2022: Fünf Bedrohungen und ihre Auswirkungen auf personenbezogene Daten und Privatsphäre 

Illustration: Absmeier, Kellepics

 

Es wird immer schwieriger, online zu erkennen, was legitim ist und was nicht

Anzeige

 

Im ersten Quartal 2021 stießen 4 von 10 Anwendern bei der Nutzung ihrer Mobilgeräte auf einen unsicheren Link – weniger als ein Jahr später, im dritten Quartal 2021, waren es bereits 5 von 10. Ein Trend, der sich fortsetzen wird, denn die Zahl der Phishing-Scams über SMS, E-Mail und soziale Medien steigt weiter.

Für Angreifer ist es ausgesprochen effizient, Millionen von Nachrichten an Verbraucher zu senden. Nur wenige müssen den Köder schlucken, damit die Aktion profitabel ist. Einige Phishing-Scams lassen sich leicht erkennen, bei »Spear Phishing« ist das sehr viel schwieriger. Hier werden Teile der eigenen Identität mit kontextbezogenen Informationen kombiniert (z. B. der eigene Name und eine Nachricht, die scheinbar von der Hausbank kommt) – so ist nicht unbedingt ersichtlich, ob es sich um legitime Nachrichten handelt oder nicht.

Phishing-Angriffe wirken so täuschend echt, dass nur ein Drittel (33 %) der Verbraucher die echte Google-Login-Website zuverlässig von der gefälschten Website unterscheiden konnte [1].

Inzwischen sind neue Technologien aufgetaucht, die es erlauben, Fotos und Filme so zu verändern, dass es selbst für ein geschultes Auge extrem schwierig ist, zwischen echt und gefälscht zu unterscheiden. »Deepfakes« sind überzeugend gefälschte Bilder und Videos, die mit KI-Software erstellt wurden und mit frei verfügbarer Software produziert werden können. Ein Beispiel für den Einsatz der Deepfake-Technologie erlangte dieses Jahr große Aufmerksamkeit, als ein Grafikdesigner ein »Tom Cruise« Deepfake-Video kreierte, das auf TikTok viral ging. Millionen von Aufrufen später ist klar, dass diese Technologie nicht nur der Unterhaltung dient, sondern auch ein großes Potenzial hat, das Publikum mit digitalen Manipulationen zu täuschen. Als man Benutzern den Clip eines echten Tom Cruise-Interviews neben einem »Deepfake«-Tom Cruise-Filmclip zeigte, waren 61 % der Nutzer nicht in der Lage, zwischen dem echten und dem gefälschten Tom Cruise korrekt zu unterscheiden.*

Die Deepfake-Technologie wird inzwischen in immer extremeren Varianten eingesetzt. In diesem Jahr gelang es Angreifern bei einem Bankraub 35 Millionen Dollar zu erbeuten. Sie nutzten die Deepfake-Technologie, um die Stimme eines CEO der Bank zu klonen und Bankangestellte dazu zu bringen, sensible Daten auszuhändigen. Angriffe dieser Art sind zwar nicht gerade alltäglich, aber sie zeigen, dass die Technologie das Potenzial hat, die Echtheit von Videos, Bildern und Nachrichten zunehmend in Frage zu stellen. Es gilt also, Verbraucher zukünftig sowohl vor simplen als auch vor komplexen Scams zu schützen.

 

Wenn private Daten offengelegt werden

Schon im Oktober dieses Jahres übertraf die Zahl der Datenschutzverletzungen 2021 den Gesamtwert des kompletten Jahres 2020, wobei annähernd 281,5 Millionen Menschen betroffen waren. 2021 wurden im Rahmen dieser massiven Datenschutzverletzungen persönliche Daten von Verbrauchern offengelegt, wie E-Mails, Passwörter und Sozialversicherungsnummern.

2018 wurden 2,2 Milliarden Datensätze infolge von Datenschutzverletzungen gestohlen, und 2017 kompromittierte allein die Datenschutzverletzung bei Equifax die sensiblen Daten von 143 Millionen Amerikanern – fast die Hälfte der Bevölkerung des Landes. Daten von Lookout zeigen, dass durchschnittlich bei 80 % der Verbraucher E-Mails im Darknet geleakt wurden, bei 70 % wurde die Telefonnummer kompromittiert, bei 10 % der Führerschein und bei 7 % die Sozialversicherungsnummer.

 

Mehr als 80 % der E-Mails wurden im Dark Web offengelegt. Ob Ihre dazugehört können Sie hier nachprüfen: https://protection.lookout.com/pages/email-check

 

Angreifer werden auch weiterhin Online-Konten kompromittieren und wichtige personenbezogene Daten und finanzielle Informationen abziehen. Ein Konto wird kompromittiert, wenn sich ein Angreifer auf unterschiedlichen Wegen Zugang zu einem Online-Konto verschafft – z.B. wenn ein schwaches Passwort benutzt, für andere Websites wiederverwendet oder durch eine Datenschutzverletzung offengelegt wurde. Tatsächlich verwenden immer noch 60 % der Nutzer identische Passwörter für unterschiedliche Konten.

Dazu kommen Passwörter, die mit öffentlich zugänglichen Informationen verknüpft sind, etwa aus persönlichen Social-Media-Profilen. In einer kürzlich durchgeführten Umfrage von Lookout räumten 26 % der Befragten ein, dass ihre Facebook-Konten öffentlich seien, viele verwenden persönliche Hinweise, die sie in ihren Profilen gepostet haben, als Passwörter für Online-Konten: 60 % verwenden ihr Geburtsdatum, 30 % posten Namen und Informationen über Familienmitglieder und 47 % geben ihren Heimatort an.

Informationen, die sich leicht aus Posts in sozialen Medien abgreifen und für unberechtigte Login-Versuche nutzen lassen.

Zusätzlich machen Angreifer sich Techniken zunutze, um Sicherheitstools zu umgehen, die Online-Konten schützen sollten. Ein Beispiel ist die 2-Faktor-SMS-Verifizierungscode-Technologie. Dabei wird ein Pin-Code an ein Mobilgerät geschickt, bevor der Zugriff auf ein Online-Konto gestattet wird. Bei einer Betrugsmasche, die als »Sim Swapping« bezeichnet wird, versuchen Angreifer, Mobilfunkanbieter davon zu überzeugen, dass sie eine Telefonnummer auf ein anderes Gerät portieren müssen. Oft genügen dazu ein paar wichtige Identifikationsmerkmale wie Name und Sozialversicherungsnummer (Informationen, die nach Datenschutzverletzungen häufig im Dark Web verfügbar sind), damit ein Angreifer die Änderung autorisieren und den Autorisierungscode auf ihr Gerät umleiten können.

 

Kryptowährung wird alltäglicher, Krypto-Scams folgen

Im vergangenen Jahr haben digitale Währungen wie Bitcoin und Ethereum an Wert und Beliebtheit gewonnen. In einem Zeitraum von 12 Monaten kauften oder handelten 13 % der Amerikaner mit Kryptowährungen, verglichen mit 24 %, die im gleichen Zeitraum in Aktien investierten. Mit der wachsenden Beliebtheit von Kryptowährungen bei neuen Investoren steigt auch die Zahl der Krypto-Scams. Nach Angaben der Federal Trade Commission haben Verbraucher zwischen Oktober 2020 und Mai 2021 mehr als 80 Millionen US-Dollar durch Scams mit Investitionen in Kryptowährungen verloren – mit einem durchschnittlichen Verlust von 1.900 US-Dollar. Verglichen mit dem Vergleichszeitraum des Vorjahres entspricht dies einer etwa 12-fachen Anzahl von Meldungen und einem Anstieg der gemeldeten Verluste um fast 1.000 %. Dabei werden jüngere Menschen offensichtlich häufiger Opfer von Krypto-Scams als andere Zielgruppen. Tatsächlich gaben Verbraucher im Alter von 20 bis 49 Jahren an, mehr als fünfmal häufiger als ältere Altersgruppen, durch diese Scams Geld verloren zu haben. Angesichts kursierender Geschichten von angeblichen Krypto-Millionären, die nur geringe Mengen einstmals obskurer Kryptowährungen wie Doge ($DOGE) und Shibhu Inu ($SHIB) gekauft hatten und innerhalb weniger Monate zu Millionären wurden, tun ein Übriges. Unerfahrene Anleger sind versucht, den Erfolg zu wiederholen und Betrüger nutzen genau diese Blauäugigkeit für sich aus. Squid Coin, das sich die Popularität der Netflix Original Serie »Squid Game« zunutze gemacht hat, sammelte erfolgreich 3,4 Millionen Dollar an Anlegergeldern ein. Nur damit der ursprüngliche Erfinder der Währung das Geld einsacken und damit verschwinden konnte. Die Anleger standen mit leeren Händen da.

Krypto-Scams treten in verschiedenen Varianten auf, z.B. geben sich die Angreifer in den sozialen Medien als bekannte Investoren oder Prominente aus, um die Nutzer zu verleiten, Kryptogeld auf gefälschte Konten zu senden. In einem Fall haben Betrüger, die sich in den sozialen Medien als Elon Musk ausgaben, Benutzer dazu gebracht, Kryptowährung im Wert von über 2 Millionen Dollar zu übertragen. Bei einem anderen Krypto-Scam erhielt ein Coinbase-Kunde eine Phishing-Benachrichtigung auf sein Gerät – scheinbar von Coinbase – mit dem Hinweis, dass sein Konto gesperrt worden sei. Der Kunde rief die Nummer in der Benachrichtigung an und sprach mit einem Mitarbeiter, um den Zugang zu seinem Konto wiederherzustellen. Innerhalb weniger Minuten wurde klar, dass er betrogen worden war und Betrüger 11,6 Millionen Dollar seiner Kryptowährung gestohlen hatten.

Kryptowährung ist bereits die bevorzugte Zahlungsmethode bei Ransomware-Kampagnen. Ransomware und Scams, die sich gegen Verbraucher richten, versuchen in der Regel, Nutzer zu überzeugen, Geschenkkarten für Amazon und App-Stores zu kaufen, um damit das Lösegeld zu zahlen. Das hat dazu geführt, dass Händler Gegenmaßnahmen ergriffen haben, um zu verhindern, dass jemand ohne weitere Erklärung Geschenkgutscheine mit hohen Geldwerten erwerben kann. Für Verbraucher wird es immer einfacher, Kryptowährungen zu kaufen und zu versenden. Kryptowährungen werden die Geschenkkarten ablösen und für Ransomware und Scams zur vorherrschenden Zahlungsmethode werden.

Kryptowährungen sind nicht staatlich rückversichert, und Zahlungen können nicht rückgängig gemacht werden. Damit ist das Risiko für Verbraucher besonders hoch. Aufgrund der wachsenden Akzeptanz von Kryptowährungen, werden die entsprechenden Scams komplexer werden, sich weiter verbreiten und die verhandelten Summen steigen.

 

Mit der zunehmenden Verbreitung von IoT und »vernetzten Geräten« werden die Datenschutzbedenken hinsichtlich der erfassten Daten zunehmen 

Heute existieren mehr vernetzte Geräte als Menschen. Über 77 % der Haushalte mit WLAN-Netzwerk, gaben 2021 an, mindestens ein Smart-Home-Gerät zu besitzen, verglichen mit 65 % nur ein Jahr zuvor, so das Forschungsunternehmen IDC.

Während die Verbreitung des IoT sprunghaft angestiegen ist und Geräte von Sprachassistenten bis hin zu intelligenten Schlössern und Kameras den Alltag erleichtern sollen, stellt diese Technologie besondere Anforderungen an Sicherheit und Datenschutz für den Verbraucher. Tatsächlich gaben in einer kürzlich durchgeführten Umfrage fast zwei Drittel der Verbraucher an, dass sie die Art und Weise, wie ihre vernetzten Geräte Daten über ihre persönlichen Gewohnheiten erheben, beängstigend finden.

2019 wurde berichtet, dass Amazon-Mitarbeiter angeheuert wurden, um Gespräche abzuhören, um die »Spracherkennung und das natürliche Sprachverständnis« von Alexa zu verbessern. Die Tatsache, dass Gespräche ohne die Einwilligung des Benutzers aufgezeichnet werden konnten, schärfte das Bewusstsein der Anwender und sorgte für Besorgnis darüber, wie vertrauenswürdig Geräte mit »ständig mithörenden« Mikrofonen überhaupt sein können.

Die Sicherheitsbedenken der Verbraucher bestätigten sich, als im August 2021 eine Schwachstelle gemeldet wurde, die 83 Millionen vernetzte Geräte, darunter auch Sicherheitskameras, betraf und es einem böswilligen Akteur ermöglichte, auf Video- und Audiodaten zuzugreifen und möglicherweise die Fernsteuerung über diese Geräte zu übernehmen.

Während die Hersteller an der Veröffentlichung von Updates arbeiten, um diese Schwachstellen zu beheben, erfordern Fixes häufig, dass Benutzer ihre Software manuell updaten. Oder es vergehen Tage, Wochen oder Monate von der Entdeckung einer Schwachstelle bis zur Bereitstellung eines Fixes – und Verbraucher währenddessen dem Risiko eines Angriffs ausgesetzt sind.

Während Geräte mit Video- und Sprachverbindung das Bewusstsein für die Sensibilität der gesammelten Verbraucherdaten geschärft haben, gibt es bei einer Vielzahl weiterer IoT-Geräte – insbesondere bei medizintechnischen Geräten – erhebliche Datenschutzbedenken. Ende 2020 waren weltweit schätzungsweise 450 Millionen solcher Geräte im Einsatz. Es wird erwartet, dass diese Zahl bis 2025 jährlich um 10 Prozent auf dann mehr als 700 Millionen ansteigen wird [2]. Zu diesen Geräten zählen traditionelle Überwachungsgeräte, aber auch implantierbare Geräte wie drahtlose Defibrillatoren und oral einzunehmende Mikrogeräte. Die Sicherheitsbedenken im Gesundheitswesen sind naturgemäß besonders groß. Das Vertrauen darauf, dass die Geräte wie vorgesehen funktionieren, kann schließlich zu einer Frage von Leben und Tod werden. Sicherheitsvorkehrungen, die sowohl vor dem Hacken eines IoT-Geräts schützen als auch die von diesen Geräten erfassten privaten Daten und Analysen, werden 2021 und darüber hinaus unerlässlich sein.

 

Jeder wird getracked … und jeder will mehr Anonymität 

Immer wenn Sie eine E-Mail senden, eine Online-Suche starten oder ein Foto in den sozialen Medien teilen, hinterlassen Sie unweigerlich eine Spur von personenbezogenen Daten, Ihren »digitalen Fußabdruck«. Zu diesen Daten zählen Aktivitäten innerhalb einer App und online, aber auch physische Daten – wie z.B. der Standort. Technologieunternehmen sammeln diese Daten, um das Nutzererlebnis anzupassen und die Navigation zu erleichtern. Benutzer sind sich jedoch nicht immer darüber im Klaren, wie viele personenbezogene Daten dabei erfasst werden – und  fühlen sich mit dieser Erkenntnis keineswegs besonders wohl.

Ihr E-Mail-Anbieter hat beispielsweise die Möglichkeit, den Inhalt Ihrer privaten E-Mail-Nachrichten zu durchsuchen, und Ihr Suchanbieter kann den Suchverlauf und die von Ihnen besuchten Websites nachvollziehen. Sobald Sie eine Website besuchen, werden Sie aufgefordert, Cookies zu akzeptieren. Die gibt es in 2 »Geschmacksrichtungen« – First-Party-Cookies und Third-Party-Cookies. Ein First-Party-Cookie ermöglicht es, Ihr Verhalten zu beobachten und Ihnen spezifische Inhalte über die jeweiligen Dienste anzubieten. Ein Third-Party-Cookie hingegen gewährt einer Vielzahl anderer Unternehmen (wie Werbeagenturen oder Analyseplattformen) Zugriff, um Einblicke in Ihre Surfgewohnheiten zu bekommen. Wenn Sie ein Third-Party-Cookie akzeptieren, beginnen Sie unmittelbar damit, Informationen über sich selbst an externe Organisationen weiterzugeben – von denen einige Ihnen wahrscheinlich völlig unbekannt sind.

Nachrichten, Suchanfragen und Standortverläufe bis hin zur Art und Weise, wie Sie sitzen oder gehen – machen Ihren digitalen Fußabdruck aus. Der liefert ein äußerst genaues und eindrucksvolles Profil, das viele Nutzer mindestens störend, wenn nicht sogar verstörend finden. Folglich wollen immer mehr Nutzer ihre Privatsphäre schützen, indem sie das Tracking ihrer Aktivitäten durch Dritte einschränken, um sich online freier und anonymer bewegen zu können.

2021 haben Technologieunternehmen wichtige Schritte unternommen, um neue Datenschutzfunktionen bereitzustellen, die das digitale Tracking einschränken und den Verbrauchern mehr Transparenz und Kontrolle geben. Apple hat mit dem Update iOS 14.5 damit begonnen, die Zustimmung des Benutzers zu verlangen, bevor Cookies von Drittanbietern zugelassen werden, und Google hat angekündigt, Cookies im Chrome-Browser in den kommenden Jahren abzuschaffen. Dieser Trend wird sich fortsetzen, andere Technologieunternehmen folgen. 2022 können wir ein verstärktes Augenmerk auf digitales Tracking erwarten, und einen wachsenden Bedarf an Lösungen, die mehr Privatsphäre und Anonymität bieten.

Zusammenfassend lässt sich sagen, dass 2022 noch größere Risiken für unsere digitale Sicherheit, Privatsphäre und Finanzen in petto hat. Schlicht, weil wir einen größeren Teil unseres Lebens online verbringen.

 

Die gute Nachricht: Es gibt Vorkehrungen mit denen Verbraucher sich besser schützen können

  1. Bleiben Sie gegenüber Online- und Krypto-Scams wachsam

Denken Sie immer daran: Nicht alles, was Sie online sehen, ist echt. Wenn ein Angebot zu schön ist, um wahr zu sein, dann ist das wahrscheinlich auch so. Das Gleiche gilt für alarmierende Mitteilungen. Wenn eine SMS oder E-Mail als äußerst dringlich gekennzeichnet ist oder Sie auffordert, Geld zu senden oder Maßnahmen bezüglich Ihres Kontos zu ergreifen, halten Sie inne und prüfen Sie den Sachverhalt direkt an der Quelle, um zu überprüfen, ob sie legitim ist. Senden Sie niemals Geld (weder in traditioneller oder Kryptowährung) an Quellen, die Sie nicht persönlich verifizieren können. Phishing-Angriffe sind mit bloßem Auge immer schwerer als solche zu erkennen. Ziehen Sie den Einsatz von fortschrittlichen Sicherheitslösungen in Betracht – mit Malware- und Safe Browsing-Schutz – die alle Apps und Links scannen, auf die Sie klicken, und Bedrohungen blockieren, bevor sie Schaden anrichten.

  1. Kontenvor Kompromittierung schützen

Verwenden Sie grundsätzlich starke und eindeutige Passwörter. Sollte das Passwort eines Kontos durch eine Datenschutzverletzung geleakt werden, ändern Sie sofort Ihr Passwort.

Aktivieren Sie Zwei-Faktor-Authentifizierung (wie Google Authenticator) anstelle der SMS-Validierung. Zwei-Faktor-Authentifizierung bietet mehr Sicherheit, selbst wenn die Anmeldeinformationen kompromittiert wurden oder das Handy Ziel eines SIM-Swapping-Scams ist. Aktivieren Sie schlussendlich die sofortige Benachrichtigung bei Datenschutzverletzungen und die persönliche Identitätsüberwachung, und überwachen Sie Ihre personenbezogenen Daten auch weiterhin, um Konten und Identität vor einem Diebstahl zu schützen.

  1. Schützen Sie Ihre personenbezogenen Daten& geben Sie diese nur bei Bedarf weiter

Überlegen Sie zweimal, bevor Sie personenbezogene Daten weitergeben. Fragen Sie sich ruhig zweimal, warum ein Unternehmen Ihre E-Mail-Adresse abfragt und was damit anzufangen ist. Wenn eine Firma nach Geburtsdatum, Führerscheindaten oder Telefonnummer fragt, können Sie die Weitergabe dieser Daten ablehnen.

Sie können zudem erwägen, die Nutzung Ihrer personenbezogenen Daten für Werbezwecke abzulehnen. Bei einigen Online-Diensten haben Sie diese Möglichkeit z. B. bei: YouTube, Amazon, Twitter und LinkedIn.

 

Zusätzliche Quellen

[1] Lookout hat im November 2021 eine Umfrage unter 2.000 Verbrauchern in Auftrag gegeben.

[2] McKinsey & Company Report: The Internet of Things: Catching up to an accelerating opportunity (November 2021)