Am Ende hängt doch alles am Menschen: Wenn man sein Passwort weitergibt, die Zweifaktor-Authentifizierung ausschaltet oder Geld an Kriminelle überweist, nützt ein ausgeklügeltes Sicherheitssystem wenig. Und auch wenn es abgedroschen klingt: Der Faktor "Mensch" wird oft noch unterschätzt, besonders wenn man sich vergegenwärtigt, wie viele heikle Informationen im Netz publiziert sind. Und wie einfach diese mittlerweile mit den richtigen Tools und Methoden gesammelt werden können – raffiniertere Google-Befehle genügen bereits für erstaunliche Resultate. Wenn die Angreifer dann noch über grosse Ressourcen verfügen, wird es richtig düster.
Ob gezielte Phishing-Mails, CEO-Fraud, Schockanrufe oder Stalking: Ganz eliminieren lässt sich die Gefahr nicht, aber sie lässt sich minimieren und managen. Wie das geht, weiss Christina Lekati, Spezialistin für Social Engineering und Open Source Intelligence (OSINT). An der diesjährigen
Swiss Cyber Storm in Bern wird sie über den "Human Factor" sprechen. Wir haben uns im Vorfeld mit ihr unterhalten.
Frau Lekati, Sie haben sich viel Wissen in Social Engineering und Open Source Intelligence (OSINT) angeeignet, dennoch findet man einige Spuren von Ihnen im Internet. Was wollen Sie dort auf keinen Fall sehen?
Christina Lekati: Ich achte darauf, dass sensiblen Angaben wie Wohnadresse und Telefonnummer nicht zu finden sind. Meine privaten Social-Media-Accounts habe ich zudem verborgen. Wenn man etwas preisgibt, sollte man sich immer fragen: Dürfen Kriminelle in den Besitz der Informationen gelangen? Und wofür könnten sie diese missbrauchen?
Wie kann man seine Fussabdrücke verkleinern?
Entweder ist man sehr darauf bedacht, welche Informationen man offenbart oder man produziert viel "Lärm". Beim zweiten Ansatz benutzt man verschiedene Mailadressen und variiert private Informationen, wenn man sie angeben muss. Das hat Vorteile: Bei einem Data Breach ist man nicht komplett exponiert und es ist auch nicht sofort klar, welche Angaben aktuell sind.
Die Gesichtssuchmaschine Pimeyes machte immer wieder Schlagzeilen mit ihrem umstrittenen Geschäftsmodell: Für Geld kann man sein Gesicht aus den Suchresultaten entfernen lassen, die aber das Bedrohungsszenario teilweise erst schaffen. Wie sinnvoll ist ein Antrag auf Löschung?
Sind Informationen erstmal öffentlich, lassen sie sich oft nur noch schwer entfernen. Neben Pimeyes gibt es etwa Yandex oder Google Lens, die Gesichtsbilder relativ verlässlich aufspüren. Man sollte von Anfang an vorsichtig sein und bei Services Opt-out wählen oder auf Social-Media-Plattformen Privacy-Einstellungen nutzen. Auch wenn man sich daran hält, sollte man Inhalte streng kuratieren.
Vorsicht ist auch im Internet besser als Nachsicht.
Ja, viele Leute verstehen nicht, dass das Internet eine Parallelwelt ist. Wenn man in einer gefährlichen Stadt spazieren geht, gibt man ja auch besonders acht.
Sie arbeiten und forschen seit etwa 7 Jahren zu dieser Parallelwelt. Wie hat sich die Situation bei Informationsbeschaffung und Social Engineering verändert?
Während Corona sind ungemein viele Daten dazugekommen. Kriminelle haben rasch Vorteile aus der Informationsfülle gewonnen. Zwar haben Verantwortliche in Firmen ebenfalls reagiert, aber sie sind langsamer. Heute gibt es vielerorts Passwortmanager und ein Identity-Management, aber Richtlinien für Social-Engineering-Angriffe sehen wir selten. Dabei findet sich das unter den drei Top-Angriffsvektoren.
Die Informationen, die für Angriffe auf Personen genutzt werden, stammen meist aus öffentlich zugänglichen Quellen. Sie zu sammeln und auszuwerten nennt man Open Source Intelligence (OSINT), die auch bei der Verteidigung eine Rolle spielt. Was nutzt die Methode gegen Cyberkriminelle?
Wir wissen, dass Kriminelle OSINT-Methoden nutzen, und wir versuchen schneller zu sein. Wenn wir Kenntnis über die zirkulierenden Informationen haben, können wir uns besser gegen Angriffe schützen, die sich darauf stützen. Vor allem bei hochrangigen Personen, die oft gezielt angegriffen werden, ist das wichtig. Man muss aber erstmal das Know-how dazu haben.
Sie waren Mitglied des Osint Curious Projects, das neue Tools, Frameworks und Methoden vorstellte, um die Community mit Infos zu versorgen. Warum wurde das Projekt aufgelöst?
Es ist stark gewachsen und die Community wollte mehr und mehr Content. Zugleich haben sich bei vielen aus dem Team die Lebensumstände verändert. Wir bekamen viel Feedback von Strafverfolgern, die sich beklagten, dass sie kaum Ressourcen für OSINT-Bildung hätten. Man muss verstehen: Es gibt heute nur noch wenig kriminelle Aktivitäten, die nicht auch digitale Spuren hinterlassen. Das kann die Strafverfolgung nutzen.
Die Methoden sind aber auch umstritten, weil man im Privatleben von Personen herumstochert. Was sind ethische Leitplanken, die man bei OSINT-Recherchen für gute Zwecke befolgen sollte?
Offizielle ethische Leitlinien gibt es nicht. Eine rote Linie ist für mich aber ganz klar, wenn man mit einer Veröffentlichung jemandem schadet, gerade wenn Informationen nicht verlässlich sind. Ich habe das auch schon von Journalisten erlebt.
Bei journalistischen OSINT-Arbeiten sollte man sich an denselben ethischen Richtlinien orientieren, wie bei Recherchen in der physischen Welt: etwa öffentliches Interesse und Privatsphäre abwägen sowie den Wahrheitsgehalt von Informationen sicherstellen. Sie arbeiten aber eher verdeckt.
Wenn wir bei unserer Arbeit im Bereich der Strafverfolgung öffentlich zugängliche Infos auswerten und strukturieren, tauschen wir diese nur mit den zuständigen Behörden aus.
Es ist ein verschwiegenes Geschäft. Können Sie sagen, für wen Sie OSINT-Recherchen und Social-Engineering-Tests durchgeführt haben?
Wir haben OSINT-Forschung und Social-Engineering-Aufträge für mehrere mittelgrosse und grosse Organisationen in der Schweiz und rund um den Globus durchgeführt. Zudem haben wir OSINT-Bewertungen für bestimmte Personen, in der Regel hochrangige Ziele, vorgenommen, um Schutzinformationen über sie zu erstellen und ihnen zu helfen, ihre Risiken zu verringern oder zu bewältigen. Mehr Details kann ich nicht nennen.
Wie haben sich die moralischen Leitplanken in den verschiedenen Ländern und Firmen unterschieden?
In der Schweiz ist klar: Wenn wir in einer Firma eine Person durchleuchten, dann teilen wir unsere Erkenntnisse nur mit dieser Person, je nach Auftrag und Dringlichkeit beziehen wir zudem das Security-Personal mit ein. Wenn wir Social Engineering einsetzen, achten wir streng darauf, der Person keinen Schaden zuzufügen. In den USA wird die Privatsphäre nicht so hochgeachtet wie hierzulande. Dort findet man im Internet meist Adressen, Stammbäume und ganze Kriminalakten.
Kriminell folgen kaum ethischen Richtlinien. Sind Ihnen besonders üble Praktiken aufgefallen?
Ja, Belästigung und Drohungen, die so weit führen können, dass das Opfer nicht mehr Schlafen und Arbeiten kann. Wir haben schon gesehen, dass CEOs gedroht wurde, Frau und Kindern etwas anzutun. Zur Drohung wurden Informationen über die Schule der Kinder mitgeschickt, die Kriminelle aus öffentlichen Quellen hatten. Wir haben solche Fälle auch in der Schweiz beobachtet.
Was müssen öffentliche Personen, Politikerinnen oder CEOs mit grossem Firmenbudget beachten?
Man kann die Gefahr nicht ganz eliminieren. Wir nutzen Risikomodelle, die je nach Situation und Bedrohungslage Massnahmen nahelegen. Wenn ein CEO an einer internationalen Konferenz teilnimmt, sollte er, je nach Lage, darauf schauen, dass Flug und Hotel nicht zu einfach herauszufinden sind. Unsere strategischen Empfehlungen konzentrieren sich in der Regel auf drei Ziele. Und zwar in dieser Reihenfolge: Risikobeseitigung, Risikominimierung, Risikomanagement. Dies hängt von den Umständen des Falles der öffentlichen Person ab.
Sie sind eine bekannte Rednerin an Konferenzen und pfuschen Kriminellen ins Handwerk. Sind Sie auch schon in den Fokus geraten?
OSINT ist meist passiv, man merkt es nicht, wenn jemand Informationen sammelt. Aber ja, ich hatte auch schon mit Leuten zu tun, die zu viel über mich wussten. Wenn ich an eine Konferenz reise, frage ich mich: Ist es ein Problem, wenn Leute mein Hotel kennen? Wie einfach lässt es sich herausfinden? Falls es einfach ist, kann ich die Gefahr nicht eliminieren. Aber ich kann sie managen und fragen: Gibt das Hotel meine Zimmernummer heraus?
Wenn man weiss, was mit öffentlichen Informationen möglich ist, wie wird man da nicht paranoid?
Man sollte nicht überängstlich werden, aber vorsichtig sein, wenn man Informationen preisgibt. Und es ist gut, über die Gefahren aufzuklären: Sprecht mit euren Kindern, aber auch mit den älteren Menschen darüber. Letztlich können Social-Engineering-Angriffe uns alle treffen.
Interessenbindung: Inside-it.ch ist Medienpartner der Swiss Cyber Storm, die am 24. Oktober im Berner Kursaal stattfindet. Christina Lekati wird dort darüber referieren, wie Schlüsselpersonen anvisiert, Profile erstellt und die Psychologie als Waffe eingesetzt wird. Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!