«Es gibt ein iPhone zu gewinnen», lesen Tausende Angestellte des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) in einer E-Mail von ihrem eigenen Arbeitgeber. Darin ein Link, der zum Gewinnspiel führt. Da ist doch etwas faul, denken sich die meisten. Es könnte sich um eine sogenannte Phishing-E-Mail handeln, mit der Kriminelle versuchen, an vertrauliche Daten oder Passwörter der ahnungslosen Empfänger zu gelangen. Oder Schadsoftware auf ihre Computer zu schleusen.
Bei näherer Betrachtung sind tatsächlich ein paar Dinge in der E-Mail verdächtig. Etwa der Absender, der auf den ersten Blick zwar seriös aussieht, so, als stamme er aus der Bundesverwaltung. Bei genauem Hinsehen aber entpuppt sich die Adresse als gefälscht. Dennoch klicken etwa 150 Angeschriebene auf den Link. Zum Glück ohne böse Folgen, denn in diesem Fall stecken hinter der Aktion nicht kriminelle Hacker, sondern die Organisationseinheit Cyber Defence der Schweizer Armee. Diese testet jedes Jahr, wie gut das VBS gegen Schadsoftware, Hacker-Angriffe und Betrugsversuche durch Phishing gewappnet ist. Dabei zeigt sich immer wieder: «Der Mensch ist und bleibt eine Schwachstelle», sagt Thomas Bögli, stellvertretender Leiter der Cyber Defence. «Durch die regelmässigen Tests wollen wir unsere Leute trainieren.» Das zeigt seine Wirkung: Der Anteil der Mitarbeiter, die auf die gestellten Betrugsversuche hereinfallen, ist in den letzten Jahren stetig gesunken.
Mit ähnlichen Mitteln prüft auch die Swisscom die Skepsis ihrer Angestellten gegenüber verdächtigen E-Mails – und zwar monatlich. Doch trotz dieser regelmässigen Trockenübungen fallen jeweils zwischen 15 und 20 Prozent der Angeschriebenen darauf herein. «Insbesondere wenn die Leute ein verlockendes Angebot erhalten und unter Zeitdruck gesetzt werden, hat ein Betrugsversuch grosse Chancen», sagt Lorenz Inglin, Leiter der Cyber-Abwehr bei der Swisscom. Etwa, wenn die E-Mail den ersten 100 Teilnehmern einen Gewinn verspricht.
Ausgefeilte Attacken
Inglin versucht mit seinem Team immer wieder, die Schutzmassnahmen der Swisscom von aussen her zu durchbrechen. Auf diese Weise spürt er allfällige Sicherheitslücken auf und hilft, die Abwehr der Swisscom zu verstärken. Doch nicht nur die Firmen, auch die Hacker verbessern sich laufend. «Es ist ein regelrechtes Wettrüsten», sagt Inglin. Zudem nehmen die Angriffe der Cyber-Kriminellen auf die Swisscom und ihre Kunden zu. Mittlerweile sperrt das Team von Inglin mehrere Tausend bösartige Websites pro Monat, auf die Kunden durch Phishing-E-Mails gelockt werden sollen.
«Die kriminellen Strategien, mit denen Hacker angreifen, werden immer ausgeklügelter», sagt auch Ilia Kolochenko. Er ist CEO der Genfer IT-Sicherheitsfirma High-Tech Bridge, die im Auftrag anderer Organisationen – darunter beispielsweise die internationale Onlinetauschbörse Ebay – deren Apps und Websites auf Herz und Nieren prüft. «Meist verläuft ein Angriff von Hackern gegen eine Firma gleich auf mehreren Ebenen.» Das könne beispielsweise so ablaufen: Zuerst hacken sich Cyber-Kriminelle in die Website des Unternehmens und deponieren dort in einem abgelegenen Winkel Schadsoftware. Danach überlisten sie einen Angestellten, ihren Zwecken zu dienen. Dazu recherchieren sie zuerst über ihn im Internet, etwa auf Facebook. So erfahren sie Details über sein Umfeld und können die Identität eines seiner Freunde annehmen. In dessen Namen erstellen sie eine neue E-Mail-Adresse und schreiben damit der Zielperson: Hey, ich habe gesehen, dass ihr eine spannende Stelle ausgeschrieben habt. Denkst du, das wäre etwas für mich? Dazu ein Link – natürlich nicht auf die Stellenausschreibung, sondern auf die zuvor deponierte Schadsoftware. Der Angestellte erwartet nichts Böses auf der firmeneigenen Webseite. So reicht ein Klick, und die Schadsoftware installiert sich auf seinem Computer. Von dort aus verbreitet sie sich weiter im Firmennetzwerk und treibt ihr Unwesen. Beispielsweise verschlüsselt sie wichtige Daten des Unternehmens. Jetzt kommt die Forderung der Hacker: Überweist uns Geld, und wir geben euch das Passwort, um wieder an die Daten zu gelangen.
Lukratives Geschäft
«Das ist ein gigantisches Business», sagt Sicherheitsexperte Kolochenko. Oft seien mehrere Gruppen von Hackern daran beteiligt, die sich an verschiedenen Orten auf der Welt befinden. «Deshalb ist es fast unmöglich, die Hacker zu identifizieren und zu bestrafen.» Das Geschäft gleiche einer Zwiebel mit verschiedenen Schichten, erklärt Kolochenko. Die einen hacken einfach möglichst viele Firmen oder Privatpersonen. Sie sammeln Daten – Passwörter, Kreditkartennummern, private Fotos – und verkaufen diese weiter an andere Kriminelle. Diese wiederum erpressen dann die betroffenen Firmen oder Menschen.
Was also kann man tun, damit es nicht so weit kommt? «Leider sind die bösartigen Mails mittlerweile so gut gemacht, dass sie nur schwer zu erkennen sind», sagt Lorenz Inglin von der Swisscom. Das gelte sogar für versierte Computerbenutzer. Sicher ist aber: Wenn man dazu aufgefordert wird, auf einen Link zu klicken oder einen Anhang zu öffnen, um persönliche Daten, Finanzinformationen oder Passwörter anzugeben, werde es gefährlich, so Inglin. «Dann sollten die Alarmglocken schrillen.»
Was wir online teilen, hilft Hackern
Viele Menschen geben auf Facebook, Twitter und anderen Social-Media-Kanälen persönliche Informationen preis. Das machen sich Cyber-Kriminelle zunutze. Dadurch erhöhen sie die Erfolgsquote des Phishings massiv – bis auf über 95 Prozent.
Im Prinzip ist dieses sogenannte Social Engineering ziemlich einfach. Wenn sich beispielsweise jemand auf Facebook darüber beklagt, wegen zu schnellen Fahrens geblitzt worden zu sein, könnte ihm ein Krimineller darauf eine E-Mail im Namen der Kantonspolizei zustellen mit der Bitte, ein Onlineformular wegen der Busse auszufüllen – und schon hat man sensible Daten verraten oder sich eine Schadsoftware eingefangen.
Falls Sie eine verdächtige E-Mail erhalten haben, können Sie dies auf der Website www.antiphishing.ch melden, die von der Melde- und Analysestelle Informationssicherung (Melani) des Bundes betrieben wird.
