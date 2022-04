Internetkriminalität Raus aus der digitalen Komfortzone – denn: «Die Ostschweiz hinkt hinterher», sagt ein Computerexperte für Cybersicherheit Studie von IT-Sicherheitsfirma Eset zeigt, dass Schutz im Internet oft zu wenig ernst genommen wird. Der lasche Umgang mit Passwörtern macht es Hackern leicht. Interview: Stefan Borkert Jetzt kommentieren 01.04.2022, 05.00 Uhr

Thomas Uhlemann, Sicherheitsexperte bei Eset. Bild: PD

Die IT-Sicherheitsspezialistin Eset hat eine repräsentative Umfrage bei YouGov lanciert, die die Verwaltung der Passwörter sowie die Zugänge zu Internetdiensten der Schweizer Bevölkerung untersucht. Unterm Strich wird das in der Schweiz eher schlecht als recht gemacht. «Die Ostschweiz hinkt vor allem bei der Zwei-Faktor-Authentifizierung (2FA) hinterher und bildet zusammen mit der Genferseeregion das Schlusslicht», sagt Thomas Uhlemann, Sicherheitsexperte bei Eset. Allerdings setzt man in der Ostschweiz überdurchschnittlich auf das Gedächtnis. 36 Prozent merken sich ihre Passwörter. Schweizweit sind es 32 Prozent.

Hat die Ostschweiz digitalen Nachholbedarf?

Thomas Uhlemann: Wenn man sich die nackten Zahlen dieser Umfrage anschaut, drängt sich der Gedanke natürlich auf. Ich denke aber, dass er der Realität nicht gerecht wird. Richtiger ist dagegen, dass allgemein klar wird, dass noch viel Aufklärungsarbeit zum Thema Account-Sicherheit auf uns alle wartet. Und da sehe ich Schulen, Universitäten und Arbeitgeber genauso mit im Boot wie die Betreiber von Plattformen.

Was ist der Grund für die regionalen Unterschiede?

Das lässt sich schwer eindeutig bemessen. Da könnten kulturelle Unterschiede eine Rolle spielen, Aufklärungsarbeit im öffentlichen Raum oder am Arbeitsplatz und manches mehr. Klar ist jedoch, dass dadurch keines der Länder besser oder schlechter als das andere ist. Ob jeder vierte oder jeder dritte gängige Sicherheitsmassnahmen wie 2FA nicht nutzt, macht kaum einen Unterschied und ist für niemanden Grund zum Jubeln. Und Passwörter allein schützen keinen Log-in.

Firmen werden immer wieder Opfer von Hackerangriffen, meist über E-Mails. Woran erkennt man ein gefährliches Mail?

Im besten Fall haben die Administratoren den E-Mail-Server so eingestellt, dass alle Mails von ausserhalb der Organisation mit «Extern» gekennzeichnet sind. Das ist schon ein erster Anhaltspunkt, um das Mail mit Vorsicht zu geniessen, auch wenn sie augenscheinlich von einem bekannten Absender stammt. Wenn Informationen oder Aktionen vom Empfänger verlangt werden, wie Zugangsdaten oder «klicken Sie hier», dann ist immer höchste Vorsicht geboten. Man sollte also die Mailabsender prüfen, stimmen Name und Absenderadresse überein oder stammt das Paypal-Mail von einem Gmail Account? Mailinhalte, wie etwa Zahlungsaufforderungen oder Bewerbungen, die mit meinem Arbeitsauftrag nichts zu tun haben, sollten ebenfalls ungeöffnet bleiben.

Bei Passwörtern sollte die digitale Komfortzone verlassen werden. Bild: fotolia

Wie sollten Mitarbeitende vorgehen?

Solche Mails sollten immer an die IT-Abteilung gemeldet werden, damit diese die Spamfilter und andere Schutzmechanismen nachjustieren kann.

Was heisst, die digitale Komfortzone verlassen?

Damit meine ich, dass alte, vertraute Gewohnheiten, die vor 20 Jahren entstanden sind, überdacht und verändert werden sollten. Vor einigen Jahren hatte man noch vier bis fünf Accounts, bei denen man ein Passwort brauchte. Die konnte man sich merken und durch die fehlende Vernetzung der Cybergangster war es auch nicht ganz so schlimm, wenn ein komplexes Passwort wiederverwendet wurde. Das alles hat sich bekanntermassen dramatisch verändert.

Wo denkt man zu bequem?

Bei vielen herrscht auch noch die Meinung, dass 2FA, Passwortmanager und lange Passphrasen wertvolle Zeit vernichten würden. Das Gegenteil ist jedoch der Fall. Im Anwendungsfall kommen im Schnitt zwei bis fünf Sekunden an Mehraufwand hinzu. Sie helfen aber, Schaden abzuwenden, der Monate dauern kann, ihn zu beheben. Das zeigt das Beispiel eines Betroffenen, dessen Identität im Netz gestohlen und dessen Kreditwürdigkeit dadurch massiv beschädigt wurde.

Was war die Motivation für diese Studie?

Wenn wir uns die erfolgreichen Angriffe anschauen, dann erfolgt ein überproportional hoher Anteil mittels gestohlener Zugangsdaten. Diese sind deswegen so spannend für die Angreifer, weil die Chance recht hoch ist, dass dies die einzige Absicherung von Benutzerkonten, privat wie in Unternehmen ist. Bei der hohen Zahl an Diensten, die Log-ins verlangen, ist die Chance recht hoch, dass Passwörter wiederverwendet werden. Wie genau die Lage ist, das wollten wir mit der Studie herausfinden und auch für das Thema sensibilisieren.

Gibt es Unterschiede zwischen der Schweiz und anderen Ländern?

Zum Vergleich haben wir die Fragen auch in Deutschland gestellt. Interessanterweise haben wir Gemeinsamkeiten und Unterschiede feststellen können. In beiden Ländern verwenden gegen ein Viertel der Befragten einen Passwortmanager und jeweils 32 Prozent gaben an, sich ihre Passwörter ohne Hilfsmittel merken zu können.

Und Unterschiede?

Die 2FA ist schon der erste Unterscheider: 74 Prozent der Deutschen nutzen 2FA, während nur 68 Prozent der Schweizer dies tun. Dramatisch wird es jedoch beim Wiederverwenden von Passwörtern. Ganze 12 Prozent der Befragten in der Schweiz gaben an, identische Zugänge bei verschiedenen Diensten zu nutzen. In Deutschland sind das nur 5 Prozent.

Seit dem Krieg in der Ukraine haben Cyberangriffe zugenommen. Bild: Pete Linforth / Pixabay

Gibt es seit dem Krieg in der Ukraine mehr cyberkriminelle Aktivitäten?

Man kann schon sagen, dass die Gesamtlage unruhiger geworden ist. Global sehen wir so etwa einen Anstieg von Hacktivismus, aber auch grössere Netzwerkeinbrüche, die bekannt werden. Dazu zählen die Aktivitäten der Lapsus$-Gruppe bei Grössen wie Samsung, nVidia oder Microsoft. Ransomware bleibt auch weiter hoch im Kurs.

Gibt es auch eine digitale Zerstörungswut?

Die Zeit der Spionage scheint vorbei zu sein. Blosse Zerstörung wird angerichtet. Wir haben innerhalb weniger Wochen alleine fünf verschiedene Attacken mit Wiper-Malware entdeckt. Diese sollten Tausende von IT-Systemen in der Ukraine, Computer, Server und Steuerungsanlagen, durch pures Löschen von Daten unbrauchbar machen oder zerstören.

Sind Sie selbst schon Opfer einer Hackerattacke und eines Passwortdiebstahls geworden?

Ich bin in der glücklichen Situation, trotz einiger Versuche, noch keinem Hackerangriff zum Opfer gefallen zu sein. Passwortdiebstähle haben sich jedoch in den letzten 20 Jahren nicht vermeiden lassen durch Leaks bei Anbietern, denen ich vertrauen musste.

Der grösste Hack war…?

Meine Zugangsdaten sind mehrfach schon von Cyberkriminellen erbeutet worden. Der erste mir bekannte Fall betraf Myspace. Die grössten Namen waren jedoch sicherlich Facebook oder Dropbox.

Sind Passwortmanager wirklich sicher?

Wenn man eine generelle Antwort geben möchte, dann zeigt sich, dass sie sicherer als handschriftliche Notizen in der Nähe des Computers oder Smartphone sind. Moderne Passwortmanager haben gleich mehrere Vorteile: Sie lassen sich über mehrere Geräte synchronisieren, sind im besten Falle unabhängig von einem speziellen Betriebssystem und können automatisch starke, komplexe Passwörter für jeden einzelnen Anwendungsfall generieren und speichern. Ihre Achillesferse ist jedoch das Masterpasswort für den Zugriff auf das Programm. Das sollte möglichst aus einer Passphrase bestehen, also einem ganzen Satz mit Leer-, Satz-, und Sonderzeichen. Das Ganze noch unabhängig vom Anwendungsfall, aber leicht zu merken, wie zum Beispiel: «Das Lama besteht auf seine 12 Tafeln Schokolade täglich!»

Ausserdem muss man sich als Benutzer darauf verlassen, dass der Anbieter des Passwortmanagers höchste Sicherheitsstandards erfüllt und sich erfolgreich gegen Angriffe wehren kann und mögliche Lücken zeitnah schliesst.

Bei Passwortmanagern ist das Masterpasswort die Schwachstelle. Bild: fotolia

Die Zweifaktorauthentifizierung, 2FA, hört sich sicher an. Stimmt das tatsächlich?

Nichts ist zu hundert Prozent sicher. Aber 2FA ist eine gewaltige Hürde für Account-Diebe! Entscheidend ist, welche Form der Anmeldungsbestätigung gewählt wird. SMS gilt mittlerweile als nicht sicher genug. Fingerabdrücke, spezielle USB-Sticks & digitale Zertifikate verbunden mit entsprechenden Apps sind dagegen wesentlich sicherer und ein essenzieller Bestandteil zum Schutz der eigenen Daten. Das klingt auch meist komplizierter als es im Anwendungsfall ist. Oft reicht eine App, wie der Google oder Microsoft Authenticator und ähnliche, in denen man mehrere Accounts zusammenfassen kann.

Das Internet findet eben nicht nur auf dem PC oder Smartphone statt. Bild: Thomas Breher / Pixabay

Wie gelangen Cyberkriminelle eigentlich an meine Passwörter?

In der Regel konzentrieren sich die Angreifer auf grosse Plattformen, bei denen man gesammelt einen grossen Datenstamm erbeuten kann. Phishingmails, die die späteren Opfer gezielt nach ihren Daten fragen, sind eine andere beliebte Masche. Am erfolgreichsten sind hierbei interessanterweise angebliche iCloud/Apple-Mails, die behaupten, dass mit dem Account etwas nicht stimme und man mit einem Klick auf den in der Mail befindlichen Link auf einer Seite noch einmal seine Anmeldedaten eingeben soll. Die gleiche Masche funktioniert auch in Unternehmen und Behörden. Hier wird klassischerweise behauptet, dass Urlaubsansprüche geprüft werden müssten oder andere Daten bestätigt.

Arbeiten Sie als White Hat Hacker?

Nein, wir bei Eset brechen nirgendwo ein, egal ob beauftragt (White Hat oder «gute» Hacker) oder nicht (Black Hat Hacker). Wir kennen die Methoden der Hacker und schützen unsere Kunden bestmöglich vor deren Taktiken und Vorgehensweisen. Ein wichtiger Aspekt ist dabei auch die Aufklärungsarbeit, was neben dem technologischen Schutz noch zu beachten ist und wie Hacker versuchen, ihre Opfer im Vorfeld zu manipulieren, oder dass E-Mails nicht ausgedruckt oder danach zumindest geschreddert werden sollten und Passwörter niemals aufgeschrieben werden sollten und schon gar nicht auf einem Klebezettel an den Monitor gehören.

Was ist der grösste Fehler, den Userinnen und User regelmässig machen?

Der grösste Fehler ist vielleicht, dass man glaubt, dass das Internet nur auf meinem PC oder Smartphone stattfindet. Das Gegenteil ist der Fall. Unser Leben ist von Technologie und Vernetzung bestimmt. Verhaltensweisen und Vorsichtsmassnahmen, wie im Strassenverkehr oder wenn ich von fremden Menschen auf der Strasse angesprochen werde, werden im Internet oft vergessen. Eine gesunde Prise Paranoia sollte uns im Alltag begleiten, um Betrügern oder schlimmeren nicht auf den Leim zu gehen. Dazu gehört auch vor allem der Umgang mit privaten Informationen und Bildern in sozialen Netzwerken.

