Update: Das NCSC ist zufrieden mit dem "Cyber Security Month"

Update vom 20.11.2023: Das Nationale Zentrum für Cybersicherheit (NCSC) hat den "Cyber Security Month" im Oktober als Erfolg verbucht. "Unsere Auswertungen zeigen, dass wir mit unseren Aktionen auf grosses Interesse gestossen sind und damit die erreichten Personen zur Vorsicht anregen konnten", erklärt Sandra Lüthi, Spezialistin für Awareness und Prevention von Cyberrisiken beim NCSC, auf Anfrage. "Damit ist ein wichtiger Schritt getan, um die Cybersicherheit in der Schweiz zu erhöhen."

Das Interesse und die Reaktionen der verschiedenen Zielgruppen hätten dem NCSC gezeigt, dass es die Botschaften verständlich und ansprechend verbreitet habe. "Insbesondere das Tanzvideo wurde europaweit von den verschiedenen Ländern auf Social Media verbreitet, was wir als Erfolg verbuchen können", sagt Lüthi. "So gesehen, war es für die Schweiz insgesamt eine gelungene Teilnahme am European Cyber Security Month."

Sandra Lüthi, Spezialistin für Awareness und Prevention von Cyberrisiken beim NCSC. (Source: zVg)

"Für die Zielgruppe der Erwachsenen fanden zahlreiche Konferenzen, Workshops, Schulungen, Webinare und Präsentationen von verschiedensten Organisationen und Unternehmungen statt", sagt Lüthi. "So nutzen beispielsweise zahlreiche KMU's die durch das NCSC in weitere Sprachen übersetzten Kampagnen-Videos der ENISA." Das NCSC hebt zudem ein BrownBag-Lunch-Meeting mit dem professionellen Social-Engineer Ivano Somaini hervor. Dieser sei bei den Teilnehmenden auf grossen Anklang gestossen.

Weshalb beteiligte sich die Schweiz an einer europäischen Sensibilisierungskampagne? Wie Lüthi erklärt, gehört es zu den Kernaufgaben des NCSC, die Schweizer Bevölkerung über aktuelle Cyberbedrohungen aufzuklären. "Da die Cyberkriminalität aber keine Landesgrenzen kennt, ist es wichtig, auch in der Prävention international zusammenzuarbeiten", sagt sie.

Dem NCSC war es dabei nach eigenen Angaben ein Anliegen, die im ESCM festgelegten Zielgruppen möglichst direkt anzusprechen. Daher arbeitete es mit verschiedenen Organisationen zusammen. Mehr dazu lesen Sie im nachfolgenden Originalbeitrag.

Originalbeitrag vom 7.11.2023:

Das war der Schweizer "Cyber Security Month"

Der Oktober steht jedes Jahr im Zeichen der Cybersecurity. Dann findet nämlich der jährliche European Cyber Security Month statt. Veranstaltet wird die europaweite Kampagne von der European Union Agency for Cybersecurity - kurz ENISA (weil die Behörde früher European Network and Information Security Agency hiess). 

Als Kooperationspartner der ENISA nahm das Nationale Zentrum für Cybersicherheit (NCSC) in diesem Jahr eine aktive Rolle in der Kampagne ein, wie das NSCS zum Start der Kampagne mitteilte. Der Fokus der diesjährigen Kampagne lag auf dem Thema Social Engineering. Um die Aufmerksamkeit der Bevölkerung für das Thema zu fördern, entwickelte das NCSC mit verschiedenen Organisationen zielgruppenspezifische Inhalte für Jugendliche, Berufstätige und Senioren. 

Als "Social Engineering" werden Taktiken bezeichnet, um Personen auszutricksen. Cyberkriminelle versuchen dabei ihre Opfer so zu täuschen, dass diese bestimmte Handlungen ausführen - wie etwa die Herausgabe von bestimmten Daten oder das Überweisen von Geldbeträgen. Dabei nutzen die Kriminellen auf psychologische und technologische Tricks.

"Wir sehen solche Beispiele täglich. Jedes Vorschussbetrugs-Mail beinhaltet Social-Engineering-Methoden, jede Phishing-Mail, alle Kontaktanfragen auf Social Media von (schönen, übertrieben verliebten, erfolgreichen) Fremden", erklärt Chantal Billaud von der Schweizerischen Kriminalprävention (SKP) in einem Interview mit dem NCSC.

"Eine typische Betrugsart, die Manipulation als Kernkompetenz nutzt, ist der Liebesbetrug, der sogenannte Romance- oder Love-Scam", sagt Billaud. "Die kriminelle Energie der Betrügerinnen und Betrüger konzentriert sich dabei auf Vertrauensbildung und die Herstellung emotionaler Abhängigkeit."

Das vollständige Interview auf der Website des NCSC.

Das Vertrauen der Jugend

Das erste Informationspaket folgte am 6. Oktober: eine Sammlung von Tipps für Jugendliche. Für diese sei das Surfen im Internet ein normaler Teil ihres täglichen Lebens, schreibt das NCSC. Doch gerade junge Menschen seien häufig vertrauensvoller als Erwachsene, was sie zu leichten Zielen für Betrüger mache. 

Das NCSC nennt hier spezifisch Catfishing als Beispiel. Täterinnen und Täter würden den Wunsch junger Menschen nach Akzeptanz und Bestätigung ausnutzen, schreibt die Behörde. Zu diesem Zweck erstellen sie gefälschte Social-Media-Konten, in denen sie sich als Influencer oder Prominente auszugeben, um anschliessend Kinder und Jugendliche zu Handlungen zu überreden, die ihre Privatsphäre, ihre Sicherheit oder ihre persönlichen Werte gefährden.

Tipps für Jugendliche vom NCSC:

• Schütz dich und deine Daten!
• Nimm dir Zeit, um genau hinzuschauen!
• Sei misstrauisch, auch online!
• Sei zurückhaltend mit der Veröffentlichung von persönlichen Informationen!

Um die Schweizer Jugend zu erreichen, ging das NCSC "einen besonderen Weg", wie es schreibt. Die Behörde machte zusammen mit den Vereinen Netpathie und Freakids ein Tanzvideo mit dem Titel "Sei schlauer als ein Hacker". Bei der Erarbeitung der Choreografie hätten sich die beteiligten Jugendlichen mit dem Thema der Manipulation im Netz und mit ihren eigenen Grenzen auf kreative Art und Weise auseinandergesetzt.

Social Engineering nicht nur im Internet

Am 12. Oktober ging es weiter mit Tipps für Berufstätige - diesmal ohne Video. Hier ging das NCSC auf den Irrglauben ein, dass Cyberrisiken ein reines IT-Problem seien, weil Angreifer vor allem über technische Schwachstellen in die IT-Systeme von Unternehmen eindringen. "Doch auch die Mitarbeitenden können über Social Engineering-Methoden zu einer Schwachstelle werden und bilden somit ein Sicherheitsrisiko", schreibt die Behörde.

Social Engineering findet nicht nur online, etwa per E-Mail (Phishing) oder Telefon (Vishing), statt. Angreifer verschaffen sich gemäss der Mitteilung oftmals auch physischen Zugang zu Gebäuden und zu eingeschränkten Bereichen, in dem sie einer befugten Person folgen und sich dabei beispielsweise als Wartungspersonal oder Lieferanten ausgeben. Dieses Vorgehen nenne man auch Tailgaiting. Solche Attacken geschehen laut dem NCSC meist durch einen zufälligen Akt der Freundlichkeit. Als Beispiel nennt die Behörde etwas das Aufhalten einer Tür für einen Besucher ohne Ausweis oder eine unbekannte Person, die sich als Mitarbeitende, Kurier oder Techniker ausgibt.

Tipps für Berufstätige vom NCSC:

• Trauen Sie nicht jedem Anrufer oder jeder E-Mail;
• Lassen Sie sich nicht einschüchtern oder unter Druck setzen;
• Geben Sie niemals Passwörter oder PIN am Telefon oder per E-Mail bekannt;
• Geben Sie gegenüber Unbekannten keine geschäftlichen Informationen preis;
• Beenden Sie nicht plausible Anrufe sofort und löschen Sie E-Mails mit obskurem Inhalt umgehend;
• Sprechen Sie unbekannte Personen in Ihren Räumlichkeiten an.

Fehlende Erfahrung bei den Älteren

Am 26. Oktober veröffentlichte das NCSC den dritten und letzten Teil seiner Kampagne: Tipps für Seniorinnen und Senioren. Diese Gruppe sei sich häufig der Risiken im Cyberraum zu wenig bewusst. Diesen Umstand machen sich die Cyberkriminellen natürlich zunutze. Seniorinnen und Senioren sollten vor allem vor falschen Polizisten, Schockanrufen oder Computer-Support-Scams auf der Hut sein. 

Ältere Personen sind auch nicht mit der heutigen Technologie aufgewachsen. Dies könne dazu führen, dass ihnen die Erfahrung fehle, digitale Betrügereien, Phishing-E-Mails oder betrügerische Webseiten zu erkennen, schreibt das NCSC. Dass leider auch viele alleine leben würden, spiele den Betrügern ebenfalls in die Hände. 

Sensibilisierung, Aufklärung und Unterstützung sind laut der Behörde der Schlüssel, um sich davor zu schützen, Opfer dieser Art von Manipulation zu werden. Für die Senioren und Seniorinnen machte das NCSC wieder ein Video. Das Erklärvideo entstand in Zusammenarbeit mit Ralph Landolt, Partner von "seniorweb.ch".

Tipps für Seniorinnen und Senioren vom NCSC:

• Trauen Sie nicht jedem Anrufer oder jeder E-Mail;
• Lassen Sie sich nicht einschüchtern oder unter Druck setzen;
• Beenden Sie nicht plausible Anrufe sofort und löschen Sie E-Mails mit obskurem Inhalt umgehend;
• Geben Sie niemals Passwörter oder PIN am Telefon oder per E-Mail bekannt;
• Gewähren Sie niemals fremden Personen Zugriff auf Ihren Computer, auch wenn Ihnen diese vertrauenswürdig erscheinen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.