Zwei Cyberangriffe, die die Fragilität unserer digitalen Abwehr aufzeigen
In der zunehmend vernetzten Welt der Cybersicherheit sind die Schwächsten oft die begehrtesten Ziele. Die digitale Sicherheit ist nur so stark wie ihr schwächstes Glied. Und dieses Glied ist fast immer der Mensch.
Der Diebstahl des Kulturbonus: 500.000 Euro, die Achtzehnjährigen und dem Staat entwendet wurden
Stellen Sie sich vor, Sie werden achtzehn Jahre alt, erhalten endlich den lang ersehnten Kulturbonus – jene kleine digitale Schatztruhe von 500 Euro, die dazu gedacht ist, die Türen des Wissens zu öffnen – und entdecken, dass jemand ihn Ihnen gestohlen hat, noch bevor Sie ihn ausgeben können.
Dies ist Hunderten von jungen Italienern widerfahren, die auf der Plattform 18app registriert sind, über die die Boni abgewickelt werden. Ein maximaler Betrug zum Nachteil der Jugendlichen, aber de facto zum Nachteil des Staates.
Eine Operation, an der mindestens fünfzehn Personen in verschiedenen italienischen Regionen beteiligt waren, die alle wegen Beteiligung an Computerbetrug und schwerem Betrug untersucht werden. Die Kriminellen gingen mit chirurgischer Präzision vor und gaben sich als vertrauenswürdige Stellen wie Anbieter digitaler Identitäten oder Bankinstitute aus. Sie klonten die SPID-Zugangsdaten der jungen Erwachsenen, um dann parallele SPIDs zu erstellen, mit denen sie auf die Plattform zugriffen und den Bonus einlösten, der dann in fiktiven Geschäften ausgegeben wurde, die auf dieselben Täter des Betrugs zurückzuführen sind.
Der nächste Schritt des Betrugs war die Erstellung von gefälschten Rechnungen, mit denen Rückerstattungen vom Kulturministerium beantragt und erhalten wurden, wodurch die Gutscheine in Bargeld umgewandelt wurden.
Es handelte sich nicht um einen zufälligen Angriff, sondern um eine gezielte Operation, die die relative digitale Unerfahrenheit derjenigen ausnutzte, die sich zum ersten Mal mit der Welt der offiziellen digitalen Identität auseinandersetzen.
Das SPID, das öffentliche System für digitale Identität, sollte unser sicherer Schlüssel für öffentliche Online-Dienste sein. Doch diese Verletzung zeigt, dass auch die robustesten Systeme zusammenbrechen können, wenn das schwächste Glied der Mensch ist: Phishing, Credential Stuffing, Social Engineering; die Werkzeuge der digitalen Kriminalität sind vielfältig und entwickeln sich ständig weiter.
Verletzte Unschuld: 8.000 Kindergesichter im Dark Web
Während der Diebstahl des Kulturbonus junge Erwachsene betraf, führt uns der zweite Fall in ein noch beunruhigenderes Gebiet: das der digital verletzten Kindheit. Die britische Bildungsplattform Famly, die von Kindertagesstätten und Kindergärten genutzt wird, um Fotos und Updates mit den Eltern zu teilen, war Schauplatz einer Verletzung, die die Bilder von etwa 8.000 Kindern offenlegte.
Die Hackergruppe Radiant hat den Angriff für sich beansprucht und sich in einer ebenso ungewöhnlichen wie umstrittenen Geste nachträglich für die Verbreitung der Fotos der Kinder im Dark Web entschuldigt.
Ein digitales Schuldbekenntnis, das mehr Fragen aufwirft als es beantwortet: Kann man sich wirklich entschuldigen, nachdem man Tausende von Kindern den Risiken des verborgenen Webs ausgesetzt hat?
Ohne übrigens konkrete Maßnahmen zu ergreifen, um den Schaden zu beheben?
Eines ist jedoch sicher: Die Dynamik des Angriffs offenbart einmal mehr die Achillesferse der modernen Cybersicherheit: den menschlichen Faktor.
Die Verletzung erfolgte nämlich durch die Kompromittierung des Passworts eines einzelnen Mitarbeiters. Es genügte eine einzige schwache Zugangsdaten, das Ergebnis mangelnder Kenntnisse, Oberflächlichkeit oder vielleicht sogar echter Korruption, um die gesamte digitale Festung wie ein Kartenhaus einstürzen zu lassen und Kriminellen ohne Skrupel die Tore zu öffnen.
Darüber hinaus hat die Plattform Famly selbst viel Leichtsinn bewiesen, indem sie die Gesichter all jener abgebildeten Kinder nicht unkenntlich gemacht hat. Zwei menschliche Fehler, die zusammen einen irreparablen Schaden verursacht haben.
Die Entschuldigungen der Gruppe Radiant klingen angesichts der Schwere des Geschehens hohl. Sobald die Bilder eines Kindes im Dark Web landen, gibt es keine Tastenkombination oder keinen Rücklauf, der diese Verletzung ungeschehen machen könnte.
Ebenso haben die jungen Italiener, die um ihren Kulturbonus betrogen wurden, nicht nur Geld und die Möglichkeit verloren, neue Wissenswerkzeuge zu erwerben, sondern auch ein wenig Vertrauen in das digitale System, das sie schützen sollte.
Der menschliche Faktor: die wichtigste zu schließende Lücke
Diese beiden scheinbar unterschiedlichen Fälle erzählen dieselbe Geschichte: Die Technologie kann noch so ausgefeilt sein, aber die digitale Sicherheit ist nur so stark wie ihr schwächstes Glied. Und dieses Glied ist fast immer der Mensch.
Im Fall des geklonten SPID waren es wahrscheinlich die jungen Nutzer – unerfahren im Umgang mit digitalen Zugangsdaten –, die in die Fallen der Betrüger gerieten. Im Fall von Famly genügte ein Mitarbeiter, um der Gruppe von skrupellosen Kriminellen unabsichtlich die Türen zu öffnen.
Die Lektion ist klar und immer dieselbe: Es reicht nicht aus, sichere Systeme zu bauen, wenn die Menschen nicht ausreichend geschult sind, sie bewusst zu nutzen. Komplexe Passwörter, Multi-Faktor-Authentifizierung, ständige Wachsamkeit gegen Phishing – das sind im digitalen Zeitalter keine Optionen mehr, sondern Notwendigkeiten.
Daher ist eine kulturelle Revolution in der Cybersicherheit, die Einzelpersonen, Unternehmen und Institutionen einbezieht, immer notwendiger.
Die einzelnen Personen müssen sich bewusst werden, dass sie Teil eines komplexen und vernetzten Systems sind und sich keine zu gravierenden Wissenslücken in der Computerwelt mehr leisten können. Unternehmen und Institutionen, insbesondere solche, die sensible Daten verwalten, müssen Sicherheitsprotokolle einführen, die weit über das Mindestmaß hinausgehen und sich verpflichten, ihre Mitarbeiter und Partner sorgfältig, flächendeckend, kontinuierlich, personalisiert und interaktiv zu schulen. Denn gerade diese müssen sich vom schwächsten Glied der Kette zum wichtigsten Wächter wandeln.
Heute gibt es in dieser vernetzten Welt keine Zuschauer mehr: Wir sind alle potenzielle Opfer oder unwissentliche Komplizen der digitalen Kriminalität, die das Leben einzelner Menschen, die Wirtschaft eines Unternehmens, den Ruf einer Institution und sogar die Sicherheit eines ganzen Staates gefährden kann…
