Identitätsdiebstahl in der Digitalisierung
Security Digitalisierung Identitätsdiebstahl OSINT Zwei-Faktor-Authentisierung Social Engineering Open-Source Intelligence
Stellen sie sich vor, sie holen nach dem Frühstück die Post und finden darin diverse Rechnungen und Mahnungen für Dinge, die sie nie bestellt haben. Das ist ein klassischer Fall von Identitätsdiebstahl, in welchem Kriminelle in ihren Namen Produkte kaufen.
Viele dieser Szenarien, welche wir aus der analogen Welt kennen, funktionieren online oft einfacher. Die Menschen geben persönliche Daten freiwillig in grossen Mengen preis. Dies passiert über Social-Media-Plattformen, auf denen öffentlich geteilt, "geliket" und weitergeschickt wird. Somit ist es heute einfach geworden, die notwendige Informationen zu sammeln, damit man sich erfolgreich als jemand anders ausgeben kann.
Der Cyber-Security-Aspekt
Von ihrem Facebook Account weiss ich wann sie Geburtstag haben, Instagram zeigt mir, wo sie zuletzt in den Ferien waren und Twitter verrät mir, welche politischen Einstellungen sie haben. Aber nicht nur persönliche Accounts verraten viel, auch auf Firmenwebseiten mit Mitarbeiternprofilen gibt es viele spannende Informationen. Beispielsweise zeigt ihre Funktion was sie für Rechte und Befugnisse in ihrem Unternehmen haben könnten.
Diese Recherchen nennt man auch Open-Source Intelligence, kurz OSINT, und sind ein Teil vom Social Engineering. Dabei versucht man durch das Manipulieren von Mitarbeitern an Firmendaten zu gelangen. Das Ziel ist es einen Zugang zum firmeninternen Netzwerk zu erhalten. OSINT hilft dabei, sich als IT-Supporter auszugeben und einen Mitarbeiter zu überzeugen, dem Angreifer Zugriff auf sein Gerät zu gewähren. Es gibt auch einfachere Angriffsszenarien, wie z.B. eine E-Mail vom CEO, welcher gerne eine Zahlung auslösen möchte. Einen spannenden Artikel dazu finden Sie hier.
Der persönliche Aspekt
Viel gefährlicher wird es, wenn der Angreifer effektiv Zugriff auf ihre Daten hat. Kurzes Gedankenspiel: Auf wie viele Konten hätte ein Angreifer Zugriff, falls er das Passwort ihres E-Mail-Accounts hätte? Bedenken sie auch, wo er überall die Passwörter zurücksetzen könnte, falls sie vorbildlicherweise mehrere verwenden.
Wie viel Schaden kann er anrichten, wenn er Zugriff auf E-Banking, Facebook, Instagram oder sonstige Accounts hat?
Solche Logindaten werden aktuell im grossen Stil verkauft. Falls sie ihre E-Mail-Adresse testen wollen, ist die Webseite 'have i been pwned?' ein guter Start. Leider lässt sich als Nutzer nicht viel gegen diese Veröffentlichungen machen. Der beste Schutz, ausser gar kein Konto zu besitzen, ist die sogenannte Zwei-Faktor-Authentisierung. Viele kennen diese vom E-Banking, welches noch ein Code per SMS oder PhotoTan zur Anmeldung benötigt. Aber auch viele Social Media Webseiten bieten solche Verfahren an.
Was können Sie dagegen tun?
Eine Lösung wäre die Informationen nicht öffentlich zu machen. Auch wenn das ein guter Ansatz ist und jeder mit seinen Daten sehr sorgfältig umgehen sollte, hilft es langfristig nur bedingt. Die Informationen können trotzdem gefunden werden.
Durch das eigene Verhalten und mit gesundem Menschenverstand kann viel erreicht werden. Seien sie immer kritisch, falls sich jemand bei ihnen meldet. Fragen sie am besten noch einmal über einen zweiten Weg nach. Ähnlich wie bei der Zwei-Faktor-Authentisierung, können sie Personen über andere Kanäle kontaktieren. Das kann eine WhatsApp-Nachricht, telefonisch oder am besten persönlich sein.
Ein paar Grundsätze zum IT-Support bei der first frame networkers ag
Es kann auch vorkommen, dass unsere Identität missbraucht wird. Darum hier ein paar Regeln unserer Support-Dienstleistungen: Wir werden sie…
• nie nach ihren Passwörtern fragen, weder am Telefon noch per E-Mail.
• nie nach einem Fernzugang auf Serversysteme fragen.
• nie nach einem Fernzugang auf ihr Clientsystem fragen, ohne einen Verweis auf ein durch sie im Vorfeld eröffnetes Ticket.
Wenn sie unsicher sind, ob der Anruf von first frame networkers legitim ist, können sie jederzeit einen Rückruf tätigen. Entweder an bereits bekannte Personen oder über unser Backoffice.
Lukas Studer
Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.