Als der Oscar für den besten Film vor 33 Millionen Live-Zuschauern irrtümlich an «La La Land» vergeben wurde, konnte man die Peinlichkeit für alle Beteiligten im Raum förmlich fühlen.
Gemäss den Verantwortlichen der Firma PricewaterhouseCooper (PwC), zuständig für die Stimmauszählung sowie grösstmögliche Geheimhaltung und Genauigkeit der Ergebnisse, gibt es eine einfache Erklärung für das Fiasko.
"Letzten Endes handelte es sich um einen menschlichen Fehler", sagte Tim Ryan, U.S.-Vorsitzender und Senior Partner von PwC gegenüber USA TODAY.
Ach ja: "Irren ist menschlich, vergeben ist göttlich". Was aber oft unterschätzt wird ist das Ausmass, in dem menschlicher Irrtum ausgenutzt werden kann.
Im Bereich der Cyberkriminalität sind menschliche Fehler genau das, worauf sich Angreifer immer häufiger und gezielt konzentrieren. Manche der erfolgreichsten Cyberangriffe umgehen Hürden wie firmenweite Firewalls, wasserdichte IT-Prozesse und Verschlüsselung. Stattdessen zielen sie direkt auf das schwächste Glied in der Kette: Den Menschen.
Phishing-Angriffe beispielweise haben bisher weltweit einen geschätzten Schaden von mehr als 5 Milliarden US-Dollar angerichtet. Bei solchen Angriffen versuchen Cyberkriminelle einem Opfer die Legitimität von gefälschten E-Mails und Websites vorzugaukeln, indem sie vorgeben dass diese von seriösen Anbietern stammen. Wenn ein Opfer in diese Falle tappt (was häufiger vorkommt, als man denkt), gelangen die Betrüger in den Besitz von Login-informationen oder Kreditkartendaten, wodurch grosse finanzielle Schäden entstehen können. Auch wenn manche gefälschte E-Mails und Websites auf den ersten Blick vertrauenswürdig erscheinen, gibt es häufig verräterische Zeichen, die derartige Betrugsversuche schon vor dem Anklicken eines Links entlarven.
Wie beim Phishing nutzen Cyberkriminelle das gleiche Prinzip des Zielens auf menschliche Schwachpunkte auch in der Businesswelt. Es handelt sich dabei um eine der erfolgreichsten Online-Betrugsmethoden in den vergangenen Jahren.
Business Email Compromise (BEC) - so nennt das FBI eine solche Attacke - beschreibt ein Vorgehen bei dem Angreifer gezielt betrügerische E-Mails versenden, um den Transfer von Geld oder wichtigen Businessinformationen aus Finanz-, Personal- oder anderen Abteilungen zu erreichen.
Bei einem BEC-Angriff nutzen Cyberkriminelle einfache Techniken, um Informationen über den hierarchischen Aufbau einer Firma zu sammeln. Über eine Websuche oder das LinkedIn-Profil der Firma lassen sich die Mitarbeitenden der Finanzabteilung sowie Personen in leitender Stellung inklusive CEO, Leiter der Finanzabteilung oder den Hauptverantwortlichen für die Buchhaltung ermitteln. Mit diesen Informationen kann ein Angreifer seinen Social Engineering-Angriff starten. Der Cyberkriminelle sendet eine betrügerische Nachricht, die vom CEO oder einer anderen Führungskraft zu stammen scheint, an den nichtsahnenden Mitarbeitenden aus der Finanzabteilung und weist ihn an, sofort einen dringenden Geldtransfer auszulösen. Der Mitarbeitende leistet dem Auftrag folge, weil er die Art der Anfrage von diesem Absender nicht ungewöhnlich findet. Wenn der Fehler schliesslich bemerkt wird, ist es bereits zu spät. Das Geld wurde auf ein Konto nach Übersee überwiesen, die Transaktion kann nicht mehr rückgängig gemacht werden.
Bei einem BEC-Angriff findet kein Hacking statt. Stattdessen gibt ein Opfer unter Vorspiegelung falscher Tatsachen aktiv vertrauliche Geschäftsinformationen weiter oder veranlasst einen Geldtransfer. Weil aber kein technischer Angriff stattfindet, werden die Schäden durch solche Attacken nicht durch Cyber-Versicherungen gedeckt.
Das "Anti-Whaling" Sicherheitsfeature von RMail nutzt proprietäre Algorithmen zum Analysieren von E-Mail-Eigenschaften und markiert eine Nachricht, wenn diese betrügerisch zu sein scheint (wie beispielsweise im Falle einer BEC-Attacke). Das «Anti-Whaling» Feature steht allen Nutzern des Microsoft Outlook Add-ins RMail in der aktuellen Version zur Verfügung.
Dieser Artikel entstand in Zusammenarbeit mit RPost inc. Los Angeles, Autor: Arielle Castro