Wir hören und lesen täglich von neuen Sicherheitslecks: Dann müssen wir Betriebssystem oder Software aktualisieren – und alles ist gut. Doch besonders gefährlich sind „Zero Day Exploits“: Dafür gibt es (noch) keine Gegenmaßnahmen.
Seit zwei Jahren mehren sich Angriffe auf IT-Infrastruktur von Medienbetrieben. Dahinter stecken weniger politische Motive als klares Kalkül. Alle müssen sich besser schützen.
Das Risiko, Opfer von Cyberangriffen zu werden (etwa durch russische Hackers oder Bots), ist aktuell erhöht – warnt das BSI. Ein paar eher simple Tipps und Grundregeln helfen, nicht so leicht zum Opfer zu werden.
Am Ändere-Dein-Passwort-Tag werden wir daran erinnert, sorgsamer mit unseren Passwörtern umzugehen. Das Hasso Plattner Institut (HPI) bietet interessante Hilfen dazu an.
Bund und Länder haben sich beim wichtigen Online-Zugangsgesetz 2.0 auf Kompromisse verständigt – zum Schaden aller Bürger. Auch in den nächsten Jahren bekommen wird keine komplett digitale Verwaltung.
Beamte lassen sich gerne sperrige Begriffe einfallen. Und weil so viele Beamte im Bundestag sitzen, haben auch viele Vorschriften und Gesetze merkwürdige Namen.
Rentenversicherungsbeitragsüberleitungsverordnung zum Beispiel.
Oder, noch trauriger: Online-Zugangsgesetz.
Als Bürger kann man damit nichts anfangen. Doch dieses Gesetz ist wichtig, es soll uns nämliche digitale Behörden bringen – und lästige Behördengänge ersparen.
Onlinezugangsgesetz 2.0
Das neue Onlinezugangsgesetz 2.0 sollte eigentlich strukturelle Hindernisse der Verwaltungsdigitalisierung abbauen.
Allerdings haben sich die Länder durchgesetzt, sodass einheitliche Standards und eine Ende-zu-Ende-Digitalisierung nach wie vor in weiter Ferne liegen. Beides wären für eine vertrauensvolle und zeitgemäße Digitalisierung der Verwaltung allerdings erforderlich.
Zwar sieht das Gesetz vor, dass der Bund die Standards für Dienstleistungen des Bundes festlegt, doch der Bundesrat hat die Regelung ausgehebelt – und damit das Gesetz geschwächt.
Nun hat der IT-Planungsrat, ein Gremium der Länder, aktives Mitspracherecht und muss den Standards „de facto einstimmig“ zustimmen. Außerdem können die Länder von den Vorgaben des Bundes zur Ende-zu-Ende-Digitalisierung abweichen, da eine sogenannte „Ausstiegsklausel“ eingefügt wurde.
Experten befürchten, dass dies den Fortschritt der Verwaltungsdigitalisierung weiter verzögern könnte.
Bislang Komplettversagung bei Bund und Ländern
Doch schauen wir genauer drauf: Jetzt kommt also – nach langem Streit – doch nochmal das sogenannte Online-Zugangsgesetz in den Bundesrat. Wir wissen: es soll die digitale Verwaltung bei uns in Deutschland voranbringen. Wie genau?
Bislang muss man leider von einem Komplettversagen sprechen. Eigentlich sollten bis Ende 2022 bereits 575 Verwaltungsleistungen von Bund, Ländern und Kommunen digitalisiert worden sein. Doch die Verwaltung hat gerade mal 25% geschafft.
Deshalb ist das OZG 2.0 so wichtig, damit das längst überfällige Versprechen, dass wir uns viele Behördengänge sparen können, endlich eingelöst wird.
Kern des OZG 2.0, das ein Prestigeobjekt der Ampel ist, ist ein einklagbarer Rechtsanspruch auf digitale Leistungen des Bundes, der von 2029 an auf die Mehrzahl der Verwaltungsakte greifen soll.
Das vielleicht Wichtigste ist ein einheitliches digitales Bürgerkonto, das überall gelten soll. Eine Art Online-Ausweis für alle digitalen Behördengänge.
Damit soll man Anträge stellen können, aber auch den Personalausweis komplett digital beantragen oder Widersprüche einreichen. Dazu verwendet man dann den Personalausweis. Moderne Personalausweise haben eine Online-Ausweisfunktion (eID). Damit soll man sich künftig bei der BundID anmelden können.
Streit zwischen Bund und Ländern hat geschadet
Das Thema hat ja lange schon für Streit gesorgt zwischen Bund und Ländern.
Einige Bundesländer, darunter NRW, haben eine eigene, landesweite ID-Lösung. NRW hat schon früh zugestimmt, diese zugunsten einer einheitlichen bundesweiten Lösung aufzugeben.
Andere Bundesländer wie Bayern oder Baden-Württemberg haben sich anfangs gesträubt; müssen aber jetzt in den nächsten Jahren auf die BundesID umstellen.
Ein weiterer Konflikt lag bei den Kompetenzen: Der Bund wollte verstärkt eine Führungsrolle übernehmen, er will Standards vorschreiben können. Das ist auch absolut sinnvoll, denn es braucht dringend eine Vereinheitlichung bei Datenformaten und Datenaustausch; es gibt ein viel zu großes Durcheinander.
Viele Amtsgänge lassen sich künftig digital erledigen
Aber was ändert sich für Bürger noch konkret, wenn die digitale Verwaltung möglicherweise mal Tempo aufnimmt (langsamer geht ja kaum)? Wie sehen „Amtsgänge“ dann aus, was dürfte für mich deutlich bequemer werden? Was könnte da alles noch gehen?
Das wichtigste ist: Einheitle BundID, egal ob ich es mit einer Kommune, dem Land (etwas bei Steuerfragen) oder dem Bund zu tun habe. Künftig haben wir Bürger auf alles mit dem Personalausweis Zugriff.
Da alle relevanten Daten in der BundID gespeichert sind, müssen sie nicht x-mal eingegeben werden. Die Daten müssten nur noch freigegeben werden.
Mögliche Anwendungsfälle sind die Beantragung von Personalausweis, Reisepass, Führerschein, Geburtsurkunden, Eheschließungen, Wohngeld, BAföG, Elterngeld, KFZ-Zulassung und -Ummeldung, Ummeldung des Wohnsitzes, Gewerbeanmeldung und vieles mehr.
Alles bequem online machbar. In anderen Ländern längst Wirklichkeit. Hier in Deutschland klingt es wie Science-fiction.
Digitale Verwaltung und Datenschutz
Nicht alle Menschen finden diesen Gedanken so toll, so etwas digital zu erledigen. Sorgen drehen sich oft um Datenschutz – gerade, wenn es um sensible Sachen auf dem Amt geht. Wie wird dem bislang Rechnung getragen?
Die Sorgen sind berechtigt, denn Behörden verarbeiten sensible persönliche Daten. Deshalb hängt die Latte hoch: Die Verantwortlichen müssen hohen Aufwand betreiben, damit die Datensicherheit auch wirklich gewährt wird.
Die gute Nachricht: Behörden sind verpflichtet, transparent zu machen, welche Daten zu welchem Zweck verarbeitet werden. Die Behörden sind außerdem angehalten, nur wirklich notwendige Daten zu erheben, zu erfassen und speichern.
Bürger haben das Recht, Auskunft über ihre gespeicherten Daten zu erhalten und können die Berichtigung oder Löschung ihrer Daten verlangen. Für den Zugang zu digitalen Verwaltungsdiensten werden sichere Identifikations- und Authentifizierungsmethoden verwendet, wie der elektronische Personalausweis (eID) oder spezielle Authentifizierungs-Apps. Diese Methoden stellen sicher, dass nur berechtigte Personen auf die Daten zugreifen können.
Sensible Daten werden – so sieht es das OZG 2.0 vor – durch moderne Verschlüsselungstechniken geschützt, sowohl während der Übertragung als auch bei der Speicherung. Behörden müssen in robuste IT-Sicherheitsinfrastrukturen investieren, um Daten vor unbefugtem Zugriff und Cyberangriffen zu schützen.
Rathäuser bislang nicht so gut aufgestellt
Das Land NRW hat ein „Serviceportal.NRW“ eingeführt. Hier wurde bereits zum 31.05.2024 das „Servicekonto NRW“ durch die BundID ersetzt. Löblich.
Auf kommunaler Ebene sieht es sehr unterschiedlich aus. Einige Kommunen bieten bereits zahlreiche Behördengänge online an, beispielsweise die Beantragung von Meldebescheinigungen, die Anmeldung von Wohnsitzen, die Beantragung von Führungszeugnissen und die Terminvereinbarung für persönliche Besuche im Rathaus. Als besonders fortschrittlich gelten Dortmund, Düsseldorf und Köln.
Das ist aber genau das Problem: Einige Städte schreiten voran, andere sind digital technisch noch in der Steinzeit. Das soll das OZG 2.0 ändern. Die Bürger können bis Ende 2024 große Fortschritte erwarten, bis Ende 2025 sollten alle Verwaltungsleistungen digital sein.
Ein ähnliches Versprechen gab es schon einmal. Jetzt haben die Bürger aber sogar Anspruch darauf.
KI bietet viele interessante Möglichkeiten und ist auch oft sehr nützlich. Doch KI kann auch missbraucht werden, etwa in Form von Deepfakes.
Die Entwicklung von Künstlicher Intelligenz (KI) schreitet weiter voran.
Und während diese Technologie ohne Frage viele neue Möglichkeiten mit sich bringt, kann KI – in den falschen Händen – durchaus auch eine Gefahr darstellen. KI kann zum Beispiel die Gefahr durch Cyber-Angriffe drastisch erhöhen.
Dazu gehören vor allem sogenannte Deepfakes, durch künstliche Intelligenz veränderte Medieninhalte, die Fälschungen ermöglichen, die täuschend echt erscheinen.
Gefahren durch Deepfakes
Mit Deepfakes lassen sich Gesichter auf vorhandene Videos legen und der Ton so manipulieren, dass Betrachter das Gefühl haben, dass das Video authentisch ist.
Das mag Spielereien ermöglichen, die – wenn nicht weiter geteilt oder entsprechend gekennzeichnet – harmlos sind.
Doch im Zuge von Cyberbetrug handelt es sich um eine mächtige Waffe, die effiziente Cyberangriffe und Manipulation ermöglicht.
Mögliche Folgen können sein: Verbreitung von Fehlinformationen, Social-Engineering-Angriffe oder Diffamierung von Personen oder Organisationen. Für private Online-Nutzer besteht insbesondere die Gefahr, dass Deepfakes die Gefahr durch Phishing-Angriffe erhöhen.
Phishing-Attacken mithilfe von Deepfakes lassen sich in zwei Kategorien unterteilen: Angriffe in Echtzeit und Nicht-Echtzeit-Angriffe.
Bei Angriffen in Echtzeit könnten die Kriminellen das Opfer mit gefälschten Video- oder Audiodaten davon überzeugen, dass die Person am anderen Ende ein vermeintlicher Kollege, Vorgesetzter oder Kunde ist.
Das ist vor allem bei Spear-Phishing effektiv, wenn das Opfer zuvor gezielt ausgesucht wurde und mithilfe vorab gesammelter Informationen ein Phishing-Angriff erfolgt.
Nicht-Echtzeit-Angriffe hingegen basieren darauf, dass der Täter ebenfalls eine Video- oder Audiodatei fälscht und sich als eine bestimmte Person ausgibt, wie zum Beispiel einen Prominenten.
Diese Datei teilt er dann über E-Mail, soziale Medien oder Chats, um die Empfänger zur Preisgabe von Informationen zu drängen oder bestimmte Handlungen ausführen zu lassen. Diese Angriffe, die nicht in Echtzeit erfolgen, ermöglichen es, mehrere Personen gleichzeitig zu attackieren.
So kannst du dich schützen
Es gibt mehrere Möglichkeiten, sich gegen Cyberangriffen mithilfe von KI und Deepfakes zu schützen:
Bleibe informiert: Informiere dich ausgiebig und regelmäßig über Deepfakes und Cyberbedrohungen durch KI, um Angriffe frühzeitig erkennen zu können. Sei außerdem skeptisch, wenn du Nachrichten oder Anrufe von scheinbar bekannten Personen erhältst, dessen Inhalte aber widersprüchlich zum gewöhnlichen Verhalten oder Inhalten der Person sind.
Sichere deine Konten: Cyberkriminelle haben es oft auf Kontodaten und andere persönliche Informationen abgesehen.
Sichere deine Accounts daher mit starken und individuellen Passwörtern. Ein Passwort-Manager kann dir helfen, deine Logindaten zu speichern und zu verwalten und starke Kennwörter zu erstellen.
Aktiviere eine Zwei-Faktor-Authentifizierung (2FA): Zusätzlich zu starken Kennwörtern solltest du deinen Konten mit einer 2FA eine zusätzliche Sicherheitsschicht hinzufügen. Das bedeutet, um dich in dein Konto einzuloggen, benötigst du neben den Logindaten einen Code, der per App oder SMS generiert wird.
Schulungen innerhalb von Unternehmen: Da solche Deepfakes für Spear-Phishing-Attacken genutzt werden können, die gezielt Unternehmen treffen, sollten regelmäßige Schulungen stattfinden, um die Mitarbeiter über die Gefahren von KI und Deepfakes für Cyberattacken aufzuklären.
Es geht mal wieder im Sicherheit im Netz. Die Ergebnisse einer Studie des Unternehmens SoSafe zu Beginn dieses Jahres haben für Aufsehen gesorgt. Cyberkriminelle führen zunehmend erfolgreiche Ransomware-Angriffe gegen deutsche Unternehmen durch.
Cyberkriminelle sind variantenreich, wenn es darum geht, ihre Ransomware zu verteilen. So verschicken die Kriminellen beispielsweise mit einer Malware infizierte E-Mails an Mitarbeiter.
Sobald der Mitarbeiter auf den Link klickt, wird das System über die Schadprogramme komplett gesperrt, sodass das Unternehmen keinen Zugriff mehr hat. So funktioniert Ransomware in der Regel.
Zu viele Unternehmen zahlen Lösegeld
Bei 45 Prozent der auf diese Weise erfolgreich angegriffenen Unternehmen kommt es seitens der Cyberkriminellen zu einer Lösegeldforderung. Im Schnitt liegt diese mittlerweile pro Ransomware-Angriff bei durchschnittlich 4,54 Millionen US-Dollar!
Im europäischen Schnitt neigen deutsche und niederländische Unternehmen vermehrt dazu, diesen Forderungen nachzugeben.
Zukünftig wird die Anzahl der Angriffe durch den Einsatz von künstlicher Intelligenz sogar noch ansteigen. Der Einsatz von ChatGPT und anderen KI-Bots verspricht den Cyberkriminellen eine Zeitersparnis bei Phishing-Angriff (Einfallstor) von mindestens 40 Prozent.
Unternehmen sind gezwungen, zu reagieren!
Unternehmen, egal ob klein, mittel oder groß, müssen die Mitarbeiter sensibilisieren, Software per Patch-Management auf dem aktuellen Stand halten und die Passwortsicherheit erhöhen.
Kryptowährungen bevorzugt
Auffällig bei den Lösegeldforderungen ist die von Cyberkriminellen bevorzugte Zahlungsmethode: Kryptowährungen. Warum eigentlich?
Betroffen sind sowohl Unternehmen als auch einzelne Privatpersonen. Der Hauptfokus liegt jedoch hauptsächlich im Unternehmenssektor, da hier höhere Lösegeldforderungen möglich sind.
Manche Aktionen gibt es nur im Kino
Jetzt stellt sich die Frage: Wie treiben die Cyberkriminellen eigentlich die Lösegelder ein? Wer jetzt an einen Hollywood-Blockbuster denkt, bei dem ein Mitarbeiter des Unternehmens eine Tüte voller Bargeld im Mülleimer deponiert, irrt gewaltig. So etwas gibt es im Kino oder in der Realität vielleicht vor 50 Jahren.
Eine Überweisung per Bankkonto, Paypal oder eine Einzahlung auf eine Prepaid-Kreditkarte wäre eine Option. Hierbei muss jedoch einer der Cyberkriminellen ein Konto eröffnen, seine persönlichen Daten preisgeben und seinen Personalausweis vorlegen. Es würde also nur eine Frage der Zeit sein, bis die Polizei an der Tür klopft.
Kriminelle tüftelten auch hierzu eine Strategie aus. Sie ließen Bankkonten auf fremden Namen eröffnen. Hierzu veröffentlichten sie Jobangebote im Homeoffice auf Plattformen wie Kleinanzeigen (ehemals Ebay-Kleinanzeigen). Sie lockten die Bewerber mit attraktiven Gehältern, die Aufgabe war einzig, Bankkonten im eigenen Namen zu eröffnen. Diese Masche funktionierte jedoch nur für eine gewisse Zeit.
Kryptowährungen versprechen maximale Anonymität
So hat es nicht lange gedauert, bis Kryptowährungen in den Fokus von Cyberkriminellen rutschten. Diese digitalen Währungen sind dezentralisiert und nicht abhängig von Bundesbanken oder dem Staat.
Die finanziellen Transaktionen (Wallet-to-Wallet) finden komplett anonym statt!
In der Lösegeldforderung nennen die Cyberkriminellen den aus 26 bis 35 alphanumerischen Zeichen bestehenden (Public Key) der Wallet – keine Namen, keine Bankdaten. Auf diese Wallet senden die Unternehmen Lösegeld, ohne zu wissen, wem diese Wallet gehört.
Für Strafverfolgungsbehörden stellt die Anonymität der Täter hinter den Cyberangriffen eine erhebliche Herausforderung dar.
Obwohl jede Transaktion in der Blockchain – einem öffentlichen Ledger, das alle Transaktionen aufzeichnet – vermerkt wird, ist die Rückverfolgung dieser Transaktionen zu realen Personen ohne zusätzliche Informationen schwierig.
Cyberkriminelle nutzen diese Anonymität aus, um Lösegeldforderungen zu stellen, wohl wissend, dass die digitale Spur, die sie hinterlassen, verwischt und schwer zu verfolgen ist
Updates sind gut – normalerweise. Doch es kommt immer wieder mal vor, dass ein Update auch Mängel enthält, die ganz schön lästig sein können. So ist es mit dem jüngsten Windows-11-Update KB5035853.
Die Zahl der Cyberangriffe nimmt bedrohliche Ausmaße an: Nicht nur Konzerne und öffentliche Einrichtungen werden immer häufiger und aggressiver angegriffen, sondern auch Privatpersonen. Für Unternehmen ist es wichtig, angemessen vorbereitet zu sein.
Cyberangriffe auf Kliniken gehören mittlerweile zur Tagesordnung. Die Auswirkungen sind oft dramatisch. Es gibt Gründe, wieso vermehrt Krankenhäuser angegriffen werden.