Einen anschaulichen Überblick über das Ausmass erfolgreicher Cyber- Angriffe und Datenlecks der letzten Jahre vermittelt die Website www.informationisbeautiful.net/ visualizations/worlds-biggestdata-breaches-hacks austarieren. Hier hilft es, sich potenzielle Konsequenzen eines Worst Case Szenarios auszumalen. So wird das Risiko greifbarer. Dabei sollte man jedoch versuchen, sich von Fakten leiten zu lassen, nicht von Angst oder medialen Berichten. Das passiert aber häufig noch nicht. Das Thema ist für viele noch immer zu abstrakt, sie schaffen es nicht, die Verbindung vom Digitalen auf unsere analoge Welt mit den tatsächlichen Abläufen herzustellen. Der Spagat zwischen Angst und Unbekümmertheit ist ein schwieriger: Wir gehen davon aus, dass wir grossen, renommierten Herstellern ein Grundvertrauen entgegenbringen können. Bei neuen Entwicklungen sind wir teilweise wiederum skeptisch. Ein aktuelles Beispiel: Bei der Covid-App war der Datenschutz medial ein sehr grosses Thema. Dabei wurde hier datenschutztechnisch viel getan: Daten werden nicht personenbezogen und dezentral beim Benutzer gespeichert. Im Hintergrund ist der Staat, der keinerlei Mehrwert oder ein Geschäft aus den Daten generieren will. Bei WhatsApp hingegen findet selten eine kritische Auseinandersetzung statt. Das ist eine private Firma mit einem Geschäftsmodell, um mit Daten Geld zu verdienen. Hier lassen wir unsere Hosen runter und werden selbst zum Produkt. Die Corona-Pandemie hat die digitalen Services stärker denn je in den Vordergrund gerückt. Sind dabei Schwachstellen zu Tage gekommen? Unternehmen mussten schnell reagieren, sind schnell auf Cloud- Dienste wie ‹Microsoft Office 365› umgestiegen – bzw. mussten das tun, damit sie mit ‹Microsoft Teams› Videokonferenzen abhalten können. Dabei waren sich die Unternehmen teilweise gar nicht bewusst, welche Risiken damit verbunden sein können. Entsprechend machte man sich häufig auch wenig Gedanken über ein Sicherheitskonzept. Die Gefahr ist durchaus real, denn Angriffe auf grosse Plattformen, auf denen sich viele Menschen registrieren, nehmen massiv zu (siehe Infobox). Dort werden Identitäten gestohlen – im Idealfall Kombinationen aus Mailadressen und Passwörtern. Das kann grosse Unternehmen genauso treffen, wie kleine. Zudem versuchen Angreifer, sich mit diesen gestohlenen Identitäten bei anderen Portalen wie den jetzt stärker genutzten Clouddiensten anzumelden. Ist das erfolgreich, können sich Täter schnell auf einem ganz neuen Level schlau machen: herausfinden wer in diesem Unternehmen arbeitet, welche Leute im Finanzbereich tätig sind. Sie kennen die Korrespondenzen des gehackten Postfachs und sind im Bild über aktuelle Geschäftsvorgänge. Und sie können einfacher Computerviren ins Unternehmen bringen und die meisten Anti-Malware-Lösungen aushebeln. Sie bewegen sich auf dem Unternehmensportal wie ein Mitarbeitender. Einem international tätigen Medizintechnikunternehmen kostete das im August diesen Jahres 2,4 Millionen Franken. Diese wurden an eine falsche Kontoverbindung überwiesen. Cyberkriminelle schafften es kurz vor der Überweisung, Mitarbeitenden die geänderte Verbindung glaubhaft zu machen. Man liest und hört nicht sehr häufig von solchen Vorfällen. Herrscht hier mitunter noch eine gewisse Schamgrenze? In der Vergangenheit vermutlich schon, ja. Ich habe jedoch den Eindruck, dass diese Grenze gerade etwas aufweicht. Mit der Professionalität, mit der Angreifer heutzutage auftreten, muss man sich keine grossen Vorwürfe machen, wenn es einen trifft. Wird man sich dessen bewusst, ist man auch eher bereit, sich nach einem Angriff miteinander auszutauschen. Ich würde mir wünschen, dass die Erfahrungen aus Vorfällen öfter geteilt werden. Davon profitieren wir alle. Herzlichen Dank für das Gespräch.
RkJQdWJsaXNoZXIy NTkxNzY=