Illustration einer Hand mit Schlüssel vor einem geöffneten Safe

Gemeinsam gegen Phishing

Daten sind ein kostbares Gut – der Schutz derselben ist Chefsache. Wie Sie sich gegen Phishing-Attacken wappnen können, lesen Sie im folgenden Interview.

Foto von Falk Kohlmann (Bereichsleiter Marktleistungen) und Philpp Rütsche (CISO) der St.Galler Kantonalbank

Falk Kohlmann (links), Geschäftsleitungsmitglied der St.Galler Kantonalbank, und Philipp Rütsche, Chief Information Security Officer, geben Auskunft zum Thema Sicherheit. 

Was unternimmt die St.Galler Kantonalbank, um Phishing-Attacken und Cyberangriffe abzuwehren?

Falk Kohlmann: Unsere Abwehr ist auf viele Aspekte ausgerichtet. Im Umfeld von Phishing – dem Ausspähen von Informationen – sensibilisieren wir unsere Kundinnen und Kunden sowie unsere Mitarbeitenden Phishing zu erkennen und zu vermeiden. Die St.Galler Kantonalbank stellt Selbstbedienungslösungen bereit, sodass Kundinnen und Kunden Limiten, Sperren oder Benachrichtigungen einfach z. B. via SGKB App verwalten können. Zudem setzen wir sogenannte Fraud-Detection Systeme ein, um mögliche betrügerische Zahlungen zu erkennen und überwachen das Internet hinsichtlich Fake-SGKB-Webseiten.

Zur Vorbeugung und Abwehr von Cyberangriffen setzt die St.Galler Kantonalbank konsequent die verfügbaren technischen Möglichkeiten ein, wie z. B. Verschlüsselung, Virenscanner, mehrstufige Firewalls, 2-Faktor-Authentifizierungen, Einrichtung verschiedener sogenannter Zonen, bei der Systeme hardwareseitig, netzwerkseitig oder applikatorisch getrennt werden. Zudem gehen wir seit einiger Zeit von einem Zero-Trust Ansatz aus, bei der sich auch die internen Systeme gegenseitig nicht mehr «vertrauen», sondern sich gegenseitig schützen. Dies, um das Risiko weiter zu reduzieren, sollte doch jemals ein Cyberangriff erfolgreich sein. Zusätzlich führen wir regelmässig Sicherheits-Überprüfungen aller Systeme durch und setzen sogenannte Ethical Hacker ein. IT-Spezialistinnen und -spezialisten werden von uns beauftragt, Schwachstellen der Infrastruktur der St.Galler Kantonalbank aufzudecken.

Philipp Rütsche: Unsere Kundinnen und Kunden können unsere Bemühungen, Phishing-Angriffe im Keim zu ersticken, unterstützen, indem sie wachsam sind und Unstimmigkeiten hinterfragen. Wir appellieren an unsere Kundinnen und Kunden, die Bedrohungen im Internet ernst zu nehmen und sich selbst über aktuelle Angriffe und Schutzmassnahmen zu informieren. Nur wer die Gefahren kennt, kann sich angemessen schützen

Werden die Mitarbeitenden zusätzlich sensibilisiert?

Philipp Rütsche: Ja, unsere Mitarbeitenden werden regelmässig geschult und über neue Angriffsszenarien informiert. Mittels simulierter Phishing-Attacken können wir gefahrlos üben und so lernen.

Können Sie uns einige konkrete Beispiele von Betrugsversuchen aufzeigen?

Beispiel verschiedener Phishing Nachrichten auf Smartphones
Auf den Beispielen sehen Sie: Betrüger*innen, die sich als Post ausgeben und nach weiteren Daten verlangen, damit ein angeblich bestelltes Paket zugestellt werden kann und eine Nachricht, die über Instagram als gefälschter SGKB-Account versendet wird mit Gewinnhinweis. Bei beiden Versuchen werden bei einem Klick auf die entsprechende URL weitere Daten (z.B. Kreditkartendaten) abgefragt.

Philipp Rütsche: Die klassischen Betrugsversuche mittels Phishing-E-Mail versuchen, die Empfänger*innen dazu zu verleiten, einen Link anzuklicken. Auf der dann angezeigten Webseite werden entweder Zugangsdaten – beispielsweise zum E-Banking – oder Kreditkartendaten und persönliche Informationen (Geburtsdatum, Adresse etc.) abgefragt.

Letzten Sommer buchten Kriminelle bei Google Werbung, um Kundinnen und Kunden, die den Einstieg ins E-Banking über eine Suchmaschine wählten, auf gefälschte Login-Seiten zu locken. Deshalb ist es wichtig, nur über www.sgkb.ch ins E-Banking einzusteigen und niemals über eine Suchmaschine.

Falk Kohlmann: Je mehr im Internet eingekauft wird, je mehr scheinen auch Fake-Webshops zu entstehen, welche nicht nur keine Ware nach einer Zahlung liefern, sondern anschliessend weitere Daten wie z.B. Kreditkartendaten ausspähen wollen. Neben zunehmenden Phishingversuchen steigt weltweit auch die Anzahl weiterer Cyberattackversuche. Auch bei uns hat es zum Beispiel Versuche gegeben, mittels DDoS-Attacken (Denial-of-Service) unsere Website ausser Gefecht zu setzen. Vor einigen Jahren wurde ein Softwarelieferant von uns Ziel eines Angriffes, wobei nie kompromittierte Software zur St.Galler Kantonalbank geliefert worden ist. 

Wie schütze ich mich als Kundin/Kunde effizient gegen Betrugsversuche?

Philipp Rütsche: Sie sollten eine gesunde Portion Vorsicht und Misstrauen an den Tag legen. Über die Website cybercrimepolice.ch können Sie sich auf dem Laufenden bezüglich Angriffsmuster halten. Die Investition in sichere Geräte (PC, Tablet, Smartphone) ist ein Muss. Prüfen Sie Ihre Kontoauszüge und Transaktionen regelmässig. Die Systeme der St.Galler Kantonalbank, allen voran das E- und Mobile Banking wurden bisher nicht kompromittiert. Wenn Kundinnen und Kunden jedoch auf die Betrügereien hereinfallen und beispielsweise Zugangsdaten bekannt geben, können sie zu Schaden kommen. Da helfen auch die besten Sicherheitssysteme nur bedingt.

Falk Kohlmann: Für mich gibt es zwei wichtige Grundsätze: vorbeugen und Risiko reduzieren. Ersteres bedeutet, dass ich unbekannte Dateien oder URLs nicht öffne, niemals E-Banking Logindaten oder PINs preisgebe und für das E-Banking nicht über die Google Suche gehe. Zweiteres erreiche ich, indem ich z.B. Limiten oder automatische SMS für Zahlungsausgänge einrichte oder die e-Commerce Funktionalität der Kredit-/Debitkarte nur dann einschalte, wenn ich sie benötige.

Weitere Hinweis zum sicheren Umgang mit der Debit Mastercard finden Sie auch hier:
www.sgkb.ch/debitkarten-tipps

Wie haben sich in den letzten Jahren die Art und Weise der Betrugsversuche verändert?

Falk Kohlmann: Mit jeder zusätzlichen Sensibilisierung oder anderen Sicherheitsmassnahme versuchen Kriminelle wiederum, diese zu umgehen. Früher konnte man beispielsweise Phishing leicht an falscher Rechtschreibung und Grammatik erkennen, heute sind die falschen Webseiten o. ä. deutlich besser aufbereitet und schwieriger zu erkennen.

Philipp Rütsche: Die Angreifer*innen werden immer raffinierter. Nebst Phishing-E-Mails werden auch Telefonanrufe verwendet, um Kundinnen und Kunden hereinzulegen. Die Betrugsversuche über Social Media (z.B. Facebook, Instagram) haben zugenommen. Vereinzelt wird bereits künstliche Intelligenz (Deep Fakes) eingesetzt.

Gibt es weitere Kanäle und Maschen – abgesehen von Phishing – mit denen Kriminelle arbeiten?

Falk Kohlmann: Social Engineering ist eine weitere Art von Betrugsversuch, bei der keine Daten abgegriffen werden, sondern die Anwenderin, der Anwender dazu gebracht werden soll, selbst etwas zu tun, z. B. eine Zahlung freigeben oder eine Überweisung tätigen. Ganz anders gelagert sind die Versuche, die seit einigen Jahren unternommen werden, Schadsoftware einzuschleusen, Daten zu verschlüsseln und anschliessend die betroffenen Firmen und Privatpersonen zu erpressen – diese Betrugsversuche werden Ransomware-Angriffe genannt.

Wie Ihr letztes Beispiel zeigt, werden nicht nur Nutzer*innen im «privaten Bereich» Ziel solcher Attacken. Auch einzelne Mitarbeitende von Unternehmen können in Bedrängnis geraten. Wo liegt der Unterschied und wo ist der Schaden grösser?

Falk Kohlmann: Im «privaten» Umfeld versuchen Kriminelle Nutzer*innen dazu zu verleiten E-Banking Logindaten preis zu geben und dann die weiteren Schutzmassnahmen wie zusätzliche Einmal-PINs auszuspähen oder die Anwenderin, den Anwender dazu zu bringen eine Zahlung freizugeben. Im Unternehmensumfeld gibt es z. B. den sogenannten «CEO-Fraud», bei dem Mitarbeitende der Buchhaltung vom vermeintlich im Ausland befindlichen CEO kontaktiert werden, um dringend Geld zu überweisen.

Philipp Rütsche: Ransomware ist, wie Falk bereits erwähnt hat, die Kombination von Schadsoftware und Erpressung und trifft gleichermassen Unternehmen wie Privatpersonen. Privatpersonen werden in der Regel um einige hundert Dollar erpresst. Bei Firmen ist der Schaden in der Regel jedoch grösser, durchschnittlich ca. 1.5 Mio. € in Deutschland.

Wenn Sie in die Zukunft blicken: Wie könnten solche Attacken in einem Jahr, in fünf oder zehn Jahren aussehen?

Falk Kohlmann: Die Attacken werden weiter an Intelligenz zunehmen. Ein Beispiel könnten sogenannte Deep-Fakes sein, wo z. B. vermeintlich Menschen in einem Kontext interagieren, der so nie stattgefunden hat. Die vorher angesprochene «CEO-Fraud» Betrugsmasche kann dadurch eine neue Dimension bekommen. Ein weiteres Beispiel ist die Weiterentwicklung von intelligenten Chatbots (Dialogsysteme zum Chatten mit einem technischen System) für Social Engineering-Attacken auf Mitarbeitende oder Kundinnen und Kunden. Viele von uns haben in jüngster Zeit vielleicht ChatGPT von OpenAI ausprobiert. Dort erhält man eine Ahnung, dass es zukünftig viel schwieriger werden dürfte, einen Menschen von einer Maschine zu unterscheiden. Eine weitere mögliche Entwicklung berücksichtigt die fortlaufend wachsende Rechenleistung. Sollte in fernerer Zukunft beispielsweise Quantum Computing Realität werden, erhöht dies die verfügbare Rechenleistung um ein Vielfaches. Dies wiederum kann dann für bestimmte Cyberattacken (Knacken von Verschlüsselungsverfahren) eingesetzt werden.

Philipp Rütsche: Jede positive Entwicklung – nicht nur im IT-Bereich – und jeder Fortschritt kann aufgrund der kriminellen Energie ins Gegenteil verkehrt werden. Cyberkriminelle machen sich die neusten Entwicklungen zunutze und werden immer professioneller. Ich prognostiziere deshalb auch vermehrte Angriffe auf IoT, Internet of Things, z. B. Fahrzeuge, Hausautomation, Verkehrssteuerungen und kritische Infrastrukturen. Ein düsteres Zukunftsszenario könnte lauten «Vollständig automatisierte Attacken durch künstliche Intelligenz».

Laut Fachleuten spiele der Faktor Mensch eine zentrale Rolle und die Technik lediglich eine untergeordnete. Wie ist das zu verstehen und sind Sie derselben Meinung?

Philipp Rütsche: Der Mensch ist nach wie vor die entscheidende Komponente, wenn aus Sicht der technischen Sicherheit alles Notwendige gemacht wurde. Über 90 % der erfolgreichen Angriffe starten mit einer Phishing-E-Mail, die ein Mensch öffnet und Links anklickt oder Anhänge öffnet. Im Sicherheitsdispositiv eines Unternehmens, aber auch im Privaten, ist deshalb die Sensibilisierung und fortlaufende Weiterbildung der Personen ein enorm wichtiges Element, um für die sich stetig entwickelnden Angriffe gewappnet zu sein. Letztlich ist es ein Zusammenspiel von Mensch und Technik, das Angriffe entdecken und abwehren hilft.