet die häusliche Verbindung mehr Angriffspunkte?
Häufig wird mit Kollegen über Tools kommuniziert. Es gab daher eine Zunahme von gefälschten Authentifizierungsaufforderungen. Ansonsten wird im Homeoffice meist mit VPNClients gearbeitet, was den Zugriff auf das Firmennetzwerk über eine verschlüsselte Verbindung ermöglicht. Die Sicherheitsstandards der Firma können so auch im Homeoffice genutzt werden.