Cyber-Kriminalität
Ein Bild sagt mehr als 1000 Worte
Digitale Aufnahmen sind heute qualitativ so gut, dass viele Merkmale auslesbar sind. Man sollte sich deshalb der Tatsache bewusst sein, dass mittels biometrischer Merkmale täuschend echte digitale Kopien angefertigt werden können, auch Deepfakes.
Besonders viel Aufmerksamkeit hat der Fall nicht erhalten, dennoch ist er bemerkenswert: Am 1. Mai wurde in Finnland ein 26-Jähriger zu sechs Jahren und drei Monaten Haft verurteilt. Ihm wurde unter anderem vollendete schwere Erpressung in 20 Fällen und versuchte schwere Erpressung in 21.000 Fällen vorgeworfen. Er hatte hochsensible Patientendaten einer Gesundheitseinrichtung gestohlen und sie veröffentlicht bzw. mit Veröffentlichung gedroht, um die Betroffenen zu erpressen. Die Tat selbst war ein eher gewöhnlicher IT-Diebstahl und nicht besonders raffiniert. Äußerst spannend ist hingegen die Frage, wie die Polizei dem Cyberkriminellen auf die Schliche kam.
Wie eine finnische Agentur berichtete, konnte die Polizei einige Server, von denen der Angriff ausgeführt wurde, identifizieren und sich darauf Zugang verschaffen. Zwar kannte man nun die Infrastruktur, aber vom Täter fehlte jede Spur. Bis von besagten Servern ein Foto auf sozialen Medien veröffentlicht wurde. Darauf zu sehen: Eine Hand, die eine Sprühflasche hielt. Der Polizei gelang es, die abgebildeten Fingerabdrücke zu identifizieren. Damit hatten sie einen Verdächtigen, der sich später als Täter herausstellte.
Einzelfall?
Was hier zur Festnahme eines Angreifers führte, ist auch für Cyberkriminelle hochattraktiv und Gegenstand entsprechender Forschung. In einem Bericht von 2022 wies Trend Micro nach, dass das Auslesen biometrischer Daten auf Internetinhalten nicht nur theoretisch möglich, sondern verhältnismäßig einfach machbar ist.
Hochauflösende Bild- und Tonaufnahmen erlauben es, sie zu extrahieren und wie in oben beschriebenen Fall zu verwenden. Den biometrischen „Daten-Leak“ begehen wir dabei selbst: Unter anderem über Instagram, TikTok und Co. teilen wir Aufnahmen unserer Finger, Augen und Stimme mit der Welt. Diese können von künstlichen Intelligenzen ausgewertet und verwendet werden.
Auf der Gegenseite werden gerade intensiv die Anwendungsfälle erprobt: Im kriminellen Bereich erleben wir derzeit vor allem Deepfakes. Diese Angriffe finden derzeit nur punktuell statt und richten sich nicht gegen die Allgemeinheit. Dennoch sollte man sich der Tatsache bewusst sein, dass mittels biometrischer Merkmale täuschend echte digitale Kopien angefertigt werden können. Eine Datenminimierung ist deshalb sehr empfehlenswert.
Sparsamer Umgang mit biometrischen Daten
- In sozialen Medien gehen immer wieder spaßige „Challenges“ viral, an denen teilzunehmen man sich gut überlegen sollte: „Zeig mir deine Hände!“ „Wer hat das beste Augen-Makeup?“ – nur zwei Beispiele solcher Trends. Bevor man dabei mitmacht, sollte man sich fragen, wie man darauf reagierte, wenn man persönlich von dubiosen Fremden dazu aufgefordert würde und nicht tausende Fotos völlig unbekannter Menschen suggerierten, man verpasse etwas, wenn man nicht dabei wäre – sogenannte FOMO („Fear of Missing Out“).
- Auch wenn man sich selbst gerne sieht, sind digitale Aufnahmen heutzutage qualitativ so gut, dass viele Merkmale auslesbar sind. Überlegen Sie sich gut, wie und in welcher Qualität Sie sich darstellen wollen!
- Für viele Menschen kommt diese Warnung zu spät. Andere möchten oder können trotz Gefahr nicht darauf verzichten. Seien Sie sich dessen bewusst, dass es möglicherweise zu einer Ausnutzung kommt. Erwartete Taten sind zum Beispiel versuchte Erpressung mit gefälschten Bild- oder Videoaufnahmen. Aber auch die komplette Übernahme digitaler Identitäten liegt im Bereich des Möglichen.
- Warnen Sie besonders Kinder und Jugendliche! Für sie sind soziale Medien nicht nur „Spielzeuge“, sondern oft fester Bestandteil ihres sozialen Lebens.
Auch wenn heute die Auswirkungen von biometrischen Data Leaks noch nicht vollständig sichtbar sind, so kann sich das schnell ändern. Mit der zunehmenden Verbreitung biometrischer Authentifizierungsmöglichkeiten an Stelle von Benutzername und Passwort dürfte es bis zur kriminellen Datenbank, in der man passende Abdrücke herunterladen kann, nicht mehr weit sein.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.