Spion im Smartphone E-Book

Inhalt

Vorwort

Dunkelziffer 90 Prozent

Ein digitales Virus in unserem Smartphone

Unser Leben im Smartphone

Wir leben in einer Beziehung zum Smartphone

Wir werden angegriffen

Gefahren im (mobilen) Internet

Die Wurzeln des mobilen Internet

Große Bandbreite illegaler Aktivitäten

Identitätsdiebstahl/Phishing

Einsatz von Schadsoftware

Social Engineering

Digitale Erpressung

Virtuelle Gewalt: Cybermobbing

Daten und Hacken sind ein- und dieselbe Medaille

Jeder kann Hacker werden

Emotet: gefährliche Freunde

Erpressungssoftware zum Mieten

Account geknackt, erpresst, verfolgt

Drei Milliarden Konten geknackt

50 und 533 Millionen Facebook-Konten betroffen

Die verheerendste Cyberattacke aller Zeiten

Smartphones als Wanze

Smartphone-Verfolgung seit Corona

Apple: Garant für Sicherheit?

Immer neue Tricks

Der AirPod Hack

WannaCry – Der Angriff auf Windows

Apple öffnet die Büchse der Pandora

EU und Apple: Alle wollen an unsere Privatsphäre

Das (i)Cloud-Paradies für Kriminelle

Angriffe auf Solarwinds und Supernova

Microsoft Azure im Fokus

Standardsoftware als Einfallstor für Verbrecher

Megaleak 2021

Kriterien für Cloud-Sicherheit

Wie sicher sind unsere Daten?

Unsere Daten werden angegriffen

Datenspeicher für die Weltbevölkerung

Elektronische Patientenakte stößt auf Skepsis

Wir geben den Firmen unsere Daten freiwillig

Digitales Nervensystem um die Welt

Wenn sich Cloud und KI verbünden

Das Internet der Dinge umschlingt uns alle

Sicherheit von Anfang an

Die Frage ist nicht ob, sondern wann?

KI: Wir werden gedacht

Welt am Abgrund

Wir werden gedacht

Gefahrenstelle Biometrie

Digitale Fingerabdrücke

Vom Verbrecher zum Normalbürger

Firmen erfassen unsere Fingerabdrücke

Sieg der Bequemlichkeit

Fehlfunktionen und Missbrauch

Automatische Gesichtserkennung

Unsere Gefühle werden erkannt

Von der Erkennung zur Interpretation der Mimik

Terror-Biometrie

Digitale Identität

Digitaler Zwilling

Biometrie: Brücke zum Zwilling

Umkehrung der Beweislast

Perfektion wird vorgegaukelt

Social Scoring als Lösung?

Mehr Sicherheit statt Überwachungsstaat

Der Fall Jeanne Pouchin

Unser Smartphone verbreitet Lügen

Alternative Wahrheiten

Sternstunde der Storyteller

Dunning-Kruger und Social Bots

„Mit eigenen Augen gesehen“

Angriff auf Europa

Die Staaten greifen an

Der Spion im Chip

China greift mit Spionagechips die Welt an

Geheimdienste warnen vor China-Smartphones

Russland wird beschuldigt

Kein Hack ohne Nordkorea

Israel: das Smartphone im Visier

Hackernation Deutschland

Das deutsche Spionage-Startup ZITiS

Sicherheitsgesetz 2.0 – wie China

Wie man sich schützen kann

Schutz im privaten Bereich

Unternehmerische Sicherheit

Smartphone im Extremschutzmodus

Nachwort

Über den Autor

Bücher im DC Verlag

Quellenangaben und Anmerkungen

Vorwort

Cybercrime, also Kriminalität über das Internet, gehört zu den größten Bedrohungen unserer digitalen Gesellschaft. Da unsere zivilisierte Welt immer stärker von Computern durchdrungen ist, wird auch die Angriffsfläche, die wir Kriminellen bieten, mit jedem Jahr größer.

Was dabei häufig übersehen wird: Das am weitesten verbreitete „Computermodell“ ist unser Smartphone. Für viele Menschen stellt das Smartphone geradezu die Essenz ihres Lebens dar. Es gibt kaum etwas von Relevanz im Leben, das nicht im tragbaren Taschencomputer gespeichert oder damit kontrolliert wird. Welche Menschen wir kennen, welche Orte wir besuchen, welche Fotos uns wichtig sind, welche Nachrichten wir lesen, welche Musik wir hören, welche Filme wir sehen, über welche Banken wir unsere Finanzen abwickeln, mit wem wir uns austauschen und worüber – alles, wirklich alles, ob beruflich oder privat, ist in unserem Smartphone sicher gespeichert! Oder doch nicht so sicher, wie wir meinen?

Ein Grund, warum die meisten von uns ihr Smartphone ständig bei sich tragen, beinahe wie angewachsen, liegt in der Angst, dass wir das Gerät verlieren oder es uns gestohlen wird. Denn damit geht uns sozusagen die Essenz unseres Lebens verloren – oder schlimmer noch, sie gerät in unbefugte Hände. Diese Verlustangst ist begründet, aber nicht nur, weil uns das Gerät abhandenkommen könnte, sondern weil uns die darauf gespeicherten Daten und der Zugang zu den damit kontrollierten Accounts verloren gehen kann.

Um dem Geräteverlust gleich aus welchem Grund vorzubeugen, haben die meisten von uns ihre Informationen in der Cloud abgelegt. Die Cloud stellt in diesem Sinne ein Spiegelbild unseres Smartphones dar. Sicherer wird die Sache dadurch allerdings nicht. Ganz im Gegenteil sind unsere Daten, die „eigentlich“ im Smartphone stecken, über die Cloud möglichen Cyberangriffen sogar stärker als im Gerät selbst ausgesetzt.

Durch die allumfassende Digitalisierung haben wir uns in eine gefährliche Abhängigkeit begeben – wir im Sinne unserer zivilisierten Gesellschaft, aber eben auch jeder einzelne von uns. Der Cyber War findet nicht nur „irgendwo da draußen“ statt, sondern unser „digitales Leben“, unser Smartphone, ist mittendrin.

Dunkelziffer 90 Prozent

Im Jahr 2020 wurden in Deutschland 108.404 Straftaten im Bereich Cyberkriminalität erfasst. Nur fünf Jahre zuvor waren es „lediglich“ 45.793 Fälle gewesen.1 Das entspricht mehr als einer Verdoppelung in weniger als einer Dekade. Experten schätzen, dass lediglich etwa ein Zehntel aller Cybercrimedelikte zur Anzeige gebracht werden. Die Dunkelziffer wird somit auf rund 90 Prozent veranschlagt.2

In der Presse wird überwiegend von Cyber-Attacken auf große Unternehmen und Infrastrukturen berichtet. Der Angriff auf die größte Benzin-Pipeline der USA im Frühjahr 2021, der zu tagelangen dramatischen Versorgungsengpässen führte, stand exemplarisch für das Ausmaß, in dem uns der Cyber War künftig alle betreffen wird – entweder direkt durch einen Angriff auf unsere Computer und Smartphones oder indirekt, indem wir von den Auswirkungen einer Attacke auf Unternehmen und Infrastrukturen betroffen sind. Angesichts einer Cyber-Attacke auf eine US-Versorgungspipeline im Frühjahr 2021 mussten rund ein Dutzend US-Bundesstaaten den Notstand ausrufen. Das war zweifelsohne dramatisch – aber für viele Menschen wäre ein Angriff auf ihr Smartphone mindestens ebenso verheerend, wenn nicht sogar aus persönlicher Sicht noch schlimmer.

Ein digitales Virus in unserem Smartphone

Stellen wir uns für einen Moment ein digitales Virus vor, einen Spion, der sich in unserem Smartphone einnistet, das Gerät manipuliert, uns überwacht und unsere persönlichsten Daten absorbiert. Undenkbar? Kaum jemand konnte sich vorstellen, dass ein biologisches Virus die ganz Welt lahmlegte – bis die Coronajahre 2020/21/22 kamen. Ein Virus, dass unsere Smartphones überfällt, könnte ähnlich gravierende Folgen nach sich ziehen.

Hoffentlich kommt es niemals so weit. Aber es ist besser, auf diese Gefahr vorbereitet zu sein als diese potenzielle Bedrohungslage zu ignorieren und sich schlimmstenfalls von ihr überraschen zu lassen.

Das Smartphone hat unseren Alltag wie kein anderes Gerät durchdrungen. Das bringt uns viele Vorteile, aber es birgt auch Gefahren, die allzu häufig übersehen werden – bis es zu spät ist.

In diesem Sinne will das vorliegende Buch wachrütteln, die Gefährdungslage beschreiben und die Verantwortlichen veranlassen, die Schutzwälle weiter hochzuziehen. Zudem ist erklärt, was jeder Einzelne selbst tun kann, um sich gegen das Unerwartete zu wappnen.

Marc Ruberg et al.

Unser Leben im Smartphone

Rund vier Milliarden Menschen, also etwa die Hälfte der Menschheit, besitzen ein Smartphone.3 Wir wachen damit auf, denn der erste Blick nach dem Wachwerden gilt dem kleinen Gerät. Abends blicken wir auf das Display, ob es noch eine letzte wichtige Nachricht gibt, bevor wir die Augen schließen und entschlummern. Die Zeit dazwischen, den ganzen Tag über, tragen wir unseren digitalen Kasten mit uns herum.

Eine Umfrage unter 9.000 Smartphone-Nutzern im Alter von 18 bis 35 Jahren in Europa aus dem Jahr 2021 hat zutage gefördert, welche Bedeutung für die meisten Menschen ihr Smartphone hat.4 So stimmte 44 Prozent der deutschen Befragten dem Satz „Nimm meine Niere, aber lass mir bitte mein Handy“ zu. Die Niere, von denen man zwei im Körper hat und eine ausreichend ist, um weiter zu leben, ist also weniger wichtig als das Smartphone.

95 Prozent der Europäer legen ihr Gerät nachts im Schlafzimmer ab, 90 Prozent sogar direkt neben dem Bett, um es jederzeit in greifbarer Nähe zu haben. Nach dem Aufwachen am Morgen schauen laut Umfrage 77 Prozent binnen weniger Minuten auf das Display, um nichts zu verpassen. Fünf Prozent würden lieber auf ihren Lebenspartner als auf ihren elektronischen Alltagshelfer verzichten.

Eine Studie mit insgesamt 1.000 in Deutschland lebenden Personen über 18 Jahren aus dem Jahr 2021 förderte sogar noch erschreckende Zahlen zutage. Auf die Frage, worauf sie im Leben nicht verzichten möchten, gaben 52 der Frauen an, ohne ihr Smartphone nicht leben zu können, während bei den Männern der Computer mit 53 Prozent ganz vorne stand. Auf dem zweiten Platz landete bei beiden Geschlechtern der Fernseher (Männer: 50 Prozent, Frauen: 51 Prozent). Der Partner bzw. die Partnerin befanden sich – ebenfalls bei Männern und Frauen – mit 49 Prozent erst auf dem dritten Platz der Prioritätenliste. Eine Vergleichsstudie aus dem Jahr 2017 zeigte, dass das nicht immer so war: Damals gab mit 51 Prozent der Großteil beider Geschlechter an, nicht auf den Partner oder die Partnerin verzichten zu wollen. Der Computer und das Smartphone folgten erst später in der Liste.5

Wir leben in einer Beziehung zum Smartphone

In der Corona-Pandemie hat sich die „Beziehung“ zum eigenen Computer und vor allem zum Smartphone noch verstärkt: Im Lockdown, wenn man kaum jemanden treffen kann, stellt das elektronische Gerät die digitale Nabelschnur zur Außenwelt dar. Experten kennen längst die „Nomophobie“; das ist die Angst, kein Smartphone verwenden zu können. Wer das für schwer nachvollziehbar hält, sollte sich einmal nach der eigenen Reaktion fragen, wenn über längere Zeit kein Netz verfügbar ist – die meisten von uns werden ärgerlich, viele nervös, manche ängstlich, aber kaum jemanden lässt es kalt, ohne Verbindung zu sein.

Laut einer Studie der Beratungsgesellschaft Deloitte schauen die die Deutschen im Schnitt 30-mal am Tag aufs Smartphone, die 18- bis 24-Jährigen sogar 56-mal. Rentner werfen dagegen lediglich neun Blicke pro Tag auf ihr Display.6

Neben dem Smartphone gewinnt die Smartwatch rapide an Bedeutung. Längst ist für viele Menschen nicht mehr das Smartphone allein der tägliche Lebensbegleiter. Für Millionen nimmt die Smartwatch einen beinahe ebenso wichtigen Platz im Alltag ein. Beide Geräte – Smartphone und Smartwatch – sind angreifbar.

Wir werden angegriffen

Das World Economic Forum (WEF) bewertete in seinem „Global Risk Report 2020“ Cybercrime als das zweitgrößte Sicherheitsrisiko für die Weltwirtschaft bis zum Jahr 2030. Die größten Cyberattacken liegen also nicht hinter uns, sondern vor uns. Weltweit hat der durch Cyberkriminalität angerichtete Schaden 2020 laut Schätzungen erstmals die Marke von einer Billion Dollar überschritten. Im Allianz-Risikobarometer 2020 bildeten Betriebsunterbrechungen, Pandemien und Hackerangriffe die Spitze der Bedrohungen für die Wirtschaft.7

Bei diesen wirtschaftlichen Betrachtungen kommt häufig der persönliche Schaden durch Hackerangriffe auf Privatpersonen zu kurz – obgleich gerade dies für die Betroffenen in der Regel einem Desaster gleichkommt. Dabei geht es nicht nur um das eigene Smartphone oder den Computer im engeren Sinne, sondern auch um alles, was damit gesteuert, kontrolliert und überwacht wird, von den persönlichen Finanzen bis zum Smart Home.

Gefahren im (mobilen) Internet

Nachdem 2020/21 die ganze Welt im Fieber eines biologischen Virus taumelte, ist die Wahrscheinlichkeit hoch, dass die nächste Pandemie von einem Computer- oder Smartphonevirus ausgelöst wird.

In einem vom Bundesnachrichtendienst (BND) als geheime Verschlusssache „VS-Geheim“ klassifizierten Planungsdokument, das durch die Enthüllungen des Whistleblowers Edward Snowden bekannt wurde, hieß es bereits 2015:8

Cyber-Angriffe stellen durch mögliche Informationsabflüsse aus Staat und Wirtschaft, Beeinflussung, Störung oder Schädigung von Informations-‚ Kommunikations- oder Steuerungssystemen im öffentlichen wie im privaten Bereich ein hohes Bedrohungspotenzial dar und gefährden Deutschland als führendes Hochtechnologieland und wichtigen Wirtschaftsstandort. Mit den Cyber-Aufrüstungen zahlreicher Länder, darunter China und Russland, sowie krimineller und terroristischer Akteure haben die Bedrohungen deutlich an Professionalität und Quantität zugenommen. Das unaufhaltsam wachsende „Internet der Dinge“ wirkt verstärkend. Unscheinbare Dinge des täglichen Gebrauchs, wie zum Beispiel fernsteuerbare Glühlampen oder Internet-Fernseher, können plötzlich von einem Cyber-Angreifer „übernommen“ und zu digitalen Waffen umfunktioniert werden, und dies von jedem beliebigen Winkel des Erdballs aus.

Weitsichtiger könnte man die Gefahren einer künftigen digitalen Pandemie auch in den 2020ern Jahren kaum beschreiben. Allerdings hat sich seitdem viel getan: Aus dem ehemaligen Internet ist das sogenannte mobile Internet erwachsen, also das Smartphone. Das war ein durchaus langwieriger Prozess.

Das Festnetz-Internet der 1990er und frühen 2000er Jahre inspirierte viele von uns dazu, sich einen eigenen PC zuzulegen. Dieses Gerät war jedoch weitgehend isoliert von unserem Büro, Wohnzimmer oder Schlafzimmer. Infolgedessen hatten wir nur gelegentlich Zugriff darauf und auf die Nutzung von Computerressourcen und einer Internetverbindung. Das mobile Internet führte dazu, dass sich Millionen von Menschen weltweit ein Smartphone zulegten, um ständig Zugang zum Internet und zu seinen Ressourcen zu haben.

Die Wurzeln des mobilen Internet

Jedermann nutzt heutzutage ein Smartphone, aber wann die Ära des mobilen Internet begann, lässt sich schwer ausmachen. Einige würden die Geschichte des mobilen Internet mit den allerersten Mobiltelefonen beginnen. Andere könnten bis zur kommerziellen Einführung von 2G warten, dem ersten digitalen drahtlosen Netzwerk. Oder war es die Einführung des Wireless Application Protocol-Standards (WAP), der uns WAP-Browser und damit die Möglichkeit gab, von fast jedem „Dumbphone“ (Standardhandy) auf eine (eher primitive) Version der meisten Websites zuzugreifen. Oder vielleicht begann es mit der Black-Berry 85x-Serie, den ersten Mainstream-Mobilgeräten, die für mobile Daten entwickelt wurden. Die meisten würden vermutlich sagen, dass das mobile Internet mit dem iPhone, das mehr als ein Jahrzehnt nach dem ersten BlackBerry und acht Jahre nach WAP, fast zwei Jahrzehnte nach 2G, 34 Jahre nach dem ersten Mobiltelefonanruf, auf den Markt kam und seitdem viele der visuellen Gestaltungen des mobilen Internetzeitalters bestimmt hat: die Prinzipien, die App-Ökonomie und die Geschäftspraktiken.

In Wirklichkeit gibt es keinen Tag X, nicht einmal ein bestimmtes Jahr, das sich dem mobilen Internet zuordnen lässt. Das 2007 vorgestellte iPhone fühlte sich an wie der Beginn des mobilen Internets, weil es all die Dinge, die wir heute als „mobiles Internet“ bezeichnen, zu einem einzigen, minimal praktikablen Produkt vereint hat, das wir berühren und halten und „lieben“ können. Aber das mobile Internet wurde von so viel mehr geschaffen – und angetrieben – als nur dem iPhone.

Tatsächlich meinen wir wahrscheinlich nicht einmal das erste iPhone, sondern das zweite, das iPhone 3G (das mit mehr als dem Vierfachen des Umsatzes das größte Modell-gegenüber-Modell-Wachstum aller iPhones verzeichnete). Dieses zweite iPhone war das erste mit 3G, das das mobile Web nutzbar machte, und es führte den iOS App Store ein, der drahtlose Netzwerke und Smartphones so nützlich machte.

Aber weder 3G noch der App Store waren nur Innovationen oder Kreationen von Apple. Das iPhone griff über Chips von Infineon auf 3G-Netze zu, die über von internationalen Organisationen festgelegte Standards verbunden waren und die von Mobilfunkanbietern wie der Deutschen Telekom auf Mobilfunkmasten eingesetzt wurden. Das iPhone hatte „eine App für beinahe alles“, weil Millionen von Entwicklern diese Apps programmiert hatten. Darüber hinaus basierten diese Apps auf einer Vielzahl von Standards – von KDE bis Java, HTML und Unity – die von externen Parteien (von denen einige in Schlüsselbereichen mit Apple konkurrierten) etabliert und gepflegt wurden. Die Zahlungen im App Store funktionierten dank digitaler Zahlungssysteme, die von den großen Banken eingerichtet wurden. Das iPhone war auch von unzähligen anderen Technologien abhängig, von einer Samsung-CPU (wiederum lizenziert von ARM), einem Beschleunigungsmesser von STMicroelectronics, Gorilla Glass von Corning und anderen Komponenten von Unternehmen wie Broadcom, Wolfson und National Semiconductor. Alle diese Produkte und Dienste zusammen ermöglichten das iPhone und leiteten die Ära des mobilen Internet ein.

Betrachten wir kurz das iPhone 12, das 2020 auf den Markt kam, und Apples erstes 5G-Gerät war. Egal, wie viel Geld Apple bereit gewesen wäre zu bezahlen, hätte Apple kein iPhone 12 sagen wir im Jahr 2010 auf den Markt bringen können. Selbst wenn Apple damals einen 5G-Netzwerkchip hätte entwickeln können, hätten schlichtweg keine 5G-Netzwerke zur Verfügung gestanden, es gab noch nicht einmal 5G-Drahtlosstandards, und keine Apps, die die geringe Latenz oder die große Bandbreite von 5G ausnutzen können. Das Beispiel verdeutlicht, dass es nicht einen einzigen Anbieter und nicht einen genau zu definierenden Zeitpunkt für eine bestimmte Innovation gibt, sondern ein Spektrum an Innovationen, die alle zusammenkommen müssen, um eine neue Ära einzuleiten. Das war beim Internet so und es funktionierte nach demselben Schema beim mobilen Internet. Niemand „erfand“ es, über Jahre hinweg kam es zu immer neuen Entwicklungen, die alle dazu beitrugen und „plötzlich“ war es da.

In allen diesen Fällen geht es nicht nur um Technologie, sondern auch darum, die Nutzer sukzessive an die neue Welt heranzuführen. Es mag sein, dass man schon beim ersten iPhone den Homebutton hätte weglassen können; aber er stellte über viele Jahre hinweg ein wichtiges Orientierungsmerkmal für die Nutzer dar. Wenn man sich in der Navigation verirrte, drückte man auf dem Homebutton und stand wieder „auf sicheren Füßen“. Erst, nachdem Millionen von Nutzern dies erlernt hatten, war es möglich, den Homebutton durch eine Wischbewegung auf dem Touchscreen zu ersetzen, wie es seit 2018 bei Apple-Geräten üblich ist.

Ebenso, wie sich die Technologie entwickelt hat, war immer schon auch eine Zunahme der Kriminalität entlang desselben Fortschritts zu verzeichnen. Doch nicht nur die Bandbreite der Cyberangriffe hat dramatisch zugenommen, sondern auch die möglichen Folgen – und die sind geradezu ins Unermessliche entwachsen.

Große Bandbreite illegaler Aktivitäten

Die Bandbreite illegaler Aktivitäten im bzw. mittels des Internet ist groß und reicht von der Verbreitung von Kinderpornografie im Internet bzw. Sexting (Sex-Texting) via Smartphone über das „Phishing“ persönlicher Zugangsdaten, den Handel mit Waffen und Rauschgift bis hin zu Netzwerkeinbrüchen und DDoS-Attacken (Denial of Service, eine Art Dauerfeuer auf einen Internetdienst), der Verbreitung von Schadsoftware, der Bereitstellung krimineller Apps für Smartphones und Betrug. Das Bundeskriminalamt (BKA) hat eine Klassifizierung der häufigsten Cyberstraftaten vorgenommen, die der nachfolgenden Auflistung zugrunde liegt.9

Identitätsdiebstahl/Phishing

Die digitale Identität umfasst alle Arten von Daten, Accounts und zahlungsrelevanten Informationen eines Nutzers. Dazu gehören beispielsweise Zugangsdaten in den Bereichen Kommunikation (E-Mail- und Messengerdienste), E-Commerce (Onlinebanking, Onlinebrokerage, Vertriebsportale aller Art wie zum Beispiel Onlinehändler, Reiseportale), berufsspezifische Informationen (beispielsweise für den Onlinezugriff auf firmeninterne technische Ressourcen), E-Government (zum Beispiel die elektronische Steuererklärung), Cloud-Computing, Kreditkartendaten und Zahlungsadressen.

Cyberkriminelle versuchen, beispielsweise durch Phishing, Zugriff auf derartige Daten zu erhalten, um sie hinterher gewinnbringend zu verkaufen oder zur Begehung weiterer Straftaten einzusetzen. Unter „Phishing" versteht man alle Versuche, zum Beispiel durch gefälschte Websites, E-Mails, Kurznachrichten oder Apps zum Downloaden aufs Smartphone an persönliche Daten zu gelangen, um damit einen Identitätsdiebstahl zu begehen.

Einsatz von Schadsoftware

Für das Phishing setzen Cyberkriminelle in der Regel Schadsoftware, auch Malware genannt, ein. Neue Schadsoftwareprogramme entstehen im Sekundentakt und sind darauf ausgelegt, Virenschutzprogramme zu umgehen und Sicherheitslücken auszunutzen. Dabei geht es nicht nur darum, technische Sicherheitshürden zu überlisten, sondern ebenso wichtig ist es, Verbreitung zu finden, um die geplante Erpressung oder Zerstörung auf breiter Flur durchzusetzen.

Die Verbreitung von Schadsoftware erfolgt beispielsweise wie folgt:

o Herunterladen infizierter Anhänge, die meist als Bestandteil Interesse weckender E-Mails oder Messages übermittelt werden;

o „Drive-by-Infection“: Cyberkriminelle präparieren Webseiten im Internet, die Schadsoftware wird durch den Aufruf einer solchen präparierten Webseite am Computer oder Smartphone automatisch heruntergeladen;

o Verteilung über soziale Netzwerke, in denen infizierte Anhänge und entsprechende Links geteilt werden, oder

o „Spear-Infection“: Cyberkriminelle nehmen mittels persönlich adressierter Phishing- oder Infektionsmails gezielt zu bestimmten Personen Kontakt auf, um auf diesem Wege an Daten zu gelangen bzw. das Smartphone des Opfers zu infizieren.

o SMS-/Messaging-Attacken: Die Angreifer senden per SMS bzw. über Messagingdienste wie WhatsApp oder iMessage Nachrichten auf Smartphones, die mit einem Link zum Weiterklicken versehen sind. Entweder wird das Gerät schon beim Klicken unmittelbar infiziert oder – noch perfider – man gelangt auf eine Webseite, die unter Vorspiegelung falscher Tatsachen dazu verführt, streng geheime Daten wie etwa einen Kontozugang einzugeben. Als Absender der Nachricht wird beispielsweise ein Zustelldienst oder eine Bank vorgetäuscht.

Aufgrund der rasant zunehmenden weltweiten Nutzung mobiler Endgeräte bringen Cyberkriminelle zunehmend auch speziell für Smartphones und Tablets entwickelte Schadsoftware in Umlauf, beispielsweise zur Umgehung des Mobile-TAN-Verfahrens im Onlinebanking. Bereits 2017 wurden in mehr als 500 Apps aus dem Google Play Store, dem App Store von Googles Betriebssystem Android, ein Schadcode entdeckt. Über 100 Millionen Android-Nutzer haben die betroffenen Programme heruntergeladen, darunter vor allem Spiele und Wetter-Apps.

Zunehmend werden auch soziale Netzwerke zur Verteilung von Schadsoftware und „tödlichen Links“ eingesetzt. Dabei werden den Nutzern der Netzwerke von vermeintlichen Bekannten oder Freunden Nachrichten mit infizierten Anhängen zugesandt. Wenn diese aufgrund des mutmaßlich bestehenden Freundschaftsverhältnisses gutgläubig geöffnet oder entsprechende Links aktiviert werden, führt dies zur Infektion des Smartphones.

Es ist wohl abzusehen, dass künftig auch Schadprogramme für Wearables, also Computeruhren bzw. Smartwatches, auftauchen werden.

Social Engineering

Schwächstes Glied in einer Sicherheitskette ist meist der Mensch selbst. Dessen sind sich auch Cyberkriminelle bewusst. Durch geschickte psychologische Manipulation verleiten sie ihre Opfer zu Handlungen, die die Sicherheit ihrer Daten kompromittieren. Sie nutzen menschliche Eigenschaften wie Neugier oder Angst aus, um Zugriff auf Daten zu erhalten oder Rechner zu infizieren. Potenzielle Opfer werden beispielsweise anhand von Angaben in sozialen Netzwerken ausgewählt und gezielt kontaktiert. Beispiele für Social Engineering-Angriffe sind:

o Versand sehr persönlicher und vertrauenserweckender E-Mails oder Messages mit der Aufforderung, aus bestimmten Gründen vertrauliche Informationen preiszugeben (zum Beispiel zur Verifizierung des Onlinebanking-Accounts);

o Gezielter Versand von E-Mails mit gefährlichen Anhängen oder Messages mit ebenso gefährlichen Links an Personen, die zuvor beispielsweise über Informationen in sozialen Netzwerken als adäquates Ziel identifiziert wurden (zum Beispiel Mitarbeiter aus Finanzabteilungen in Unternehmen, Sicherheitsberater oder ähnlich);

o Anfertigung der Kopie eines bereits vorhandenen Nutzer-Accounts in sozialen Netzwerken und Versand von vertrauenserweckenden Nachrichten an dessen Freunde, beispielsweise mit der Bitte um Kontaktaufnahme über eine separate E-Mailadresse oder Handynummer: beim Klick auf die Mailadresse wird dann in der Regel Schadcode auf dem Rechner installiert, beim Versenden einer SMS an die Handynummer muss der Absender bezahlen (Bezahl-SMS).