Daten- und Identitätsdiebstahl stellen sowohl für private als auch berufliche Internetnutzer ein allgegenwärtiges Sicherheitsrisiko dar. Oftmals reichen bereits Name und Postanschrift einer real existierenden Person, damit sich Betrüger illegal bereichern können. Als Phishing wird dabei das gezielte Abgreifen von sensiblen Nutzerdaten bezeichnet – die Methoden der Betrüger hierfür sind vielfältig und werden ständig ausgebaut.
Ein Beitrag von Paul Muntean, Senior Cyber Security Solution Architect bei Swisscom Trust Services
Um diesen Gefahren zu begegnen, können innovative, dennoch im Alltag einfach einzusetzende Technologien genutzt werden – dazu gehören eine digitale Identität, elektronische Signaturen und elektronische Siegel.
Zentrale Identität statt Account-Chaos
Bei jeder Online-Registrierung mit Nutzername und Passwort wird jeweils ein eigenständiger digitaler Account erzeugt. Das hat einerseits zur Folge, dass sich über die Jahre der Internetnutzung bei den meisten Anwendern unzählige Login-Kombinationen angesammelt haben. Aus Bequemlichkeit tendieren Nutzer dazu, dasselbe Passwort mehrfach, möglichst einfache Buchstaben-Zahlen-Kombinationen oder sogar beides gleichzeitig zu verwenden. Dieses Problem lässt sich zwar mit der Nutzung eines Passwort-Managers vermeiden, doch oftmals spielt hier der Datenschutz eine Rolle: Jeder der neu angelegten Accounts wird wiederum dazu verwendet, Daten über die Nutzer zu sammeln, die letztlich wieder in die Hände von Kriminellen gelangen können.
Dieser Gefahr lässt sich mit einer selbstverwalteten Identität (Self Sovereign Identity, SSI) begegnen, da diese nach dem Grundsatz der Datensparsamkeit arbeitet. Hinter diesem Konzept steckt ein sogenanntes Vertrauensdreieck aus Herausgeber, Besitzer und Prüfer von Identitäten. Herausgeber bezeichnet die Quelle der Referenzen, beispielsweise staatliche Einrichtungen (Ausweise), Finanzinstitute (Kreditkarten), Universitäten (Abschlüsse), Unternehmen (Arbeitszeugnisse) oder NGOs (Mitgliedsausweise). Besitzer verfügen über diese Referenzen, bewahren sie in digitalen Wallets auf und können sie bei Bedarf vorlegen.
Besitzer von Referenzen können Anfragen von Prüfern allerdings auch jederzeit ablehnen. Außerdem müssen nicht die vollständigen Referenzen übermittelt werden, sondern es lassen sich daraus die relevanten Informationen extrahieren – beispielsweise eine bestimmte Note in einem Zeugnis. Innerhalb des Vertrauensdreiecks findet keine direkte Kommunikation zwischen Herausgeber und Prüfer statt. Das wäre etwa bei Arbeitszeugnissen wichtig: Arbeitnehmer möchten in bestimmten Fällen vermeiden, dass der (noch) aktuelle Arbeitgeber erfährt, an welches Unternehmen die nächste Job-Bewerbung eingeschickt wird.
Herkunft von Anschreiben sicher verifizieren
Wie der Branchenverband der deutschen Informations- und Telekommunikationsbranche BITKOM errechnet hat, bekam im Jahr 2021 jeder zweite Berufstätige in Deutschland über 26 Mails pro Tag. Bei allem technischen Aufwand, der betrieben wird, um Email-Virenfilter und Co. konsequent „up to date“ zu halten, ist und bleibt der Mensch das größte „Datenleck“. Gerade für Unternehmen als Arbeitgeber gilt die traurige Realität, dass das größte Risiko für Cyberkriminalität von den Mitarbeitern selbst ausgeht.
Daher fließt im Zuge von Spam- und Phishing-Aktivitäten viel kriminelle Energie in das Fälschen möglichst seriös wirkender Kommunikation zwischen Betrüger und potenziellem Opfer. Dabei gehen die Kriminellen immer professioneller vor und zum Beispiel betrügerische Mails oder SMS sind nicht direkt erkennbar.
Um digitale Kommunikation zweifelsfrei einer Person oder einem Unternehmen zuzuordnen, können elektronische Signaturen (FES – fortgeschrittene elektronische Signatur beziehungsweise QES – qualifizierte elektronische Signatur) oder elektronische Siegel zum Einsatz kommen. Die Signatur ist dabei an eine natürliche Person geknüpft – etwa einem Mitarbeiter im Unternehmen, während ein Siegel einer juristischen Person oder Institution zugeordnet ist, sprich dem Unternehmen selbst.
Das Funktionsprinzip hinter beiden Varianten, die sogenannte asymmetrische Kryptografie, klingt zuerst sehr kompliziert, lässt sich aber einfach darstellen. Für die Erstellung einer QES oder eines elektronischen Siegels (Verschlüsselung) wird ein privater Schlüssel benötigt. Zum Prüfen dieses Nachweises (Entschlüsseln) dient ein öffentlicher Schlüssel. Der Zusammenhang zwischen den Schlüsselpaaren wird über eine schwer umkehrbare mathematische Operation hergestellt, die einen enormen Rechenaufwand bedeutet.
Das heißt: wer vom öffentlichen Schlüssel auf den privaten Schlüssel schließen will, müsste über einen Supercomputer und sehr viel Zeit verfügen. Daher lohnt es sich in der Praxis schlicht nicht, dieses System anzugreifen. Das macht die asymmetrische Kryptografie so sicher. Denn grundsätzlich gilt: qualifizierte elektronische Signaturen sind einer Unterschrift auf Papier rechtlich in vielen Fällen gleichgestellt, was allen involvierten Parteien nicht nur ein Gefühl von Sicherheit gibt.
Nicht zu verwechseln sind die hier beschriebenen elektronischen Signaturen im Zuge von E-Mail-Verkehr mit der oftmals üblichen E-Mail-Signatur unter dem geschriebenen Email-Text, wie sie meist in der beruflichen Kommunikation stattfindet. Diese gilt als einfache elektronische Signatur (EES) und enthält lediglich Kontaktinformationen des Absenders, erfüllt aber keine Funktion im Sinne einer sicheren digitalen Kommunikation.
Flächendeckende Anwendung notwendig
Wer eine dienstliche E-Mail elektronisch signiert, zeigt Kunden, Partnern und Kollegen, dass das Thema Sicherheit in der Geschäftskommunikation die notwendige Beachtung findet. Das schafft letztlich Sicherheit und damit beiderseitiges Vertrauen. Wer zusätzlich noch seine Login-Daten mit einer selbstverwalteten Identität schützt, tut viel, um den Herausforderungen im Zuge der Daten- und Identitätssicherheit zu begegnen. Denn diese innovativen Technologien helfen sowohl Unternehmen als auch Privatpersonen, um Betrügern einen Schritt voraus zu sein.
Themen:
LESEN SIE AUCH
Forensische Detekteien – Experten der Kriminologie in der digitalen Welt
Die digitale Welt entwickelt sich rasant - auch in Verbindung mit kriminellen Handlungen. Wer heute Schritt halten und sich absichern möchte, muss gut informiert sein.
NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden
Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.
Datenverluste entstehen meist aus Fahrlässigkeit
Datenverluste sind kein bösartiges Schicksal und das Muster erfolgreicher Data Breaches ist bekannt: unzureichend gesicherte Netzwerke dienen als Einfallstor zur leichten Beute der unstrukturierten Datenbestände. Wer diese Missstände nicht behebt, darf sich nicht wundern, das nächste Opfer zu sein.
Warum Hacker das mobile Arbeiten so lieben
Mobiles Arbeiten ist die offene Flanke der IT: Sie macht eigentlich sichere Infrastrukturen verwundbar. Um Cyberkriminellen einen Schritt voraus zu sein, sollten Unternehmen die häufigsten Einfallstore für Hacker kennen und diese von Beginn an sichern.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
Digitalmacht ohne Substanz – Warum Europa beim KI-Wettlauf ins Hintertreffen gerät
Europa ruft nach Souveränität, investiert Milliarden, reguliert ambitioniert – und bleibt doch in der digitalen Peripherie. Trotz der politischen Verve, Künstliche Intelligenz zur strategischen Schlüsseltechnologie Europas zu erklären, ist das Bild ernüchternd: Die Substanz fehlt.
Mit KI zum digitalen Abschluss: die Bayerische und muffintech starten Pilotprojekt zur Antragsunterstützung
Die Versicherungsgruppe die Bayerische und das Technologie-Start-up muffintech starten ein gemeinsames Pilotprojekt zur digitalen Vertriebsunterstützung in der Sachversicherung. Im Zentrum steht der KI-Assistent LEA, der Kunden durch den Online-Antragsprozess begleitet und in Echtzeit Fragen beantwortet. Der erste Einsatz erfolgt im Bereich der Zahnzusatzversicherung, weitere Sparten wie die Hausratversicherung sollen kurzfristig folgen.
Wie KI-Agenten den Beratungsalltag neu definieren
Die Maklerarbeit verändert sich rasant: Digitale Assistenten auf KI-Basis übernehmen Routinetätigkeiten und ermöglichen so mehr Fokus auf Beratung und Beziehungspflege. Jonathan Posselt, Teamleiter KI bei Fonds Finanz, zeigt im Gastbeitrag, wie Maklerbüros schon heute die Weichen für die Zukunft stellen können. Der Text erschien zuerst im expertenReport 07/25.
Versicherungs-KI mit Potenzial – aber auch mit Vorbehalten
Viele Deutsche würden gerne Künstliche Intelligenz nutzen, um Versicherungsanträge schneller und einfacher zu erledigen. Auch bei der Vertragsanalyse zeigen sich viele aufgeschlossen. Doch sobald es um Gesundheitsdaten oder Schadensbewertungen geht, kippt die Stimmung.
Die neue Ausgabe kostenlos im Kiosk
Werfen Sie einen Blick in die aktuelle Ausgabe und überzeugen Sie sich selbst vom ExpertenReport. Spannende Titelstories, fundierte Analysen und hochwertige Gestaltung – unser Magazin gibt es auch digital im Kiosk.
"Unabhängigkeit hat viele Gesichter"
Was bedeutet Unabhängigkeit im Versicherungsvertrieb wirklich?