Digitale Risiken und Cyberkriminalität – Entwicklungen und Trends

Der digitale Fortschritt ist in aller Munde – er schafft ungeahnte Möglichkeiten und beschleunigt die globale Innovationskraft. Doch die Digitalisierung fordert auch ihren Preis: Die Cyberkriminalität nimmt zu. Erfahren Sie hier, welche digitalen Risiken Ihr Reputationsmanagement betreffen könnten.

• 3 von 4 Unternehmen waren in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder digitaler Sabotage betroffen 

• Ca. 250 Milliarden Euro beträgt der jährliche Schaden von Cybercrime in der EU

• 74% der befragten Unternehmen geben an, dass Cyberattacken in den letzten zwei Jahren stark bzw. eher zugenommen haben

Riskante Folgen der zunehmenden Digitalisierung

In den letzten Jahren hat die weltweite Digitalisierung eine rasante Entwicklung hingelegt. Besonders seit Beginn der globalen Pandemie sind digitale Lösungen in der Wirtschaft, der Bildung und der Gesellschaft nicht mehr nur „Nice to Have“, sondern „Essential for Survival“. 

Was die Arbeitswelt als Fortschritt preist, stellt für die Gesellschaft aber durchaus auch ein Risiko dar. Das Weltwirtschaftsforum warnt aktuell vor einer sozialen Spaltung: „Wenn es um den Zugang zu Technologien und um digitale Fähigkeiten geht, besteht die Gefahr, dass sich die Kluft zwischen den ‚Begünstigten‘ und den ‚Benachteiligten‘ vergrößert“. Doch nicht nur der Zugang zur Digitalisierung macht es Menschen und Unternehmen aktuell schwer. Besonders zu beachten sind in der jetzigen Zeit die zunehmenden Aktivitäten in sozialen Netzwerken. Soziale Medien werden schon seit längerem für die Verbreitung von Verschwörungstheorien und Desinformation genutzt. Seit Beginn der Corona-Pandemie hat die Nutzung der sozialen Medien zur Meinungsmache noch einmal rapide zugenommen. Das wird aller Voraussicht nach auch weiterhin ansteigen. 

Dieser Entwicklung kommt zusätzlich die Verlagerung des sozialen Lebens ins Internet zugute. Durch die vorherrschenden Kontaktbeschränkungen sind viele Menschen gezwungen, ihrem sozialen Austausch von zu Hause aus nachzugehen. So versuchen sie, die soziale Isolierung mit vermehrter Aktivität in sozialen Netzwerken zu kompensieren.  Das Gefährliche daran ist, dass die User:innen dabei vermehrt persönliche Informationen von sich Preis geben, weil schlichtweg der Ausgleich im alltäglichen Kontakt fehlt. Dass diese Verschiebung des sozialen Lebens jede Menge Türen für digitale Angreifer:innen öffnet, wird in der zunehmenden Cyberkriminalität ersichtlich. 

Steigende Cyberkriminalität im digitalen Umfeld 

Viele Unternehmen und Privatpersonen haben in der Not der Corona-Krise Tools implementiert, die das Arbeiten und Lernen aus der Ferne erleichtern. Videokonferenzen, Cloud-Nutzung, Apps zur Datenübertragung und kollaborative Arbeitsanwendungen sollen all das abfedern, was im vergangenen Jahr weggebrochen ist. Durch die rasante Entwicklung und Implementierung all dieser unterstützenden Technologien wurde die Cyber- und Datensicherheit häufig nicht tiefgehend genug sichergestellt. Auch die digitalen Kompetenzen im beruflichen und privaten Kontext mussten sich so schnell erweitern, dass besonders die Sensibilisierung für digitale Risiken häufig übergangen wurde. Das Riskante an dieser Entwicklung der letzten Monate: Cyberkriminelle wissen um die entstandenen Schwachstellen und versuchen aktiv diese ausnutzen. 

Das zeigen auch aktuelle Zahlen: Bereits in der zweiten Jahreshälfte von 2020 wurde eine starke Zunahme an Cyberkriminalität verzeichnet. Digitale Angreifer:innen haben sich schnell und flexibel an die gesellschaftlichen Umstände angepasst, indem sie auf Themen wie Gesundheit, Wirtschaftslage und Beschäftigung umgestellt haben. Konkret schlagen sich die kriminellen Aktivitäten in Fake-Webseiten, Phishing-Mails, Schadsoftware und Datenklau nieder. Des Weiteren öffnet der fortschreitende Ausbau von 5G und des Internet of Things (IoT) weitere Einfallstore. Die Etablierung von 5G bietet die Möglichkeit, immer mehr Devices zu vernetzen, was wiederum zu neuen Sicherheitsrisiken führt. Dafür ist jedoch nicht die Technik an sich verantwortlich, sondern die steigende Zahl von vernetzten Geräten, die immer mehr Informationen sammeln. 

Digitale Risiken durch Smart Home Malware

Hätten Sie sich vor 20 Jahren vorstellen können, dass Ihre Waschmaschine oder Ihre Lampe zum digitalen Risiko für Ihre persönlichen Informationen werden? Vermutlich nicht. Selbst heutzutage scheint der Gedanke, über ein Haushaltsgerät angegriffen zu werden, relativ abwegig. Doch diese smarten Alltagshelfer stellen durchaus eine hohe Sicherheitslücke dar. Embedded Devices im privaten Umfeld vereinfachen zwar den Haushalt und das Zusammenleben, bieten aber gleichzeitig eine sehr große Angriffsbasis. Ihre Sicherheitsvorrichtungen sind teilweise nur rudimentär entwickelt.

Für die Übermittlung und den Austausch der Daten greifen Smart Home Geräte auf den heimischen Router zu, welcher als Knotenpunkt zwischen allen gesendeten und empfangenen Daten fungiert. Gelingt es Angreifer:innen, sich über ein vernetztes Device ins heimische Netzwerk zu hacken, stehen sämtliche private Daten des Nutzers frei zur Verfügung. Datenklau stellt jedoch nicht das einzige Risiko dar. Besonders gefährlich ist das Einschleusen von Malware, deren Übertragung über verschlüsselte Wege läuft. Bis heute sind diese Vorgänge den eingebauten Virenscannern nicht bekannt, weshalb es so gut wie keine Hindernisse für Angreifer:innen gibt. Cyberkriminelle nutzen deshalb immer häufiger die Schwachstellen von IoT-Geräten für den Haushalt, um Daten zu entwenden und Schadsoftware zu verbreiten. 

Neuartige Phishing-Angriffe als technische Gefahr

Die fehlende Perspektive, die viele Menschen aktuell aufgrund der anhaltenden sozialen Isolation erleben, ermutigt dazu, umso mehr persönliche Informationen online weiterzugeben. Zeitgleich nutzen Cyberkriminelle die Ängste in der Bevölkerung aus, um bösartige E-Mails zu versenden. Beliebt sind dabei inhaltliche Themen wie COVID-Impfstoffe oder finanzielle Bedenken im Zusammenhang mit dem Lockdown. Die Zahl von „innovativen“ Phishing-Angriffen steigt kontinuierlich an, was eine aktuelle Studie von Proofpoint deutlich macht: Im Jahre 2020 waren drei Viertel der Unternehmen weltweit von Phishing-Attacken betroffen. 

Neuartige Methoden führen besonders zu Thread-Hijacking und Whaling-Angriffen. Beim E-Mail-Thread Hijacking werden zunächst Mails bzw. die Anmeldedaten zum Postfach gestohlen, sodass die Angreifer:innen auf E-Mails zugreifen und diese beantworten können. Somit wird es möglich, digitale Unterhaltungen zu stehlen und zweckzuentfremden, indem über das betroffene Konto Daten entwendet werden und Malware verbreitet wird. Whaling-Angriffe zielen auf hochrangige Mitarbeiter:innen oder Entscheidungsträger:innen eines Unternehmens ab und sind auch unter dem Begriff CEO-Betrug bekannt. Die Zielperson wird hierbei durch E-Mails oder Webseiten dazu verleitet, bestimmte Aktionen durchzuführen. Haben die Angreifer:innen dadurch Zugriff auf das entsprechende Computersystem erlangt, folgen häufig Datendiebstahl und/oder Erpressung. 

Das diese Angriffsmethoden ein deutliches Reputationsrisiko darstellen, wird schnell klar. Werden beispielsweise E-Mails oder andere Informationsträger entwendet und diese für reputationsschädigende Kampagnen gegen ein Unternehmen oder Einzelpersonen genutzt, kann das im schlimmsten Fall zu einem vollständigen Reputationsverlust führen. Die gute Nachricht ist jedoch: Sie können sich vorbereiten und vor solchen Angriffen schützen. Mit Hilfe einer vorzeitigen Risikoanalyse und darauf aufbauenden Präventionsmaßnahmen können digitale Risiken durch Phishing-Angriffe deutlich minimiert werden.

Ransomware auf dem Vormarsch

Die Bedrohung durch Ransomware für Unternehmen nimmt schon seit einiger Zeit stetig zu. Währenddessen steigt jedoch der damit verbundene Datenklau seit den letzten zwei Jahren mit einer alarmierenden Geschwindigkeit. So verzeichneten erfolgreiche Ransomware-Angriffe auf den Bildungssektor im dritten Quartal 2020 ein erschreckendes Wachstum von 388%. Über die Hälfte aller Ransomware-Fälle zielen mittlerweile auf die Entwendung von Daten ab. Sobald Angaben wie Benutzernamen, Passwörter, Finanzinformationen und andere vertrauliche Informationen gestohlen wurden, werden die Opfer mit einer drohenden Veröffentlichung erpresst. Dieses Vorgehen kann extrem kostspielig werden: Lösegeldforderungen können je nach Unternehmensgröße eine Höhe von mehreren Millionen Euro erreichen. 

Ein weiterer Trend, der für das Verständnis von Ransomeware-Attacken in diesem Jahr elementar ist, stellt die beliebte „Großwildjagd“ der Angreifer:innen dar. Die Strategie wird immer ausgeklügelter und die anvisierten Opfer immer größer. Es geht nicht mehr nur darum, Phishing-Mails in ein Einzelsystem einzuspeisen. Mit neuen Taktiken dringen Cyberkriminelle tief in ein Gesamtsystem ein, um ihre Ransomware über so viel Netzwerk wie möglich zu verbreiten und sämtliche Unternehmensdaten zu entwenden. 

Auch dieses Vorgehen bedeutet ein ernstzunehmendes digitales Risiko für die Unternehmensreputation. Um dem entgegenzuwirken lohnt es sich, die Awareness der Mitarbeiter:innen zu fördern und hilfreiche Kompetenzen aufzubauen. Das kann man beispielsweise durch eine langfristige Weiterbildung erreichen. Wichtig ist, dass allen Unternehmensmitgliedern die Gefahr von Ransomware bewusst ist. Außerdem sollten häufige Techniken bekannt sein, um im Ernstfall richtig reagieren zu können.

Fortschreitende Deepfake-Technologie

Deepfakes spielen schon seit einigen Jahren eine Rolle in der Cyberkriminalität. Mittels KI-Technologie werden Bilder oder Videos von Personen erzeugt, wobei Gestik, Mimik und Stimme eines realen Menschen manipuliert werden können. So entstehen Inhalte, die täuschend real aussehen. Für Betrachter:innen wird es demnach immer schwerer zu unterscheiden, ob eine Handlung oder Aussage der betroffenen Person echt ist oder verfälscht wurde.

Es ist zu erwarten, dass diese Technologie 2021 eine Qualität erreichen wird, bei der sie aktiv zur Verbreitung von Desinformationen eingesetzt werden kann. Dabei sind die Risiken vielfältig: von Rufschädigung und Erpressung von Privatpersonen und Unternehmen über die Manipulation von politischen Debatten bis hin zur Erstellung von Fake News, die Gesellschaft und Wirtschaft bedrohen. 

Die Deepfake Technologie bedroht zumeist die Reputation von Privatpersonen wie beispielsweise Politiker, Künstler oder Unternehmensvorstände. Doch auch ganze Organisationen werden durch manipulierte Bild- und Videoinhalte geschädigt. Eine wirksame Gegenmaßnahme stellt kontinuierliches Monitoring dar. Durch regelmäßige Beobachtung aller Erwähnungen einer Person oder eines Unternehmens im Internet, können verdächtige Inhalte schnell erkannt und nachverfolgt werden. So kann im Falle eines veröffentlichen Deepfakes eine schnelle Reaktion erfolgen und der Reputationsschaden eingegrenzt werden.

Wachsende Datenbanken von KI-basierten Bedrohungen

KI-Technologien und maschinelles Lernen haben sich in den letzten Jahren einen großen Fortschritt verzeichnet. Bisher gibt es jedoch nur wenige Hinweise darauf, dass Cyberkriminelle diese Methoden schon nutzen, um digitale Angriffe auszuführen. Für die Wirksamkeit von KI-gestützten Kampagnen oder Attacken sind sehr umfangreiche Datensätze und Wissensdatenbanken erforderlich. Expert:innen gehen davon aus, dass diese Datenbanken in den nächsten Jahren entwickelt werden. Die Nutzung von maschinellem Lernen steigt kontinuierlich an und die Fähigkeiten der Technologie werden immer ausgefeilter. Sobald KI zu offensiven Zwecken verwendet werden kann, werden sich Cyberkriminelle die entstandenen Vorteile mit hoher Wahrscheinlichkeit zunutze machen. 

Hypothetische Überlegungen beschäftigen sich aktuell damit, wie KI für böswillige Zwecke genutzt werden könnte. Denkbar wäre beispielsweise die Verwendung von künstlicher Intelligenz für das Scannen von Social Media Plattformen, um passende Zielpersonen für Phishing-Kampagnen aufzuspüren. Im nächsten Schritt könnten Cyberkriminelle die Technologie dazu nutzen, um personalisierte Spam-E-Mails für das jeweilige Zielopfer zu erstellen. Heute ist es jedoch noch relativ unwahrscheinlich, dass KI-basierte Angriffe in den kommenden Jahren vermehrt auftauchen werden. Die Entwicklung ist jedoch längst im Gange. 

Zunehmende Desinformation als digitales Risiko

Der gezielte Einsatz von Fake News zur Manipulation der öffentlichen Meinung erfreut sich weltweit immer größerer Beliebtheit. Besonders im politischen Kontext werden Desinformationskampagnen als computergestützte Propaganda eingesetzt. Insbesondere autoritäre Systeme nutzen Bots, Trolls und andere Cybertruppen in professioneller Weise, um ihre Ansichten zu verbreiten und oppositionelle Meinungen zu diskreditieren. Aber auch in der Wirtschaftswelt ist die Verbreitung von Falschinformationen immer häufiger zu beobachten. Dabei erstreckt sich das Einsatzgebiet von simplen Fake Reviews über die Verbreitung einzelner Desinformationen bis hin zu groß angelegten Dark PR-Kampagnen. Mittlerweile können diese Desinformation-as-a-Service (DaaS) Leistungen sogar bei zwielichtigen Agenturen oder Privatpersonen mit wenigen Klicks im Darknet eingekauft werden.

Einen neu zu beobachtenden Trend stellen außerdem sogenannte Readfakes dar. Dabei handelt es sich um künstlich generierte Texte, die mittlerweile sehr glaubwürdig und ansprechend generiert werden können. Nachdem hochwertiger Content zum Treiber auf digitalen Plattformen geworden ist, werden künstlich erstellte Texte zunehmend für Websites und Social Media-Inhalte genutzt. Ebenfalls werden sie zur Verbreitung von Desinformation und zu Zwecken der Meinungsmache verwendet. Die Social Media-Nutzung im vergangenen Jahr hat stark zugenommen hat und besonders junge Menschen nutzen soziale Plattformen zu Informationszwecken. Dadurch steigt das digitale Risiko der globalen Verbreitung von Desinformation aus künstlich generiertem Text-Content. Das kann ebenso für Unternehmen eine enorme Gefahr darstellen. Falsche Informationen können die Reputation zerstören, Umsätze beeinflussen und Aktienkurse einstürzen lassen.

Datensicherheitsbedrohung durch Quantencomputer

Auf Quantentechnologie basierende Computer sind aktuell ein großer Hoffnungsträger für Wirtschaft und Wissenschaft. Im Gegensatz zu klassischen Computern sind sogenannte Quantencomputer wesentlich schneller, effizienter und leistungsstärker. Dies wird realisierbar, weil sie auf den Prinzipien der Quantenphysik basieren. Mit dem Einsatz von Quantencomputern wird es unter anderem möglich sein, komplexe Berechnungen zu vollziehen und sämtliche Code-Technologien zu knacken. Diese Vorgänge überschreiten die bisherige Leistung klassischer Computer. Noch steckt die Entwicklung der Quantencomputer in den Kinderschuhen und es wird noch ein weiter Weg bis zur Inbetriebnahme solcher Geräte sein. 

Auch wenn der zukünftige Einsatz von Quantencomputern ungeahnte Möglichkeiten bieten wird, stellt die Technologie gleichzeitig eine potenzielles Risiko dar. Laut einer aktuellen Studie von DigiCert Inc. gehen 71% der global tätigen Unternehmen davon aus, dass der praktische Einsatz von Quantencomputer zu erheblichen Sicherheitsrisiken führen wird. Das Hauptproblem wird sein, dass viele Verschlüsselungsalgorithmen, beispielsweise zum Schutz von personenbezogenen Daten, in Zukunft mit Hilfe von Quantencomputern entschlüsselt werden können. Das bedeutet, dass künftig wesentlich höhere Kosten zur Entwicklung von Schutzmechanismen anfallen werden. Und selbst dann ist nicht gewiss, wie gut man sich mit herkömmlicher binärer Technologie gegen die neuartigen Hochleistungscomputer schützen kann. 

Mangelnde digitale Business-Ethik 

Im Zeitalter von KI und Big Data steht die digitale Verantwortung in vielen Unternehmen weit oben auf der Agenda. Trotz dessen fehlen in den meisten Unternehmen nach wie vor Konzepte und Strategien, um einen verantwortungsbewussten Umgang mit dem digitalen Fortschritt zu ermöglichen. 

Die größten Herausforderungen in der Entwicklung von Ethik-Konzepten sehen Unternehmen hauptsächlich in fehlenden Kompetenzen des Personals sowie mangelndem Bewusstsein für die Bedeutung des Themas innerhalb der Organisation. Obwohl die Führungsebenen der Unternehmen die Relevanz der digitalen Ethik mittlerweile erkennen, agieren vielen Unternehmen eher zögerlich. Nach einer Studie von PwC (2019) setzt die Mehrheit der Organisationen zwar Richtlinien zum Datenschutz und dem Umgang mit personenbezogenen Daten um. Sie verfügen jedoch nicht über ausformulierte Standards zu Fragen der Digital-Ethik, die als Leitfaden für Unternehmensentscheidungen dienen können. 

Auch auf Konsument:innenseite sieht es ähnlich zwiegespalten aus: Weltweit fordern Konsument:innen seit Jahren nachdrücklich den Schutz ihrer Daten. Doch das digitale Verhalten vieler Menschen spricht eine andere Sprache. Besonders auf sozialen Netzwerken teilen Verbraucher:innen Tag für Tag mit ihrem Nutzungsverhalten eine Vielzahl von personenbezogenen Daten. Von Konsumvorlieben über Gesundheitsdaten bis hin zu weltanschaulichen Meinungen. Die Verantwortung für die Daten schiebt so Mancher gerne auf die Organisation, die hinter der jeweiligen Internetseite steht. Daraus lässt sich schließen, dass das Thema „Digitale Ethik“ dringend in den Mittelpunkt der Digital Responsibility rücken muss. Sowohl auf Seiten der Wirtschaft, als auch auf Seiten der Nutzer:innen. Die Datenbeziehung zwischen Konsument:innen und Unternehmen muss sich signifikant und grundlegend verbessern. 

Was gilt es also konkret zu tun? Sämtliche Organisationen müssen eine Corporate Digital Responsibility in ihrer Unternehmensstrategie verankern, denn transparente Datennutzung darf nicht länger optional sein. Genauso müssen Nutzer:innen sensibilisiert werden und Anreize zur Förderung der digitalen Medienkompetenz geschaffen werden. Digitale Ethik betrifft jedermann, sowohl im wirtschaftlichen Kontext als auch im gesellschaftlichen Verständnis, und es ist höchste Zeit, sich aktiv dafür zu engagieren. 

Sie möchten Ihre Bereitschaft für den Umgang mit digitalen Risiken und Krisen langfristig steigern? Dann könnte unser Crisis Readiness Program das Richtige für Sie sein!

Better safe than sorry!