Experten-Tipps, um nicht in die Cybercrime-Falle zu tappen

Eine gespannte Erwartung liegt in der Luft, als das Publikum am Dienstagabend dieser Woche in den Kasinosaal Affoltern strömt. «Es haben sich rund 250 Leute angemeldet, das Thema scheint unsere Mitglieder zu interessieren», meint Martin Fröhli, Präsident des Hauseigentümerverbands Albis, bei der Begrüssung der Gäste.

Tatsächlich klingt der Titel der diesjährigen Frühlingsveranstaltung vielversprechend: «Erleben Sie Cyberschutz hautnah – mit Live-Hacking und Tipps von Profis.» Es ist eine Thematik, um die in dieser Zeit kaum mehr jemand herumkommt, die aber so komplex und undurchschaubar scheint, dass manch eine(r) denkt, man stünde den Gefahren als Laie fast wehrlos gegenüber.

Nicolas Germiquet, Head Cyber Security Advisory & Digital Forensic beim Unternehmen BDO und Hauptredner des Abends, startet seine Präsentation mit der Einblendung eines QR-Codes, den die Anwesenden mit ihrem Handy scannen sollen. Wie erwartet, zückt ein Grossteil des Publikums ohne Zögern sein Mobiltelefon und folgt der Anweisung. Es öffnet sich nun aber nicht eine «gewöhnliche» Internetseite, nein, auf den Bildschirmen der Smartphones ­erscheint in grossen Lettern die zentrale Frage: «Haben Sie vor dem Scannen des QR-Codes überlegt?» In diesem Fall vertrauten alle darauf, dass keine Gefahr bestehen kann, da man ja die Veranstalter des Vortrags kennt, doch allgemein ist ein aufmerksamer Blick darauf, ­welche Internetseite man mit seinem Gerät öffnet, von zentraler Bedeutung.

Ältere Personen sind besonders im Visier von Online-Kriminellen

Was passieren kann, wenn man dem falschen Link vertraut, demonstriert im Anschluss Alain Haldi, Cybersicherheitsanalyst von BDO Schweiz. Auf der grossen Leinwand kann der Saal verfolgen, welche beängstigende Kaskade von ­Abläufen auf dem Laptop in Gang ­gesetzt wird, sobald das Gerät gehackt wurde. Dass dies keine Einzelereignisse sind, sondern das Problem wahrlich schockierende Ausmasse angenommen hat, zeigt die Schadenssumme, die auf der Leinwand als Balkendiagramm eingeblendet wird. Demnach hat der weltweite Schaden durch Cyberangriffe im Jahr 2024 mit 9,22 Billionen Dollar den Staatshaushalt der USA (verwendete Zahl hier von 2022) übertroffen. Eine Grafik mit der Situation in der Schweiz lässt erkennen, dass die Zahlen hier ­vorübergehend rückläufig waren, in der allerjüngsten Zeit aber wieder ansteigen.

In einem Säulendiagramm wird dargestellt, dass Betrugsversuche in unserem Land bei Weitem die häufigste Art der Online-Kriminalität darstellen, die an zweiter und dritter Stelle rangierenden Kategorien Spam und Phishing werden von ersterer um ein Mehrfaches überstiegen. Nicolas Germiquet führt aus, dass vor allem ältere Leute von Kriminellen gezielt ins Visier genommen werden. «Man muss deshalb nicht nur am Computer sehr vorsichtig sein, ­sondern auch am Telefon», gibt er zu bedenken. Vor allem die Hilfsbereitschaft älterer Semester werde schamlos ausgenutzt, wie dies in Form der sogenannten «Enkeltrick»-Fälle immer wieder Schlagzeilen macht. Anhand von Tondokumenten spielt der Experte dem Publikum vor, wie vorgegangen wird, um gutgläubige Menschen in ein ­Gespräch zu verwickeln und deren Vertrauen zu erschleichen. Oft gelingt es der Täterschaft so auch, die Namen der Angehörigen in Erfahrung zu bringen.

Reputationsschaden bei gehacktem Konto kann immens sein

Doch was geschieht mit einem Online-Konto, das gehackt worden ist? Cyberrisk-Spezialist Germiquet nennt in ­seiner Präsentation konkrete Preise, die im sogenannten Darknet (verborgene Netzwerke, auf welche die Öffentlichkeit nicht zugreifen kann) für gehackte Social-Media- oder E-Mail-Konten ­bezahlt werden. Demnach wird beispielsweise ein gekapertes Facebook-Konto für 25 US-Dollar weiterverkauft, ein Gmail-Konto für 60 Dollar. Was folgt, ist meist eine Erpressung, und wenn es geschieht, dass gefälschte E-Mails, etwa mit anstössigen Bildern als Anhang, an Arbeitgeber und Bekannte verschickt werden, ist der Reputationsschaden für den Kontoinhaber in der Regel gewaltig. «Bei eingehenden E-Mails vor dem Öffnen immer die Absenderadresse anschauen», rät der Sicherheitsexperte. Dabei sei es wichtig, nur mit dem Mauszeiger über die Adresse zu fahren, ohne aber darauf zu klicken.

Cybersicherheitsanalyst Haldi tritt nun wieder als Hacker im Dienste der Sicherheit in Aktion und führt auf seinem Laptop vor, wie einfach sich eine Firmenwebsite «klonen» lässt. «Sie ­sehen, es dauert nur ein paar Minuten», so seine mahnende Botschaft an die ­Besucherschaft.

Kritisch denken, gut überlegen und nicht auf Tricks hereinfallen, laute die Devise bei Internet-Aktivitäten. Über das Beispiel eines Cyberangriffs auf eine ­Firma, der dramatische Konsequenzen hatte, leitet Nicolas Germiquet zur Frage über, wie denn die Hacker überhaupt ins System gelangen konnten. Dies könnte etwa durch einen Mitarbeiter geschehen sein, der für diverse (auch private) Aktivitäten das gleiche Passwort verwendet hat. «Gelangt dieses an einer Stelle in falsche Hände, stellt sich rasch ein Domino-Effekt ein, indem es automatisch überall ausprobiert wird im Umfeld der Person», so die sinngemässe Zusammenfassung. Besonders wichtig sei es, immer über die richtige Website in Internetdienste einzusteigen und nicht auf irgendwelche Links zu klicken. Auch sollte man über WLAN-Netzwerke in Hotels besser keine Login-Daten ­versenden.

Darüber hinaus gelte es, misstrauisch zu sein bei fremden Handy-Ladekabeln, die «zufällig» irgendwo herumliegen und dazu einladen, vom Finder oder der Finderin benützt zu werden. Möglicherweise seien sie gezielt präpariert, was auch bei USB-Sticks aus fremder Hand der Fall sein könne. Trotz aller Vorsicht ist aber niemand vor Risiken gefeit. Der Abend wird passenderweise von einer kurzen Präsentation der ­Zürich-Versicherung beschlossen, die aufzeigt, wie man sich versicherungstechnisch gegen die Folgen von Hacker-Angriffen wappnen kann.