Cyber Betrugsformen vermummter Hacker am Laptop

Die drei verbreitetsten Cyber Betrugsformen – und wie man sich dagegen schützen kann

Die zunehmende Digitalisierung und Vernetzung bringen immer wieder neue Formen der Cyber Kriminalität hervor. Von diversen Betrugsformen, über die Erpressung mit sensiblen Daten, bis hin zu gezielter Wirtschaftsspionage. Hier sind die drei zurzeit verbreitetsten Cyber Betrugsformen, die jedem von uns im Alltag begegnen können.



Zunehmende Cyber Kriminalität – Das große Interesse an den Daten

Produktions- Verwaltungs- und Geschäftsprozesse in Unternehmen werden zunehmend digitalisiert, der Einsatz mobiler Endgeräte nimmt im privaten wie beruflichen Kontext nach wie vor zu und ebenso die Nutzung von Cloud-Services. Diese Entwicklungen machen das Datennetz komplexer und an vielen Stellen verwundbar.

Cyberkriminelle nutzen diese Schwachstellen aus. Der Ende 2019 erschienene Bundeslagebericht Cybercrime vom BKA (Bundeskriminalamt) nennt 87.106 erfasste Fälle von Cybercrime im Jahr 2018 – das sind 1,3% mehr als im Vorjahr. In manchen Fällen zielen die Angriffe direkt auf IT-Infrastrukturen ab, in den meisten Fällen geht es jedoch darum, an vertrauliche Informationen und personenbezogene Daten zu gelangen, um diese zu verkaufen oder im Anschluss weitere Straftaten damit zu begehen. 



1. Malware: Unerwünschte Schadsoftware auf dem Gerät

Mit Malware werden im Allgemeinen Computerprogramme bezeichnet, die dafür entwickelt werden, auf dem Zielsystem schädliche oder unerwünschte Aktionen wie das Sammeln von Daten auszuführen. Diese Programme sind darauf ausgelegt, die Virenschutzprogramme zu umgehen und Sicherheitslücken auszunutzen. Deshalb werden sie ständig weiterentwickelt und im Sekundentakt entsteht neue Schadsoftware.

Malware gelangt über verschiedene Wege auf das System. Am verbreitetsten sind folgende zwei: Über infizierte Anhänge in E-Mails, die beim Abruf das Programm auf dem System ausführen oder über präparierte Webseiten, die beim Aufruf einen automatischen Download der Schadsoftware starten. Die Links zu diesen Webseiten werden per Mail oder vermehrt auch über Social Media verbreitet.



2. Phishing: Identitätsdiebstahl durch das Entlocken von Daten

Die Betrugsform des „Phishings“ wird ebenfalls vor allem über Webseiten oder E-Mails und Kurznachrichten betrieben. Ziel ist, an persönliche Daten oder direkt Zugangsdaten des Nutzers zu gelangen. Hierfür werden gefälschte E-Mails oder Nachrichten versandt, beispielsweise mit der Bitte, einen Kontozugang zu bestätigen. Werden auf der verlinkten Webseite die entsprechenden Daten eingegeben, landen sie direkt in den Händen der Cyberkriminellen.

Häufig stehen dabei Zahlungsinformationen im Visier, die entweder direkt in Form von Bankzugängen oder Konten bei Zahlungsanbietern abgefragt werden – oder über den Zugriff auf Onlineshop-Accounts mit hinterlegten Zahlungsinformationen zugänglich werden. Es kann jedoch auch darum gehen, an berufsspezifische Informationen wie einen Online-Zugriff auf firmeninterne Ressourcen zu gelangen. Oder den Zugang zu Kommunikationsmitteln wie E-Mail, Messenger oder auch Social Media zu entlocken, um darüber infizierte Links an die Kontakte zu senden. 



3. Social Engineering: Psychologische Manipulation

Social Engineering ist eine Betrugsform, die sich typisch menschliche Verhaltensweisen zunutze macht und diese gezielt für eigene Zwecke missbraucht. Phishing ist eine bestimmte Form von Social Engineering, weil die betreffenden Nachrichten häufig das Sicherheitsbedürfnis der Zielpersonen ansprechen.

Social Engineering geht jedoch noch darüber hinaus und umfasst breit angelegte Kampagnen, die systematisch die Zielpersonen manipulieren. Es ist eine raffinierte Form des Cyber Betrugs, weil sie nicht auf Systeme oder Technikschwächen abzielt, sondern sich auf das vermeintlich schwächste Glied in der Sicherheitskette fokussiert: Den Endnutzer. Durch gezielte Manipulation wird die Person dazu verleitet, eine gewünschte Aktion auszuführen – der Download nicht verifizierter Daten, die Herausgabe von Daten und Informationen, eine Überweisung oder ähnliches.

Aktuell sind beispielsweise vermehrt Kampagnen im Umlauf, die zu Spenden für die Betroffenen des Coronavirus‘ aufrufen. Mit emotionalen E-Mails wollen die Cyberkriminellen die Empfänger dazu verleiten, Anhänge mit Schadsoftware zu öffnen, oder sensible Daten preiszugeben. Solche Anlässe wie die Anteilnahme an den Opfern des Coronavirus bergen immer ein erhöhtes Risiko für Cyberbetrug.



Schutzmaßnahmen: Aktualität und das Bewusstsein für die Risiken

Um sich vor Cyberbetrug zu schützen (privat wie im Unternehmen), ist es zunächst sehr wichtig, die Antivirensoftware und ggf. weitere Schutzprogramme immer auf dem neusten Stand zu halten. Dies gilt für alle Geräte, also auch für mobile Endgeräte wie Tablet oder Smartphone, die zunehmend ins Visier von Cyberkriminellen geraten.

Die aktuell verbreitetsten Erscheinungsformen von Cyber Kriminalität sind geprägt durch die gezielte Manipulation von Nutzern, die die Infizierung von Systemen erst ermöglichen. Die eingesetzten Methoden werden immer raffinierter und sind nicht immer so leicht als Fälschung zu identifizieren. Deshalb besteht die zweite wichtige Schutzmaßnahme darin, ein Bewusstsein für das Thema zu entwickeln und für die angewendeten Manipulationen sensibilisiert zu sein – das gilt privat genauso wie im Unternehmenskontext.

Dadurch, dass beim Social Engineering die Personen im Fokus stehen, ist hier ohnehin nicht trennscharf zwischen „privat“ und „beruflich“ zu unterscheiden, da die Daten und Informationen durch die zunehmende Vernetzung häufig universal zugänglich sind. In Unternehmen besteht die besondere Herausforderung darin, die Chancen und Vorteile von Digitalisierung und Vernetzung zu nutzen, dabei aber sensible Daten und kritische Prozesse zu schützen.

Sie möchten Ihre Mitarbeiter für die Thematik sensibilisieren? Unsere Cyber Team Challenge macht Cyber Security direkt erlebbar bei Ihnen vor Ort – Informieren Sie sich hier: cyberteamchallenge.com.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security