Digitale Sicherheit

Die Kriminalprävention gibt Tipps und informiert über aktuelle Vorgehensweisen von Cyberkriminellen.

Blaulichttag“ in einem Einkaufszentrum – die Kriminalprävention ist mit Infostand, Polizeiauto und zwei Vortragenden vertreten. Kontrollinspektor Werner Schweiger und Gruppeninspektor Jörg Kohlhofer, beide vom Landeskriminalamt Wien, Kriminalprävention AB 4 – Digitale Sicherheit, versuchen den mit Einkaufstaschen beladenen Zuhörern die Grundlagen digitaler Sicherheit näherzubringen. Sie wissen aus Erfahrung, dass es genügend Leute gibt, die sogar auf Phishing-Mails mit völlig abstrusem Inhalt hereinfallen.

Kohlhofer bringt ein Beispiel: „Sie haben einen Lottogewinn in Millionenhöhe gemacht!“ Das steht zumindest in der E-Mail, die gleich im nächsten Satz dazu auffordert, eine Gebühr zu überweisen, um den Gewinn ausbezahlt zu bekommen. Spätestens jetzt sollte man misstrauisch werden – vor allem dann, wenn man gar nicht Lotto gespielt hat. Also: nichts bezahlen, nichts anklicken, Verstand einschalten. Schweiger ergänzt, worauf man bei E-Mails mit unbekanntem Absender achten sollte: „Fragen Sie sich: Erwarte ich diese Mail? Wer hat sie geschickt? Hat sie eine ausländische Länderkennung?“ Und, das Wichtigste: „Der beste Virenschutz sind Sie selbst.“

Wem das bekannt vorkommt, der hat recht. Phishing, Neffentrick, Polizei-Scam und weitere Betrügereien gehören schon lange zum Repertoire von Cyberkriminellen, aber sie funktionieren immer noch. Neu ist hingegen, dass die Täter künstliche Intelligenz (KI) einsetzen, um die Täuschung perfekter zu machen und sich noch einfacher Zugang zu den Daten ihrer Opfer zu verschaffen. Eine gute Nachricht: Die Befolgung der von der Kriminalprävention ebenfalls bereits seit Jahren bei ihren Beratungen und Vorträgen vermittelten „5 Tipps für den digitalen Alltag“ bietet nach wie vor einen guten Schutz.

Erst denken. Tipp 1, „Erst denken, dann klicken!“, klingt selbstverständlich, ist es aber nicht. Ein Beispiel: Man wartet auf ein schon überfälliges on­line bestelltes Paket und erhält eine E-Mail vom – vermeintlichen – Absender. Die Lieferung habe sich verzögert, ist da zu lesen. Klickt man den Button zur „Sendungsverfolgung“ an, landet man auf einer gefälschten Website, über die Schadsoftware am PC oder Handy installiert wird.

Wer in sozialen Netzwerken oder über Messengerdienste sensible Informationen preisgibt, macht es Cyberkriminellen besonders leicht. Oft fehlt das Verständnis, welche Daten und Fotos missbräuchlich verwendet werden können. So freuen sich Einbrecher beispielsweise über detaillierte Angaben darüber, wann und wie lange jemand auf Urlaub ist. „Mit einem Mobiltelefon ist man weltweit verbunden. Was man einmal gepostet hat, kann man nicht mehr zurücknehmen“, warnt Gruppeninspektor Adolf Wagner, ebenfalls vom AB 4 – Digitale Sicherheit des LKA Wien.

 Kontakte. Als Sicherheitsmaßnahme sollte man in den Privatsphäre-Einstellungen von sozialen Netzwerken und Messengerdiensten festlegen, wer Zugriff auf die Inhalte hat. Dabei empfiehlt es sich, die Sichtbarkeit auf einen kleinen Personenkreis – etwa die eigenen Kontakte oder den privaten Modus – zu beschränken. Nur Personen, die man selbst als Kontakte hinzugefügt hat, sollten die Erlaubnis haben, eine Gruppeneinladung zu schicken.

Damit verhindert man auch folgendes Szenario, das Bezirksinspektor Christoph Zinggl vom AB04 beschreibt: Jemand will dir schaden. Er verschafft sich Zugang zu deinen Kontaktdaten, besorgt sich, z. B. im Ausland, ein nicht registriertes Handy und schickt dir eine Einladung in eine neue Gruppe. Du akzeptierst – und bekommst Darstellungen von Kindes­miss­brauch oder NS-Symbole zugeschickt. Kurz danach zeigt dich der Täter wegen des Besitzes strafbarer Inhalte anonym an. Hast du die Daten auf deinem Handy gespeichert oder gar weitergeschickt, machst du dich strafbar. Richtig wäre, den Absender zu blockieren, eine Meldung beim Provider zu machen und Anzeige zu erstatten.

Updates. Der 2. Tipp. „Software aktualisieren – Sicherheitslücken schließen“ ist gerade jetzt sehr aktuell: Microsoft stellt die Updates für Windows 10 ein, die Nutzer sollen auf Windows 11 umsteigen. Das ist vor allem dann unerfreulich, wenn der eigene Computer die Anforderungen für das neue Betriebssystem nicht erfüllt. Wagner rät davon ab, sich mit im Internet angebotenen Programmen zu behelfen, die angeblich weiterhin einen sicheren Betrieb mit Windows 10 ermöglichen. Sie könnten nicht nur ineffizient sein, sondern schlimmstenfalls Schadsoftware enthalten.

Antivirenscanner und Firewalls schützen ebenfalls nur dann, wenn sie auf dem letzten Stand sind. Regelmäßige Aktualisierungen sorgen dafür, dass neu entdeckte Sicherheitslücken gleich geschlossen werden. Auch wenn man Updates als „lästig“ empfindet, sollte man sie daher keinesfalls deaktivieren.

Passwörter. „Datensicherheit ist Mehraufwand“, stellt Schweiger fest. Das gilt auch für Tipp 3, „Sichere Pass­wörter verwenden“. Es ist zwar wesentlich bequemer, immer die gleichen, einfachen Passwörter zu wählen, öffnet Cyberkriminellen jedoch Tür und Tor. Wie ein sicheres Passwort auszusehen hat, ändert sich stetig. „Vor ein paar Jahren haben wir noch gesagt, dass das Passwort mindestens zwölf Zeichen lang sein soll, jetzt empfehlen wir 20 Zeichen“, erläutert Kohlhofer.

Eine Möglichkeit zur Generierung eines starken und gleichzeitig relativ leicht merkbaren Passworts besteht darin, von einem Satz die Anfangsbuchstaben der Wörter in der jeweiligen Groß- bzw. Kleinschreibung sowie die Satzzeichen zu verwenden. Ob das Passwort tatsächlich sicher ist, lässt sich mit einem Passwort-Check online überprüfen. Für jedes Benutzerkonto sollte ein anderes Passwort gewählt werden. Um bei einer größeren Anzahl an Passwörtern Verwechslungen auszuschließen, bietet sich die Verwaltung mittels eines Passwort-Managers an.

Datenübertragung. Das Ziel von Tipp 4, „Datenverbrauch minimieren“, ist es nicht, bei einem Tarif mit begrenztem Datenvolumen länger mit den mobilen Daten auszukommen – höchstens eine erwünschte „Nebenwirkung“. Vielmehr geht es darum, dass jede im Hintergrund aktive Datenübertragung, etwa über W-LAN oder Bluetooth, auch unerwünschte Zugriffe auf das Gerät ermöglicht. Man sollte die Verbindungen daher deaktivieren, wenn man sie nicht benötigt.

Wagner rät auch davon ab, sich mit einem offenen W-LAN, etwa in öffentlichen Verkehrsmitteln oder Hotels, zu verbinden. Solche Netzwerke werden oft von Kriminellen missbraucht, um auf die Geräte anderer Nutzer zuzugreifen. Zu diesem Zweck kann z. B. ein sogenanntes WiFi Pineapple verwendet werden – ein kleines Gerät, mit dem Penetrationstester die Netzwerke ihrer Auftraggeber auf Schwachstellen überprüfen. Cyberkriminelle bedienen sich der „Ananas“, um ihre Opfer z. B. auf gefälschte Login-Seiten zu locken.

Zu einem Identitätsdiebstahl kam es im folgenden Fall: Ein österreichischer Pilot nutzte in einem Hotel das offene W-LAN, um sich online bei einer anderen Fluglinie zu bewerben. Dafür muss­te er seine Reisepassdaten eingeben, die von Betrügern abgefangen wurden. „Der Pilot wollte seinen Reisepass zur Fahndung ausschreiben lassen, aber das war nicht möglich, weil der Pass nicht physisch gestohlen war“, so Wagner. Um diese rechtliche Lücke zu schließen, brachte die Kriminalprävention vergangenen Oktober einen Antrag auf eine Gesetzesänderung ein.

Daten können auch gestohlen werden, wenn man ein Mobiltelefon an eine öffentliche USB-Ladestation, z. B. in einem Einkaufszentrum, anschließt. Kriminelle präparieren beim „Juice Jacking“ Ladestationen so, dass parallel zum Aufladen des Akkus eine Datenübertragung ermöglicht wird. Als Schutz dient ein sogenanntes „USB-Kondom“, das zwischen dem USB-Ladekabel und der Ladestation angebracht wird und die Datenübertragung physisch deaktiviert. Eine andere Alternative: eine Powerbank mitnehmen, wenn man länger unterwegs ist.

Backup. Haben Kriminelle ein Gerät kompromittiert, kann z. B. eine Ransomware-Attacke die Folge sein. Eine Verschlüsselung von Daten, um Lösegeld zu erpressen, ist ebenso auf Handys möglich. Natürlich gibt es auch andere Ursachen für Datenverlust, etwa Benutzerfehler, Software- oder Hardwareprobleme. Der Schaden hält sich in all diesen Fällen in Grenzen, wenn man Tipp 5, „Datensicherung – Backup erstellen“, befolgt hat.

Zur Datensicherung eignet sich eine externe Festplatte mit Backup-Software oder ein Cloud-Speicher, am besten in der EU, mit Verschlüsselung. Nach Durchführung des Backups sollte die Festplatte vom System getrennt werden. Auf Nummer Sicher geht man, wenn man drei Backups anfertigt und eines davon außerhalb der eigenen Wohnung bzw. des Hauses aufbewahrt, z. B. in einem Schließfach auf der Bank.

Neue Tricks. Bei den – sehr gefragten – Vorträgen der Kriminalprävention zu digitaler Sicherheit gibt es zusätzlich zu den „5 Tipps“ immer etwas Neues zu hören. „Wir beschäftigen uns auch privat ständig damit, was gerade aktuell ist, um die Informationen an die Bevölkerung weitergeben zu können“, erklärt Wagner. Derzeit ist vor allem der Einsatz von künstlicher Intelligenz durch Kriminelle ein Thema.

Dazu gehörten Deepfakes von Fotos oder Videos. Mit Hilfe von KI wird z. B. der Kopf aus einem unverfänglichen Foto in ein pornographisches Bild eingefügt, um die betroffene Person damit zu erpressen. Gute Fakes lassen sich nur schwer von echten Fotos oder Videos unterscheiden. Hinweise auf eine Fälschung bieten ein verschwommener Übergang vom Kopf zum Hals oder unnatürlich wirkende Gesten mit den Händen. Muss man damit rechnen, dass ein Täter derartige Deepfakes an die eigenen Kontakte schickt, sollte man diese rechtzeitig vorwarnen.

Beim Voice Spoofing wird eine Stimme mittels künstlicher Intelligenz so manipuliert, dass sie wie die einer anderen Person klingt. Das erhöht die Glaubwürdigkeit bei einem Notfallbetrug, der so ablaufen könnte: Kriminelle haben, z. B. bei einem Telefonat, die Stimme einer jungen Frau aufgenommen und mit KI ein Sprachbild erstellt. Ein Täter ruft bei den Eltern der Frau an und erklärt, dass die Tochter einen Verkehrsunfall verschuldet hat. Eine Gefängnisstrafe kann nur verhindert werden, wenn sofort eine Kaution überwiesen wird. Hören die Eltern dann noch die Stimme der Tochter, die um die Überweisung bittet, ist jede Vorsicht vergessen. Schweiger empfiehlt, sich für derartige Fälle ein Codewort auszumachen, mit dem die Identität eines Angehörigen überprüft werden kann.

Seit Kurzem ist die Polizei auch mit Delikten in Zusammenhang mit Smart Homes konfrontiert. Beleuchtung, Heizung, Kühlschrank, Fernseher und andere Geräte, oft auch die Eingangs- und die Garagentür, sind über eine zentrale Steuereinheit verbunden, ein Zugriff über das Internet ist möglich. Verschafft sich jemand online Zugang zur Steuerung, kann er die Tür öffnen oder Geräte nach Belieben ein- und ausschalten. Genau das zu tun drohte ein Mann, der als Gefährder weggewiesen wurde, aber als Administrator das System kontrollierte. Seine Ehefrau musste in ein Frauenhaus gebracht werden.

Eine Gefahr für Smart Homes besteht auch, wenn das System gehackt wird. „Man sollte sofort nach Inbetriebnahme den Zugangscode zur Steuerung ändern, damit niemand unerlaubt darauf zugreifen kann“, rät Wagner. Das stehe auch in der Betriebsanleitung. Bei der Auswahl eines neuen Codes tut man gut daran, sich an einen der bewährten „5 Tipps“ zu halten: sichere Passwörter verwenden.