Wie Unternehmen ihre Identität in der heutigen digitalen Welt schützen – mit Leonardo Dicaprio

bei

 / 9. November. 2020

Der Schutz digitaler Identitäten spielt im geschäftlichen sowie privaten Kontext in Zeiten der Digitalisierung eine immer größere Rolle, da der Diebstahl von Identitäten für Cyberkriminelle oft besonders lohnenwert ist und hier ein immenser Schaden entstehen kann. Doch unsere allgemeine Definition vom Begriff „Identitätsdiebstahl“ hat sich innerhalb der letzten Jahrzehnte drastisch gewandelt. In dem Film „Catch Me If You Can“ etwa betrog Leonardo DiCaprio (als Betrüger Frank Abagnale) Flugbegleiter (er gab vor, Pilot zu sein), seinen zukünftigen Schwiegervater (er gab vor, Anwalt zu sein) und sogar seinen Vater (er betrieb Kreditkartengaunereien auf seine Kosten). Im Wesentlichen zeigte der Film, dass Identitätsdiebstahl am besten funktioniert, wenn er glaubwürdig ist.

Heute gilt: Hacker sind hinter allen Personen her, die eine glaubwürdige Identität haben. Sie existieren. Sie sind real. Ohne das Internet verließ sich Abagnale auf traditionelle Methoden – heute hat der Schutz unserer Identitäten eine ganz neue Bedeutung erhalten und erfordert eine komplett neue Schutzebene. Hier ist aktive Anstrengung gefordert, um sich zu schützen. In diesem Zeitalter des intensiven Austauschs – unsere Namen, Geburtstage, Adressen, Wochenendpläne, Einkaufslisten, etc. – war das Thema „Identität“ als Stellvertreter für Betrügereien nie greifbarer als jetzt.

Die heutige Sicht: Identitäten sind heiß begehrt

Auch das Bundeskriminalamt sieht in dem Phänomen Identitätsdiebstahl ein großes Problem und beschreibt die Entwendung digitaler Identitäten in seinem aktuellen Lagebericht Cybercrime sogar als „Ausgangspunkt und ‚Treibstoff‘ einer Vielzahl krimineller Verwertungsmodelle der Cybercrime.“

In anderen Worten, das Abgreifen von digitalen Identitäten ist oftmals die Hauptmotivation hinter einer Vielzahl von Angriffen von Cyberkriminellen. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) spricht in seinem aktuellsten Bericht zur IT-Sicherheit in Deutschland von einer neuen Qualität an Cyber-Angriffen, die sich auch durch mehrere große Fälle von Identitätsdiebstahl innerhalb der Jahre 2018 und 2019 zeigte. In dieser Zeit betroffen waren unter anderem Nutzer Sozialer Netzwerke und Kunden großer Hotelketten, hunderte Persönlichkeiten des öffentlichen Lebens wie etwa Politiker im Zuge eines Doxing-Vorfalls im Januar 2019, sowie hunderte Millionen andere Internetnutzer, deren Daten im Zuge der als „Collection #1“ bis „Collection #6“ bezeichneten Vorfälle öffentlich im Internet zugänglich waren. Laut BSI ist nicht nur die Häufung solcher Vorfälle bemerkenswert, sondern auch die große Menge der abgeflossenen und im Internet veröffentlichten persönlichen Daten.

Vom Nicht-Zulassen, dass ein Hacker die eigene Identität übernimmt

Unsere Transparenz ist zu unserer größten Schwäche geworden, da die Fähigkeit, die Rolle einer anderen Person einzunehmen – ob echt oder gefälscht – unser Leben durchdringt. Alles, was es braucht, ist der Klick auf einen Link in einer Phishing-E-Mail, die Auskunft über wichtige Informationen oder die Weitergabe eines wiederverwendeten Passworts, die es einem Betrüger ermöglichen, „unter dem Radar“ zu verschwinden und die Identität einer anderen Person anzunehmen. Die Frage, die sich hier stellt ist also: Wie können wir unsere digitalen Identitäten sowohl weiterhin nutzen, als auch diese schützen?

Einen Zero-Trust-Ansatz verfolgen

Zero Trust ist ein Konzept, das sich in der Sicherheits-Community durchgesetzt hat. Es mag das Schlagwort des Jahrzehnts sein, und jeder hat es wahrscheinlich schon millionenfach gehört – aber das Konzept ist in der heutigen Zeit von großer Bedeutung, um sicher zu bleiben. Denn Tatsache ist Folgendes: Man kann niemandem wirklich vertrauen.

Im Geschäftskontext sollte das zu diesem Zeitpunkt bereits die Grundannahme sein, aber es ist höchste Zeit, dass wir alle damit beginnen, dies als unsere Ausgangsbasis zu übernehmen. Bevor  jemandem Zugang zu Informationen gewährt wird, sollten Nutzer sich vergewissern, dass diese Person auch diejenige ist, für die sie sich ausgibt. Hier sollte man sich immer absichern, dass die eigenen Daten nicht an Dritte weitergegeben werde, mit denen diese eigentlich nicht geteilt werden sollten. In der heutigen Zeit kommen Daten einer Währung gleich – und in den falschen Händen können sie in mehr als einer Hinsicht Kosten verursachen.

Vor dem Klicken gilt: Überlegen

Weltweit kostet E-Mail-Betrug Unternehmen und Verbraucher jährlich weit über 12 Milliarden Dollar. Diese Zahl ist ein Beweis dafür, wie ein einfacher Klick auf einen Link einen Tsunami-Effekt haben kann. Die beste Vorgehensweise besteht darin, jede E-Mail und jeden darin enthaltenen Link vor dem Anklicken genauestens zu überprüfen und keine Informationen in Formulare einzugeben, ohne sicher zu sein, dass man dabei nicht die Schlüssel zur eigenen digitalen Identität übergibt. Denn: Auch Phishing-E-Mails werden nicht weniger. Vor einigen Monaten fand eine Phishing-Simulation eines Verizon-Mitarbeiters, der am jährlichen Data Breach Investigations Report arbeitete, heraus, dass von ca. 16.000 Personen fast dreimal so viele nicht nur auf einen Phishing-Link klickten, sondern auch ihre Anmeldedaten auf der simulierten Anmeldeseite angaben. Die gefälschten E-Mails enthielten Informationen über das Coronavirus; das Ausnutzen der Angst bei weltbewegenden Ereignissen ist ein von Betrügern häufig genutztes Trojanisches Pferd – aber, es kann jedem jederzeit passieren.

Ein renommierter Phishing-Experte etwa fiel auf eine Phishing-E-Mail herein, weil er ein passionierter Amazon-Shopper ist. Er war müde als die Nachricht eintraf, und dachte verständlicherweise, dass seine Kreditkarte bei der Zahlung abgelehnt wurde. Lange Rede, kurzer Sinn: Das war sie nicht, und er musste in sehr kurzer Zeit eine Menge Schadensbegrenzung betreiben. Selbst wenn Nutzer müde sind, selbst wenn sie denken, dass es sicher ist, sollten sie sich an folgendes Mantra halten: Vor dem Klicken gilt: Überlegen.

Mehrere Schichten sorgen für größeren Schutz

So wie wir uns mithilfe mehrerer Schichten vor den Risiken der Elemente in der physischen Welt schützen, so ist es auch von entscheidender Bedeutung, sich davor zu schützen, überhaupt erst zur Zielscheibe zu werden. Indem den Betrügern das Leben erschwert wird, kann auch sichergestellt werden, dass die Schockwellen der Konsequenzen eines Angriffs weniger verheerend sind, wenn man das Opfer einer Attacke geworden ist.

Eine Ebene dieser Schichten ist: Software sollte immer auf dem neuesten Stand sein, eine Zwei-Faktor-Authentifizierung sollte unbedingt verwendet werden und Nutzer sollten gründlich und sorgfältig nachdenken, bevor Sie handeln. Der andere Schlüssel zu mehr Schutz ist, wie eine Schlange zu denken – dies bedeutet auch, seine „alte Haut abzulegen“. Was damit gemeint ist: Es ist sinnvoll sich einen Schredder zu besorgen, (oder auch eine Schere zu verwedend) und alte sensible Dokumente in Stücke zu reißen.

Heutzutage ist es mit wenig Aufwand möglich, sich glaubhaft als eine andere Person auszugeben, da Kostüm und Theatralik meist nicht mehr nötig sind. Gerade deswegen war es noch nie so wichtig wie jetzt, das Thema „Identität“ als den Treiber unserer Zukunft – konkreter der Zukunft unserer Unternehmen – zu sehen und diese Identität maximal zu beschützen. Übrigens: Frank Abagnale arbeitet jetzt für das FBI – er hat seinen schwarzen Hut gegen einen weißen eingetauscht.

 

Über den Autor:


Volker Sommer ist Area Vice President DACH bei SailPoint, einem Anbieter von Lösungen aus dem Bereich Identitätsmanagement.