Wieder zurück: Erpressung – ganz persönlich!

Am 20.7. am Abend trudelte auf meinem privaten E-Mail-Account eine Nachricht ein. Im Betreff mein Vorname und ein Kennwort, das ich vor Jahren für Dienste wie LinkedIn, Skype oder MySpace verwendet habe. Das E-Mail schrie von der Formatierung her förmlich danach, ein SPAM zu sein. Normalerweise lösche ich solche Nachrichten, ohne sie zu lesen. Die Kombination im Betreff machte mich aber neugierig.
Ein Thorstein Sioras erklärt mir in leicht verständlichem Englisch und sehr freundlich, dass er mir beim Besuch einer nicht näher genannten Porno Seite eine Malware am Computer platziert hätte. Mit Hilfe dieser Malware hätte er über einen Keylogger das im Betreff genannte Kennwort ausgelesen, den Inhalt meines Bildschirms abgefilmt, über die Webcam ein Video von mir gemacht und alle Kontakte aus meinem Facebook-Konto, einem (undefinierten) Messenger und meinem E-Mail-Programm ausgelesen. Thorstein gibt mir nun faire 24 Stunden Zeit, um ihm $ 3000 in Bitcoin zu überweisen. Sollte das Geld in dieser Zeit nicht auf seinem Bitcoin Konto eingehen, ich versuchen, ihn zu kontaktieren oder gar zur Polizei gehen, würde er ein Video von mir bei der Konsumation eines Pornos veröffentlichen. Durch eine gefinkelte Technik könne er auch erkennen, ob ich das E-Mail gelesen habe.

Was tun? Gerne würde ich behaupten, dass ich in den beinahe 25 Jahren in denen ich nun schon das Internet benutze – vom 56k Modem bis zu 250MBit Breitbandleitung – nie auf zwielichtigen Seiten unterwegs gewesen wäre. Damit bin ich freilich nicht alleine. 25% der Suchanfragen, oder 68 Millionen Suchanfragen täglich, drehen sich um solche Inhalte (Quelle und weitere interessante Statistiken dazu: https://www.netzsieger.de/ratgeber/internet-pornografie-statistiken).
Augen zu und durch? Die $ 3000 überweisen und hoffen, dass die Sache damit ausgestanden ist? Keinesfalls. Die Wahrscheinlichkeit, dass gerade ich auf einen ehrlichen Verbrecher – einen Erpresser mit Gewissen – treffe, ist doch eher gering. Damit würde ich meine persönliche Büchse der Pandora öffnen und wäre vermutlich bald mein ganzes Geld los.
Zum Glück kann ich aber relativ entspannt sein. Was Thorstein, mein lieber Erpresser, nämlich nicht weiß: ich habe gar kein Facebook Konto (MySpace war meine einzige „Sünde“ in diese Richtung), ich verwende seit geraumer Zeit eine Abdeckung für meine Webcam, die nur für Videotelefonate geöffnet wird und das Kennwort habe ich seit Jahren nicht mehr benutzt. Der Verweis auf mein angebliches Facebook Konto zeigt, dass er keinen Zugriff auf meinen Computer hatte.
Ich fürchte aber, dass sich, auch durch die sehr persönliche Gestaltung dieses Erpresser E-Mails, viele Menschen davon verunsichern lassen und tatsächlich bezahlen würden. So traurig es ist, das ist ein florierendes Geschäftsmodell (mehr dazu im Cybercrime Report des Bundeskriminalamts http://bundeskriminalamt.at/bmi_documents/2109.pdf).
Wie geht es nun bei mir weiter? Ich weigere mich, mich erpressen zu lassen. Natürlich werde ich die Nachricht an die zuständige Stelle der Polizei weiterleiten (against-cybercrime@bmi.gv.at) – einfach damit andere gewarnt werden. Außerdem werden wir unsere eigenen Nachforschungen anstellen – das ist ja Teil unseres Berufes und macht richtig Spaß! Einfach wird es nicht, so wurde die Nachricht von einer vermutlich gehackten outlook.com E-Mail-Adresse über das Microsoft Webmail mit einer nordamerikanischen IP Adresse verschickt. Aber mal sehen.

Was steckt aber eigentlich dahinter und warum kann die DSGVO künftig dagegen helfen? Tatsächlich wurde das Kennwort aus einer Datenbank eines Online Anbieters gestohlen. Aller Vorrausicht nach bei LinkedIn oder MySpace. Die gestohlenen Daten kann man ganz einfach im Internet kaufen. Die Überprüfung meiner E-Mail-Adresse auf https://haveibeenpwnd.com (eine praktische Seite, auf der E-Mail-Adressen oder Benutzernamen darauf überprüft werden können, ob sie schon mal gehackt wurden) zeigt, dass 2008 bei MySpace und 2012 bei LinkedIn die Zugangsdaten der Benutzer gestohlen wurden. Meine waren auch dabei. Zwischen Diebstahl und Veröffentlichung lagen Jahre, die Kennwörter waren wohl schlecht geschützt und die Unternehmen haben spät oder gar nicht auf den Hack reagiert. Wie hilft nun die DSGVO künftig dabei, zu gewährleisten, dass unsere Daten besser geschützt werden? Unternehmen sind künftig unter hohen Strafdrohungen dazu verpflichtet, geeignete technische Maßnahmen zu setzen, damit Hacks im Idealfall gar nicht mehr passieren können. Falls dennoch etwas passiert, haben Unternehmen nur 72 Stunden Zeit, Vorfälle an die zuständige Datenschutzbehörde zu melden und die betroffenen Benutzer darüber zu informieren. Zeit ist ein wichtiger Faktor, je früher man gewarnt ist und seine Kennwörter ändert, desto weniger Schaden kann angerichtet werden. In unseren Schulungen zum Thema DSGVO zeigen wir den Teilnehmern, die oft zurecht unter den Auflagen der DSGVO ächzen, dass wir im Internet alle auch Konsumenten sind und unsere digitale Identität genauso schützenswert ist wie unsere physische. Das hilft die DSGVO zu verstehen und versöhnt einen etwas mit den Dokumentationspflichten, die die DSGVO mit sich bringt.
Hier noch ein Link zur originalen Erpresser E-Mail –meine E-Mail-Adresse und das Kennwort habe ich geändert – Vorsicht ist die Mutter der Porzellankiste 😉