Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

Cyber Security News

Geld her oder ich verschicke Daten: Das Spiel mit dem guten Ruf

Online-Erpressungen sind auf dem Vormarsch – und zunehmend erfolgreich. Denn die Täter gehen immer professioneller vor und bedrohen Privatpersonen und Unternehmen gleichermaßen.

Was passiert, wenn Otto Normalverbraucher abends nach der Arbeit seine E-Mails abruft und eine Nachricht vorfindet, in der ein Unbekannter ihn auffordert, rund 2.500 Euro an ein Konto im Ausland zu überweisen? Das kommt ganz darauf an. Denn wenn in der E-Mail steht, man habe das Passwort des Nutzers gehackt und dieses zum Beweis mitgeschickt… Und das Passwort auch noch korrekt ist und obendrein mit dem Hinweis versehen, man habe den Nutzer beim Konsum pornografischer Seiten beobachtet und dabei über die eingebaute Webcam gefilmt... Und wenn 2.500 Euro die Bedingung dafür sind, die Aufnahmen nicht an alle Kontakte des Erpressungsopfers zu schicken… Ja, dann kann es sein, dass der eine oder andere es mit der Angst zu tun bekommt – und zahlt.

Dies ist kein theoretisches Szenario. Die Geschichte hat sich genauso erst vor Kurzem zugetragen, und wahrscheinlich läuft diese Kampagne noch immer. Sie hat den Initiatoren Schätzungen zufolge innerhalb von einer Woche 50.000 Dollar eingebracht. Was steckt dahinter?

Gießkannenprinzip sorgt für Geldregen

In den dunklen Ecken des Internets kursieren Listen mit Benutzernamen und Passwörtern, zum Beispiel aus Hacks bei Yahoo und anderen Plattformen. Auch wenn viele der betroffenen Konten längst nicht mehr aktiv sind, so hat die Kombination aus Namen und Passwort eine viel höhere Halbwertszeit. Das liegt daran, dass die meisten Privatpersonen immer und überall das gleiche Passwort benutzen, und das über Jahre. Es ist ein Spiel mit Wahrscheinlichkeiten, das die Betrüger da spielen. Sie versenden E-Mails in Massen. Und bei einem gewissen, vermutlich gar nicht so kleinen Prozentsatz treffen sie mit dem Passwort ins Schwarze. Damit ist die Behauptung, Kontrolle über den Rechner zu haben, scheinbar verifiziert – und die Grundlage für alle weiteren Angstszenarien gelegt.

„In der Regel müssen sich Privatpersonen aber keine Sorgen machen, dass an diesen Behauptungen etwas dran ist und sollten die Mails einfach löschen und die Passwörter der genannten Accounts ändern“, erklärt Stefan Vollmer, Chief Technology Officer, TÜV SÜD Sec-IT GmbH. „Der Aufwand, Hunderttausende von Nutzern individuell auszuspähen, wäre viel zu hoch. Die Betrüger arbeiten stattdessen nach dem Gießkannenprinzip: Wenn sie eine Million Menschen anschreiben und nur 0,01 % auf die Drohkulisse anspringen, haben sie 250.000 Euro in der Kasse.“ Wer sich unsicher ist, sollte die Nachricht einer kompetenten Person zeigen und um deren Einschätzung bitten.

Im beruflichen Umfeld immer die Unternehmens-IT oder -Sicherheit einschalten

In Unternehmen, wo es um komplexere Informations- und Entscheidungsprozesse geht, kommt es vor allem auf transparente Kommunikation an. Ein Mitarbeiter, der einen Erpressungsversuch an seine Firmen-E-Mail-Adresse bekommt und befürchten muss, dass sein Dienst-Laptop gehackt worden ist, muss die interne IT einschalten und den Fall mit einem Security-Experten klären. „Grundsätzlich ist es ratsam, Firmenrechner wirklich nur für Firmenbelange zu nutzen, dann kommt es gar nicht erst zu Missverständnissen“, rät Vollmer. „Aber die meisten haben sich da ohnehin nichts vorzuwerfen. Zur Masche der Erpresser gehört es, mit Tabuthemen zu arbeiten, die keiner gerne anspricht, ganz gleich, was er getan hat.“

Gilt eine solche Erpressung nur einzelnen Führungskräften, etwa dem CEO, dann ist Löschen in jedem Fall die falsche Option. „Dann müssen Unternehmen aktiv werden, Strafanzeige erstatten und den Vorgang genau untersuchen“, erläutert Vollmer. „Hier muss man vom schlimmsten Fall ausgehen, dass es sich nämlich um kein Zufallsopfer handelt, sondern um einen gezielten Angriff auf eine Person, der nicht nur der Person selbst, sondern auch dem Unternehmen schaden kann.“

Wie kann man sich schützen?

Egal, ob beruflich oder privat: Jedes Passwort sollte nur einmal verwendet und regelmäßig erneuert werden. Dies sollte auch durch Unternehmensrichtlinien vom Nutzer gefordert werden. Und wenn doch einmal eine erpresserische E-Mail reinkommt? „Nicht in Panik verfallen, private Mails einfach löschen, Passwort ändern und schnell wieder vergessen“, rät Stefan Vollmer. „Wer an seinen Firmenaccount erpresserische Mails bekommt, aus denen hervorgeht, dass jemand tatsächlich über Passwörter oder andere vertrauliche Daten verfügt, der wendet sich an seine IT-Abteilung, die dann alles weiter untersuchen kann, gegebenenfalls auch mit Unterstützung der TÜV SÜD Sec-IT.“

TÜV SÜD Ansprechpartner: Stefan Vollmer, Chief Technology Officer, TÜV SÜD Sec-IT GmbH

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa