Social Media Gipfel Bern. Mit Referent Sophus Siegenthaler und Publikum

68. #SMGBE: Gefahr im Internet – Wissenswertes über Cyberkriminalität und -sicherheit

Wie werden Cyberattacken auf Organisationen und Unternehmen verübt? Welche Vorkehrungen sind für einen guten Schutz nötig? Und wie kann die Schweizer Bevölkerung sowie Mitarbeitende wirkungsvoll sensibilisiert werden? Am 68. Social Media Gipfel in Bern erhielten wir wichtige Praxistipps aus erster Hand.

Vertrauen ist gut, Kontrolle ist besser

Beatrice Kübli, Projektleiterin bei der Schweizerischen Kriminalprävention (SKP), stellte uns in ihrem Referat zwei klassische Cyberkriminelle vor. Sie wenden unterschiedliche Methoden an, um Daten zu verschlüsseln, Daten zu stehlen, Kontrolle zu übernehmen oder sich finanziell zu bereichern. Während Person 1 mit technischem Know-how die Schwachstellen eines Systems für Angriffe ausnutzt (Cybercrime), versucht Person 2, Menschen psychologisch zu beeinflussen (digitalisierte Kriminalität). Mit sogenanntem Social Engineering manipuliert sie Nutzer:innen, damit diese unbemerkt Zugang zum Computersystem gewähren oder sensible Daten bekanntgeben. Beispiele dafür: eine vermeintliche Postanweisung, bei der für eine Paketzustellung nur ein kleiner Geldbetrag via Kreditkarte überwiesen werden soll, dann aber die Kreditkartendaten gestohlen werden. Oder eine fingierte E-Mail des CEOs, mit der dringenden Bitte, für ein wichtiges Projekt sofort eine Überweisung auf ein bestimmtes Konto zu tätigen. Kübli hält fest, dass oft eine autoritäre Unternehmenskultur sowie ein stresserfülltes Arbeitsumfeld zum Erfolg solcher Angriffe beitragen. Cyberkrimimelle würden ihre (potenziellen) Opfer gekonnt unter Druck setzen, indem sie Autorität, Dringlichkeit, Knappheit und Täuschung anwenden. Ihr Ziel: eine Kurzschlusshandlung der betroffenen Person.

Mit der Kampagne S-U-P-E-R (s-u-p-e-r.ch) sensibilisiert die SKP für mehr Achtsamkeit im Umgang mit sensiblen Informationen. So wird Nutzer:innen empfohlen, bei Anweisungen oder anderen Aufforderungen via E-Mail, Social Media und weiteren Kanälen immer zu hinterfragen, ob die Korrespondenz  in einem normalen und plausiblen Kontext stattfindet, ob es um Geld geht und ob Zeitdruck aufgesetzt wird. Es gelte «Vertrauen ist gut, Kontrolle ist besser», so die Projektleiterin der SKP.

Als Herausforderungen in der Zukunft sehe sie Deep Fake-Anwendungen wie Fake Image Creation, Face Swapping, Speech Morphing (z.B. Anruf nach Phishing-E-Mail), Computer Generated Persons und Human based digital clones.

 

Geheimnisse sollen Geheimnisse bleiben

Sophus Siegenthaler ist Gründer, Managing Partner und IT-Security Engineer bei der Berner cyllective AG. Als ethischer Hacker simuliert er mögliche Angreifer:innen und testet unter anderem mittels Pentesting, wie gut der Schutz von Organisationen und Unternehmen der professionalisierten Cyberkriminalität Stand hält. Hacker:innen seien sehr erfolgreich in der kreativen Zweckentfremdung von frei zugänglichen Technologien und Tools, so der Experte. Darunter befänden sich die von uns täglich genutzen sozialen Medien, Suchmaschinen wie Google Dorks und Innovationen wie ChatGPT und Google Lens. Er appellierte ans Publikum, Informationen bewusst zu teilen – da abgesetzte Posts immer gegen einen verwendet werden können und auch werden. Er zeigte Beispiele, wie sich Kriminelle im Internet frei verfügbare Informationen (OSINT) beschaffen, diese verdichten und somit relativ konkrete Profile generieren können. Eindrücklich ist hier, dass einfache Metadaten (etwa zu finden in hochgeladenen PDF-Dateien oder Daten von Fitnesstrackern), als gute Informationsquelle dienen.

Um Hacker:innen den Zugang zu sensiblen Daten zu erschweren, empfiehlt Siegenthaler, Newsletter nicht direkt über die eigene E-Mail-Adresse zu abonnieren, sondern über duck.com ein Alias zu generieren, das Mailings in die eigentliche Mailbox umleitet. Weiter rät er, nicht mehr mit klassischen Passwörtern zu arbeiten, sondern mindestens Zwei-Faktor-Authentifizierung zu verwenden. Zudem sei Google Alerts ein gutes Tool, um eigene Datenlecks zu finden.

 

Sieben wertvolle Tipps für mehr Cybersicherheit

  • Gute Unternehmenskultur: Eine wertschätzende, dialogorientierte Unternehmenskultur schaffen, unter der Überforderung und mögliches Fehlverhalten kommuniziert werden darf.
  • Sensibilisieren:  Mitarbeitende mit narrativen Texten und aussagekräftigen Bildern für das Thema sensibilisieren und Handlungsoptionen anbieten.
  • Testen: Von ethischen Hacker:innen Tests durchführen lassen und intern kommunikativ begleiten.
  • Updaten: Regelmässig Updates einspielen, um Sicherheitslücken frühzeitig zu schliessen.
  • Prüfen: Virenschutz installieren und aktivieren.
  • Starke Passwörter: Mit Passwortmanagern arbeiten. Keine Passwörter mit Post-it an den Bildschirm kleben.
  • Achtsam sein: Informationen bewusst teilen und somit Risiken reduzieren.

 

Herzlichen Dank an die Valiant Bank für das wiederholte Sponsoring und an das Restaurant VIERTE WAND für Kafi, Gipfeli & Gastfreundschaft.

 

Impressionen von Samuel Letsch

#68. SMGBE: Gefahr im Internet – Wissenswertes über Cyberkriminalität und -sicherheit

 

Video mit Quotes von den Referent:innen zum Anlass | Produktion: kameramann.ch

 

Slides der Präsentationen von Beatrice Kübli und Sophus Siegenthaler

68. #SMGBE: Gefahr im Internet – Wissenswertes über Cyberkriminalität und -sicherheit from Bernet Relations