Der Bericht, den die IT-Sicherheitsfachleute des Bundes verfasst haben, lässt in verschiedener Hinsicht aufhorchen. Es geht darin um die wichtigsten Cybervorfälle der ersten Jahreshälfte 2023 – in der Schweiz und international.
watson fasst die spannendsten und wichtigsten Erkenntnisse (auch aus persönlicher Sicht) zusammen.
Im ersten Halbjahr 2023 sind beim NCSC insgesamt 19'048 Meldungen zu Cybervorfällen eingegangen. Dies entspreche einer Zunahme von rund 2000 Meldungen im Vergleich zum ersten Halbjahr 2022 (16’951 Meldungen).
Anzumerken ist, dass es hierzulande keine generelle, gesetzliche Meldepflicht für Hacks, Datendiebstähle und andere Cyberattacken gibt. Wir müssen insbesondere auch bei Ransomware-Attacken von einer relativ hohen Dunkelziffer ausgehen, weil vermutlich viele Betroffen lieber schweigen.
Die Geschichte, die meiner Frau am Telefon (!) erzählt wurde, klang verdammt verlockend, und fast plausibel: Wir hätten vor mehreren Jahren in einen Nachhaltigkeits-Fond investiert. Dieser sei zwar aufgelöst worden, doch vorher habe man das in Kryptowährungen investierte Geld gesichert. Unser Anteil betrage nun 5,7 Bitcoin. Also fast 150'000 Dollar.
Die Dame, die anrief, war hartnäckig. Sie meldete sich wiederholt bei meiner Frau. Auf dem Handy und per E-Mail – woher sie die entsprechenden Daten hatte, wissen wir nicht.
Und so erhielten wir das Login für einen Account, der bei einem Krypto-Handels-Portal eingerichtet worden war.
Wir konnten uns tatsächlich einloggen und für einen kurzen Augenblick zeigte es mir auf dem Bildschirm das in Aussicht gestellte Kryptovermögen an (siehe Screenshot oben). Als ich versuchte, den gesamten Betrag auf mein eigenes Krypto-Konto zu transferieren, war plötzlich alles weg.
Damit zurück in die harte Realität.
Weiterhin erhält das NCSC viele Meldungen zu sogenanntem Vorschussbetrug. Und hier gibt es gemäss den Cybersicherheits-Spezialisten des Bundes einen neuen Trend zu beobachten: Es sind nicht mehr nur die Schreiben von nigerianischen Prinzen und steinreichen Anwälten und Bankern, die angeblich den Grossteil ihres Vermögens verschenken.
Die modernen Varianten des Vorschussbetruges drehen sich um Kryptowährungen, wie der watson-Redaktor aus nächster Nähe erleben musste: Die Zielpersonen erhalten per E-Mail den Benutzernamen und das Passwort zu einem Krypto-Handels-Portal und sehen unter dem angegebenen Link, dass angeblich eine grosse Bitcoin-Summe auf «ihrem» vermeintlichen Konto liegt. Dann werden die Opfer aufgefordert, immer neue und höhere Gebühren zu bezahlen, bevor ihnen die versprochene Summe ausbezahlt werden könne.
Im Bereich Online-Anlagebetrug verzeichnete das NCSC im ersten Halbjahr 2023 insgesamt 245 Meldungen. Dies sei etwas mehr als im letzten Halbjahr mit 219 Meldungen. Die angegebene Schadenssumme habe sich aber mehr als verdoppelt und liege bei 9,5 Mio. Franken.
Und es kommt (laut NCSC) noch dicker:
Mein persönlicher Kommentar: 🤬💥
Beim Löwenanteil der im ersten Halbjahr 2023 bei der Bundesverwaltung gemeldeten Cybervorfälle, nämlich rund 30 Prozent, handelte es sich um Drohmails, sogenannte «Fake Extortions». Damit setzte sich ein krimineller Trend vor, der schon im letzten Jahr zu beobachten war.
Meist werde das Opfer eines solchen Drohmails einer angeblich begangenen Straftat beschuldigt. Häufig verfassen und versenden die Betrüger die Fake-Schreiben im Namen von in- und ausländischen Behörden. Ironie der Geschichte: Im letzten Halbjahr sei auch immer häufiger der Name des Schweizer NCSC missbraucht worden.
Die oben erwähnten Fake-Dokumente trugen meist die gefälschte Unterschrift der Chefin des Bundesamtes für Polizei, Nicoletta della Valle, eines Bundesrats oder einer Bundesrätin, wie das NCSC schreibt. Die Betrüger befassten sich offensichtlich aber auch mit der Schweizer Politik, denn bereits sechs Tage nach Amtsantritt von Bundesrätin Baume-Schneider tauchten gefälschte E-Mails mit ihrem Namen auf.
Die gemeldeten Phishing-Vorfälle haben im ersten Halbjahr um über 40 Prozent zugenommen – und dies wegen einer während fast dem ganzen halben Jahr anhaltenden Attacke auf Swisspass-Nutzerinnen und -Nutzer.
Allgemein sei bei den Phishing-Versuchen festzustellen, dass diese aufwendiger gestaltet werden und die Angreifer neue Methoden der Verschleierung des Phishing-Links ausprobierten, warnen die Cybersicherheits-Fachleute.
Als Phishing werden Attacken bezeichnet, bei denen sich die Kriminellen als jemand anders ausgeben, in der Regel als seriöse Institutionen. Es wird per E-Mail oder Textnachricht versucht, die Zielperson dazu zu bringen, wertvolle persönliche Informationen preiszugeben (Phishing genannt).
Hinter jedem erfolgreichen Betrugsfall verbirgt sich ein Opfer, das emotionalen und finanziellen Schaden erleidet.
Laut NCSC haben auch die per SMS versendeten Phishing-Nachrichten, sogenannte Smishings, zugenommen. Hier seien insbesondere gefälschte Paket-Benachrichtigungen beobachtet worden. Der Empfänger erhalte scheinbar von Post, DHL, DPD oder Fedex eine Mitteilung, dass ein Paket wegen fehlender Angaben oder ausstehender Kosten nicht ausgeliefert werden könne.
Die Phishing-Seite haben die Täter so eingerichtet, dass sie nur beim Aufruf per Smartphone (z.B. Chrome-Browser auf einem Android-Betriebssystem) angezeigt werde.
Werde der Link hingegen auf dem PC angeklickt, werde man auf die korrekte Website (z.B. der Post) weitergeleitet. So versuchten die Angreifer den Sicherheitsbehörden vorzugaukeln, dass die Nachricht und der enthaltene Link nicht betrügerisch seien und es keine Gegenmassnahmen brauche.
Schliesslich müssen wir auch noch über Telefon-Phishing berichten. Sogenanntes Voice Phishing, kurz Vishing. Auch hier häufen sich gemäss NCSC die Fälle. Das perfide Vorgehen der Angreifer: Sie geben sich als Mitarbeitende einer Telekom-Firma aus und versuchen mit diversen Tricks, an den per SMS versendeten Zwei-Faktor-Code zu gelangen. Dank dieses Codes können sie dann fremdes Geld ausgeben – indem sie Paysafe-Karten über die Provider-Webshops kaufen.
Im ersten Halbjahr 2023 wurden dem Bund (freiwillig) 64 Ransomware-Attacken gemeldet, fast gleich viel wie in der Vorhalbjahresperiode (76 Meldungen). Was auffällt: Die Meldungen von Privatpersonen gingen stark zurück (von 27 auf 8 Fälle), hingegen stieg die Anzahl gemeldeter Ransomware-Vorfälle bei Organisationen an (von 49 auf 56 Fälle).
Die bei Privatpersonen besonders im Fokus stehenden NAS-Systeme werden laut NCSC nur noch vereinzelt angegriffen. Demgegenüber stehe die Zunahme der gemeldeten Fälle bei Privatunternehmen, Verwaltung und Vereinen.
Im Berichts-Halbjahr sorgten die professionell organisierten, russischsprachigen Ransomware-Banden Lockbit, ALPHV (BlackCat) und CL0P für die meisten Vorfälle.
Die Cybersicherheits-Spezialisten des Bundes geben sich keiner Illusion hin, was das Schliessen bekannter IT-Schwachstellen und das Ausnutzen neuer Lücken betrifft:
Manchmal sei es aber für die Cyberkriminellen auch gar nicht nötig, die technische Vorgehensweise zu ändern, da bereits verwendete Methoden auf Basis von «Social Engineering» ausreichen. Die grösste Schwachstelle bleibt der Mensch.
Dazu die Empfehlung im NCSC-Bericht:
Der NCSC-Halbjahresbericht enthält im letzten Kapitel ein «Ukraine-Update». In Zusammenhang mit dem verbrecherischen Angriffskrieg Russlands deutet demnach nichts auf eine rückläufige Entwicklung der bösartigen Cyberaktivitäten hin.
Solange der Krieg andauere, werde Russland sehr wahrscheinlich weiterhin Cyberangriffe fahren und alle Gelegenheiten nutzen, seine Ziele zu erreichen, ob kombiniert mit Aktivitäten auf anderen operativen Ebenen oder nicht.
Die Aktivitäten von Hacktivistengruppen stellten einen wichtigen Risikofaktor für die Zukunft dar. Verschiedene Gruppen hätten erklärt, dass sie noch destruktivere Angriffe als die bisher beobachteten DDoS-Attacken planten. Bisher habe jedoch noch keine Gruppe die notwendigen Kompetenzen zum Erreichen dieser neuen Ziele bewiesen. Sollte dies eintreten, könnte das Ausmass der Kollateralschäden zunehmen.
Vor nicht zu langer Zeit, haben sie selbst ein betrügerisches Mail verschickt, um zu sehen, wie die User damit umgehen.
Man glaubt es kaum, aber über 20% der Angestellten haben ihre Daten samt Passwort eingegeben.
Da stimmt es halt doch. Das grösste Sicherheitsrisiko befindet sich zwischen Bürostuhl und Tastatur.
Die Methoden werden immer besser. Die Texte haben teilweise kaum Fehler, die Nachbildung von Websiten sind detaillierter.
Kontinuierliche Sensibilisierung in allen Altersgruppen ist ein Muss , ob Privat oder im Unternehmen.