Cyberattacken
Jeder vierte Beamte denkt zu wenig, bevor er klickt

Anrufe von angeblichen Informatikern, die Software auf dem Computer installieren wollen: Verdeckte Tests sollen Kantonsangestellte wachrütteln – mit Erfolg?

Sven Altermatt
Drucken
Teilen
Ein falscher Klick am Computer kann reichen, um Schadsoftware zu installieren und grossen Schaden anzurichten.

Ein falscher Klick am Computer kann reichen, um Schadsoftware zu installieren und grossen Schaden anzurichten.

AZ

Es war im Sommer dieses Jahres, als 33 Kantonsangestellte den gleichen Anruf erhielten. Am Apparat war ein Swisscom-Mitarbeiter – er bat die Angestellten, ein neues Sicherheitsupdate für ihr Mailprogramm zu installieren. Was sie dafür lediglich tun sollten: Eine Website besuchen und die Installation mit einem Klick starten.

Nicht alle wollten dieser Aufforderung trauen. Die meisten liessen den Swisscom-Mitarbeiter ins Leere laufen oder verwiesen ihn an die interne Informatikabteilung. Doch neun Angestellte folgten flugs seiner Anweisung und installierten das angebliche Update. Damit öffneten sie «Tür und Tor für Schadsoftware», wie das kantonale Amt für Informatik und Organisation (AIO) später bilanzierte.

Das ist Phishing

Betrüger versuchen, über gefälschte E-Mails, Internetseiten oder Kurznachrichten an vertrauliche Daten von Internetnutzern zu gelangen. Im Visier haben die Cyberkriminellen etwa die Zugangsdaten von Mailkonten, Online-Auktionsanbietern oder das E-Banking. Aber auch sensible Informationen von Unternehmen und Behörden. Das Wort Phishing setzt sich aus den englischen Wörtern Password (Passwort), Harvesting (Ernte) und Fishing (Angeln) zusammen. Typisch für Phishing: die Nachahmung von Design und Auftritt eines vertrauenswürdigen Anbieters. Internetnutzer sollten sich stets eines vor Augen führen, erinnern Fachleute immer wieder: Kein seriöser Dienstleister würde seine Kunden jemals per E-Mail oder Telefon zur Angabe von Passwörtern oder vertraulichen Daten auffordern. 2343 verschiedene Phishing-Websites registrierte die Meldestelle für Informationssicherung (Melani) des Bundes im ersten Halbjahr 2016 – ein deutlicher Anstieg. Dies zeigt ein soeben veröffentlichter Rapport. Im gleichen Zeitraum zählte Melani auch eine markante Zunahme von Cyberangriffen, die von erpresserischen Forderungen begleitet werden. Betroffen davon sind vor allem Firmen. Schadsoftware verschlüsselt etwa Computer, die erst gegen Lösegeld wieder freigegeben werden. (sva)

Konsequenzen müssen sie deswegen keine befürchten. Das Ganze war nur ein Test. Die Schadsoftware war für einmal harmlos, die Angerufenen wurden zufällig ausgewählt. Und der falsche Swisscom-Mitarbeiter arbeitete in Wahrheit für eine vom Kanton beauftragte Sicherheitsfirma. Diese sollte herausfinden, ob Betrugsversuche von Kantonsangestellten erkannt werden. «Denk vor Klick» wird die Aktion intern genannt.

Doch jeder Vierte denkt offenbar zu wenig, bevor er klickt: Das Resultat der Aktion hat das AIO dazu veranlasst, alle Kantonsangestellten erneut darauf hinzuweisen, im Netz wachsam zu bleiben. «Auf entsprechende Tipps kann man gar nicht oft genug hinweisen», sagt Amtschef Thomas Burki. Denn Sensibilisierung sei eine der wichtigsten Massnahmen, um Betrugsversuchen zu vereiteln.

Bereits im Frühling wurden sämtliche Angestellte des Kantons aufgefordert, ihr Passwort auf einer Website einzugeben. Neun Prozent aller Empfänger folgten dem Wunsch. Mit diesem Test ist es laut den Behörden gelungen, die Angestellten wachzurütteln und besser auf Angriffe vorzubereiten.

Kriminelle haben aufgerüstet

«Bitte wählen Sie ein neues Passwort.» «Jetzt Konto-Daten aktualisieren.» «Sie haben gewonnen!» Solche Nachrichten, auch Phishing-Mails genannt, überschwemmen regelmässig die Postfächer. Die vermeintlichen Absender sind meist Banken, Informatikanbieter oder Behörden. Die Nachrichten kommen täuschend echt daher. Hinter dem Link mit der dringenden Aktualisierung verbirgt sich allerdings ein Trojaner, der sensible Daten abschöpft. Schlimmstenfalls übernimmt er die Kontrolle über den Computer.

Phishing-Mails zirkulieren regelmässig durchs Land, stets begleitet von eindringlichen Warnmeldungen. Die Devise: Finger weg! Mittlerweile sollte die Gefahr, die von Phishing-Mails ausgeht, fast jedem bekannt sein. Trotzdem tappen manche noch immer in die Falle.

Auch, weil Cyberkriminelle aufgerüstet haben. Die Grafiken und Texten in Phishing-Mails, angelehnt an den Auftritt grosser Unternehmen, lassen sich nicht selten kaum von ihren realen Vorbildern unterscheiden. Bisweilen enthalten sie persönliche Anreden oder Adressen.

Zum Repertoire der Cyberkriminellen gehört auch das Telefon. Anrufer behaupten beispielsweise, sie seien Mitarbeiter einer Informatikfirma und müssten ein Softwareproblem beheben. Es ist deutlich schwieriger, einen solchen Betrugsversuch zu erkennen, sagt AIO-Chef Burki. «Bei einem Anruf muss man innert Sekunden entscheiden. Erst recht, wenn sich der Anrufer als Mitarbeiter einer Partnerfirma ausgibt und vertrauenswürdig wirkt.»

Bei der Kantonsverwaltung können sich Angestellte an einer Faustregel orientieren, diese gilt in vielen Betrieben: Weder Microsoft noch Swisscom oder ein anderes Unternehmen melden sich unaufgefordert und direkt, um ein Problem zu beheben oder Updates zu installieren. «So etwas läuft stets über den internen Informatikdienst», erinnert Burki. Doch auch er weiss: Angreifer versuchen nicht nur, ihre Opfer emotional anzusprechen. Sie zählen darauf, dass man der Autorität von Fachleuten grundsätzlich vertraut.

Tests mit gefälschter Rechnung

Nach eigenen Angaben wurde die Kantonsverwaltung bisher nicht Opfer von Cyberkriminellen. Thomas Burki sagt, ein starker Virenschutz und ein gutes Sicherheitssystem seien unerlässlich. «Aber absoluten Schutz gibt es trotzdem nie.»

Im Rahmen der Aktion «Denk vor Klick» plant das AIO weitere verdeckte Tests. Die ersten Durchläufe haben offenbar gewirkt, wie der jüngste Teil der Aktion zeigt. Die beauftrage Sicherheitsfirma schickte eine getürkte Rechnung an Kantonsangestellte. Gerade einmal vier Prozent der Getesteten gingen dem Dokument auf den Leim und gaben persönliche Daten preis.

So schütze ich mich vor Phishing-Mails

Die Fachstelle Melani des Bundes gibt Tipps, wie man Phishing-Mails erkennt und sich davor schützen kann:

- Misstrauen Sie E-Mails, deren Absenderadresse Sie nicht kennen. Öffnen Sie in diesem Fall keine angefügten Dokumente oder Programme und wählen Sie keine darin angegebenen Links.

- Öffnen Sie nur Dateien oder Programme aus vertrauenswürdigen Quellen und nur nach vorgängiger Prüfung mit einer aktuellen Antiviren-Software.

- Öffnen Sie keine E-Mail-Anhänge, die zwei Endungen aufweisen (z. B. picture.bmp.vbs). Lassen Sie sich nicht durch das Icon einer solchen Datei täuschen. Deaktivieren Sie im Windows Explorer die Option «Erweiterungen bei bekannten Dateitypen ausblenden», respektive «Hide file extensions for known file types».

- Auch E-Mail-Programme können Sicherheitslücken aufweisen. Vergewissern Sie sich regelmässig, ob ein Software-Update Ihres E-Mail-Programms vorhanden ist und spielen Sie dieses ein.

- Geben Sie Ihre E-Mail-Adresse nur an so wenige Personen wie notwendig weiter und verwenden Sie diese ausschliesslich für wichtige Korrespondenz.

- Für das Ausfüllen von Webformularen, das Abonnieren von Newslettern, Einträge in Gästebüchern, usw. empfiehlt es sich, eine zweite E-Mail-Adresse zu verwenden. Diese kann bei verschiedenen Anbietern kostenlos beantragt werden. Ist diese Adresse von Spam betroffen, kann sie gelöscht und ersetzt werden.

- Wird auf Spam geantwortet, so weiss der Sender, dass die E-Mail-Adresse gültig ist und wird weiter Spam verschicken. Mit Vorsicht ist auch Spam mit «Abbestelloption» zu geniessen. Darin wird versprochen, dass man durch Senden einer E-Mail mit bestimmtem Inhalt von der Verteilerliste gestrichen wird. In diesem Zusammenhang sind auch automatische Antwortmails bei Ferienabwesenheit zu beachten. Sie sollten lediglich bei bekannten Adressen aktiviert werden.

Aktuelle Nachrichten