Q&A-Protokoll:
Wenn KI jahrzehntealte Sicherheitslücken entdeckt, die Menschen nie gefunden haben – wie viel können wir bestehenden Systemen überhaupt noch vertrauen?
Dominique Trachsel: 100-prozentige Sicherheit gab es auch in der Vergangenheit nicht, KI macht dies heutzutage nur sichtbarer. Lücken wurden in der Vergangenheit manchmal auch bewusst nicht geschlossen, um ein laufendes System nicht ausfallen zu lassen. KI überprüft nun jedes Detail, wird nicht müde und stösst kaum an Grenzen.
Nicht entdeckte Lücken bedeuten nicht, dass da keine Lücken sind, heute werden sie einfacher sichtbar. Früher war unser Vertrauen vielleicht illusorisch, heute wird es eher in Frage gestellt. KI hilft aber auch, genau diese Lücken zu schliessen und die Systeme werden unter Umständen robuster als zuvor. Sicherheit sollte nicht als Zustand wahrgenommen werden, sondern als fortlaufenden Prozess.
Wie sehen Sie die Gefahr durch Fakes, auch mit KI-Unterstützung, bei z.B. Verträgen oder Schreiben an Banken und Versicherungen?
Pirmin Heinzer: Betrugsversuche, auch KI-unterstützte, sind eine ständige Herausforderung und werden schon seit einiger Zeit beobachtet. Im Umgang mit Ihren Bankverbindungen ist daher bei Unsicherheit eine Verifikation über einen im Vorfeld etablierte Zweitkanäle ratsam: Weiter Ratschläge um E-Banking finden Sie hier.
Ist eine Cyberversicherung in der heutigen Zeit empfehlenswert? Und wenn ja, was sollte diese genau abdecken?
Dominique Trachsel: Sich selbst oder eine Sache zu versichern, ist immer auch ein wirtschaftlicher Entscheid. Es ist wichtig, dass Sie sich als Versicherungsnehmer darüber im Klaren sind, was Sie versichern wollen und welche Deckung die Versicherung übernimmt.
Das BACS begrüsst die Anstrengungen der Versicherungen sehr, dass gewisse Überlegungen zur Cybersicherheit gemacht werden müssen, bevor eine Cyberversicherung überhaupt abgeschlossen wird.
Erleichtert KI Cyberkriminellen den Zugang zu Angriffen so sehr, dass wir eine neue Generation von Bedrohungen unterschätzen? Sind Unternehmen zu nachsichtig im Umgang mit KI-Tools, obwohl sie neue Sicherheitslücken schaffen können? Wie gefährlich ist es, dass KI glaubwürdige Phishing-Angriffe in Sekunden erstellen kann?
Stephan Glaus: KI erleichtert es den Cyberkriminellen ihre Angriffe zu personalisieren und zu perfektionieren. So helfen Übersetzungstools Betrugs- oder Phishing-E-Mail-Nachrichten in jeder beliebigen Sprache zu generieren. Auch Deep Fake wird genutzt um Personen zu imitieren und entsprechend Angriffsversuche realistischer erscheinen zu lassen. Aus diesem Grund hat das BACS den letzten Cyber Security Month diesem Thema gewidmet. Wie bei jeder neuen Technologie müssen sich die internen Nutzungsrichtlinien zuerst etablieren.
Ich behaupte, durch das exponentielle Wachsen der Cybercrime in Verbindung mit KI ist das Internet in der Form, wie wir es heute kennen, in maximal fünf Jahren nicht mehr nutzbar, weil dann selbst die versiertesten und vorsichtigsten User schlichtweg nicht mehr zwischen Wahrheit und Betrug unterscheiden können. Ist da was dran?
Beatrice Kübli: Wo wir in fünf Jahren stehen werden, hängt davon ab, wie wir die Zukunft gestalten. Zurzeit wird in der Schweiz diskutiert, wie die KI reguliert werden soll.
Weiter gibt es Bestrebungen, mittels einer digitalen Signatur die Echtheit eines Bildes oder eine Videos zu belegen. Aber sicher wird es immer wichtiger, Informationen zu hinterfragen und Quellen zu prüfen. Die klassischen Medien spielen hier eine wichtige Rolle.
Genügt der Virus- und Defender-Schutz, welcher mit Windows 11 geladen wird? Oder empfehlen Sie einen zusätzlichen Schutz? Wenn ja, haben Sie eine empfehlenswerte Lösung?
Pirmin Heinzer: Das BACS kann keine Empfehlungen zu einzelnen Produkten abgeben. Wichtig ist, dass Sie einen Virenschutz einsetzen, aber auch weitere Massnahmen zum Geräteschutz in Betracht ziehen. Empfehlungen hierzu finden Sie auf der BACS Webseite.
Wie kann ich meine Familie und Freunde am besten vor Phishing etc. schützen? So kann ich meinen Grossvater z.B. unmöglich über moderne Deepfakes aufklären. Ich erkenne diese selbst nicht mehr! In der Praxis zeigen sich zum Beispiel regelmässiges Übungs-Phishing als wirksam, da es die Aufmerksamkeit durch regelmässige Tests aufrechterhält. Bietet das Bundesamt für Cybersicherheit solch einen Dienst für Schweizer Bürger an?
Beatrice Kübli: Wissensvermittlung ist der Anfang. Erst wer weiss, auf was er achten muss, kann die Gefahr entsprechend abwehren. Information zu den aktuellsten Bedrohungen finden Sie auf der Website des BACS oder auf https://www.cybercrimepolice.ch. Falls Sie oder Ihr Grossvater das Wissen auch anwenden möchten, können Sie beispielsweise die Quiz auf der SUPER-Website machen.
Zudem stellt die Schweizerische Kriminalprävention der Bevölkerung ein kostenloses E-Learning-Tool zur Cybersicherheit zur Verfügung: https://www.cybersecurityforyou.ch. Einen Übungs-Phishing-Dienst bietet das BACS hingegen nicht an.
KI-Systeme werden zunehmend tief in kritische Infrastrukturen, wie Stromnetze, Finanzsysteme, oder das Gesundheitssystem integriert. Wo sehen Sie das grösste Risiko, das die breite Öffentlichkeit noch vollkommen unterschätzt? Und was können wir oder die Politik jetzt tun um die Risiken zu minimieren?
Dominique Trachsel: Es kommt darauf an, um welche Art von KI es sich handelt, wo sie eingesetzt wird und auf welche Daten sie zugreifen kann resp. mit welchen Daten und Informationen sie gespeist wird. Eine KI, die in einem Stromnetz oder im Gesundheitswesen eingesetzt wird, unterliegt anderen Anforderungen als eine KI in einer App oder im Marketing.
Sensible Bereiche sind eher reguliert und unterliegen gesetzlichen Rahmenbedingungen. Die Risiken können durch alle Nutzerinnen und Nutzer verringert werden, wenn Daten bewusst und sparsam verwendet werden und wir verstehen, dass eine KI mit der ihr zur Verfügung gestellten Informationen arbeitet.
Seit Neustem muss man für «Easyride» (SBB-App) Bluetooth eingeschaltet haben auf dem Handy. Ich habe aber gehört, dass bei eingeschaltetem Bluetooth andere Handys freien Zugang zum eigenen haben. Wie kann ich mich schützen?
Dominique Trachsel: Geben Sie Bluetooth nur für Verbindungen zu Geräten/Apps frei, die Sie kennen und schalten Sie Bluetooth aus, wenn Sie es nicht benötigen. Es gibt meistens einen Pairing Mechanismus, wenn Daten geteilt werden sollen. Allfällige technische Schwachstellen möglich. Breite Angriffe sind hier jedoch nicht bekannt . Somit besteht ein technisches Restrisiko, dessen man sich bei der Nutzung von Bluetooth bewusst sein sollte.
Meinen Sie, dass durch die Erosion der Privatsphäre und die damit einhergehende Passivität der Menschen auch die Erfolgschancen von Cyberattacken steigen?
Stephan Glaus: Cyberkriminelle verwenden persönliche Informationen von Webseiten und Social-Media-Konten um gezielte Cyberangriffsversuche zu starten. Gerade mit KI werden auch vermehrt Bilder und Videos für personalisierte Angriffsversuche missbraucht. Zum Beispiel um sich als jemanden auszugeben und damit eine Zahlung zu erwirken oder mit gefälschten Bildern Erpressungen glaubwürdiger zu machen. Beispiel Romance Scam, Beispiel eines CEO-Betruges.
Das Dilemma, die meisten kennen sich nicht aus. Zweites Dilemma, niemand hat wirklich Lust und Zeit für die Sicherheit aufzubringen. Gibt es ein Programm, welches einen vernünftigen Schutz bietet und einen Grossteil der Gefahren abwenden kann?
Beatrice Kübli: Es ist wie mit der Gesundheit: Ernährungsergänzungsmittel bieten keinen ausreichenden Ersatz für einen gesunden Lebensstil. Genau so wenig gibt es ein einzelnes Programm, dass alle Cybersicherheitsgefahren für immer abwendet.
Die gute Nachricht ist aber, dass man sich mit wenigen und relativ einfachen Massnahmen selbst schützen kann: regelmässige Backups und Updates, Firewall und Virenschutz, starke Passwörter und ein gesundes Mass an Misstrauen.
Wenn KI Angriffe perfektioniert: haben Menschen überhaupt noch eine realistische Chance, sich zu schützen?
Pirmin Heinzer: KI in Angriffen: KI ist für Angreifer derzeit eher Beschleuniger als Revolution. Sie hilft, Angriffe zu automatisieren, Inhalte schneller zu erstellen und Betrug glaubwürdiger zu machen – etwa durch Deepfakes, synthetische Stimmen oder sehr gut formulierte Phishing-Mails.
Das senkt Hürden und erhöht die Skalierung. Gleichzeitig ersetzt KI grundlegende Sicherheitsmassnahmen nicht. KI in der Verteidigung:
KI kann Sicherheitsteams entlasten, indem sie Anomalien schneller erkennt, Bedrohungen korreliert und Hinweise priorisiert. Anwendungen sind z. B. Erkennung von Schadsoftware, Auffälligkeiten im Nutzerverhalten, Datenabfluss oder Fehlkonfigurationen. Sie kann auch bei der Identifikation von Schwachstellen und beim Patch-Priorisieren unterstützen.
Entscheidend bleibt jedoch, dass KI in klare Prozesse eingebettet und mit menschlicher Expertise kombiniert wird.
Warum werden Hacker in Filmen immer mit einem Hoodie dargestellt?
Beatrice Kübli: Das ist eine interessante Frage, die letztlich nur die Filmindustrie beantworten kann. Vermutlich ist der Hoodie ein Symbol für die Merkmale eines Hackers in den Anfängen: anonym, jugendlich, rebellisch, nerd und ein Einzelkämpfer bzw. eine Einzelkämpferin. Das vermittelte Bild entspricht aber nicht der Realität. Hacker sind sehr unterschiedlich und oft Teil eines grösseren Systems.
Oft muss man bei Online-Bestellungen seine E-Mail-Adresse und/oder seine Telefonnummer angeben. Danach stelle ich immer regelmässiger fest, dass ich überhäuft werde mit Phishing E-Mails, teilweise auch mit Phishing-Anrufen. Wie kann ich das verhindern?
Stephan Glaus: Folgt eine Phishing-E-Mail auf eine Bestellung, ist das in den meisten Fällen Zufall. Das BACS hat hierzu einen Wochenrückblick veröffentlicht, Natürlich kann es auch passieren, dass ein Dienstleister von einem Datenabfluss betroffen ist und dann persönliche Daten der Kundinnen und Kunden abgeflossen sind, die danach für Phishing-Angriffe verwendet werden.
Auf https://haveibeenpwned.com/ können Sie prüfen, ob Ihre E-Mail-Adresse von einem bekannten Datenabfluss betroffen ist. In diesem Fall empfiehlt das BACS sofort alle Passwörter zu ändern, die mit dieser E-Mail-Adresse in Verbindung stehen. Ebenfalls können Sie für Bestellungen eine spezielle E-Mail-Adresse einrichten und sie ausschliesslich für diesen Zweck benutzen.
Wie sieht Datenschutz aus in Zeiten von Quanten-Computern?
Stephan Glaus: Diese Frage lässt sich nicht in einem Satz beantworten. Aus diesem Grund verweisen wir Sie gerne auf die Technologiebetrachtung des BACS zum Thema «Quantencomputer und Post-Quanten-Kryptografie».
Wie sicher ist ein Google-Konto durch 2FA und starke, regelmässig geänderte Passwörter? Ist ein externer Passwortmanager sinnvoller als die Google-Lösung? Und wie verantwortungsvoll geht Google selbst mit unseren Daten um?
Stephan Glaus: Das BACS empfiehlt für jedes Konto ein eigenes und starkes Passwort zu verwenden. Wenn eine Zwei-Faktor-Authentisierung vorhanden ist, sollte diese unbedingt genutzt werden. Die Verwendung eines Passwortmanager ist sinnvoll, um sich die verschiedenen und komplexen Passwörter «zu merken». Bei der Wahl des Passwortmanagers empfiehlt das BACS im Vorfeld Rezessionen und Empfehlungen anderer Nutzenden zu konsultieren.
Ich habe soeben gelesen, dass 2025 ein Kraftwerk in Westschweden durch russische Akteure cyber-angegriffen wurde. Wäre ein solches Szenario auch in der Schweiz möglich oder wie verhindern wir so etwas?
Pirmin Heinzer: Angriffe auf die Energieinfrastruktur wären auch in der Schweiz ein mögliches Szenario. Wir sehen jedoch momentan keine gezielten Versuche. Die Energieversorger habe seit einiger Zeit gesetzliche Vorgaben zur Cybersicherheit und verbessern in Abwehrdispositiv laufend. Das BACS steht in engen Austausch mit Betreibern kritischer Infrastrukturen, damit aktuelle Angriffsmethoden schnell bekannt und zeitnah Massnahmen ergriffen werden können.
Was kann man gegen Spoofing am Telefon tun?
Dominique Trachsel: Es gibt in der Schweiz kein spezifisches Spoofing-Gesetz.
Da die Callcenter-Anrufe häufig aus dem Ausland stammen, war die Prüfpflicht betreffend Nummernnutzung, welche die Schweizer Telefonanbieterinnen durchführen müssen, nicht anwendbar. Neu greifen aber regulatorische Massnahmen: für Festnetznummern ab dem 1.1.2026, für Mobilnummern ab dem 1.7.2026.
Dementsprechend müssen gefälschte Nummern von den Telekom-Anbietern gekennzeichnet oder blockiert werden.
Weshalb werden kriminelle Websites nicht gesperrt?
Stephan Glaus: Das BACS geht gegen Webseiten vor, die Phishing und Malware enthalten. Dieser Prozess ist etabliert und die jeweiligen Internetanbieter reagieren in den meisten Fällen schnell und nehmen die kriminelle Webseite vom Netz. Für Schweizer Domänen kann das BACS sogar die Deaktivierung gemäss VID15 veranlassen.
Bei Betrugswebseiten ist die Situation schwieriger. Da eine betrügerische Webseite nicht in allen Fällen vom Provider als betrügerisch erkennbar ist. Zum Beispiel kann bei einem Webshop die betrügerische Absicht erst geklärt werden, wenn die Produkte nicht geliefert werden.
Die Provider sind daher zurückhaltender bei einer Deaktivierung. Senden Sie Phishing-Seiten direkt an www.antiphishing.ch, damit diese analysiert und schnellstmöglich deaktiviert werden können.
Bezüglich Passkeys: Gibt es einen Vorteil gegenüber Passwörtern, die automatisch generiert wurden in einem Passwort-Manager und das Konto mit 2FA mittels eines Hardware-Tokens geschützt ist? Mir ergab sich der sicherheitstechnische Vorteil von Passkeys nie.
Pirmin Heinzer: Passkeys bieten zusätzliche kryptografische Sicherheit gegenüber reinen Passwörtern.
- Im Gegensatz zu Passwörtern sind Passkeys pro Zielserver unterschiedlich und müssen damit einzeln kompromittiert werden.
- Im Gegensatz zu Passwörtern sind Passkeys pseudozufällig erzeugt und können entsprechend auch nicht einfach erraten werden.
- Im Gegensatz zu Passwörtern werden Passkeys nicht über Datenkommunikationsleitungen übertragen und können entsprechend auch nicht aus dem Datenverkehr herausgelesen und für «Replay»-Angriffe missbraucht werden.
In der Entstehung der Passkey Technologie wurde der ursprünglich angedachte Hardware-Schutz bzw. die Nichtauslesbarkeit des entsprechenden Schlüsselmaterials aber im Hinblick auf eine grosse Marktdurchdringung mit Passkeys aufgegeben. So bieten Passkeys heute eine sehr grosse Flexibilität, um möglichst viele Einsatzgebiete abdecken zu können. Weitere Details finden Sie in der entsprechenden Technologiebetrachtung des BACS.
Ich habe vor kurzem einen Passwort-Manager installiert, ich bin Privatperson, nicht mehr in Arbeitsverhältnis. Nutze Passwörter bei Interneteinkauf, Bibliothek einloggen, kein E-Banking. Soll ich auf eine Abo-Version wechseln?
Pirmin Heinzer: Wichtig ist, dass Sie überall ein anderes Passwort verwenden und wo immer möglich die Mehrfaktorauthentisierung aktivieren. Ein Passwortmanager ist hier ein empfohlenes Hilfsmittel. Zu konkreten Produkten kann das BACS leider keine Empfehlung abgeben. Weitere Empfehlungen zu Umgang mit Passwörtern finden Sie auf unserer Webseite.
Haben wir im Zeitalter von IMEI und UUID überhaupt noch Chancen, unsere Privatsphäre zu wahren und somit möglichst wenig Angriffsfläche für Cyber zu bieten?
Pirmin Heinzer: Ihre Privatsphäre lässt sich bestmöglich schützen, wenn Sie Ihre Daten sparsam nur dort freigeben, wo Sie den Anbieter kennen und nützen wollen. Empfehlungen, ihr Mobiltelefon sicher zu nutzen, finden Sie auf unserer Webseite.
Wie viel Kontrolle über unsere Daten sind wir bereit aufzugeben, um den Komfort und Fortschritt von KI zu nutzen. Und wer entscheidet, wo die Grenze liegt?
Stephan Glaus: Die Beantwortung dieser Frage muss jede Person für sich selbst beantworten. Es ist wichtig, sich mit dem Thema auseinanderzusetzen und anhand dieser Informationen einen persönlichen Entscheid zu treffen.
Stellt der Gebrauch von KI ein Problem für die Cybersicherheit dar? Ich spreche zum Beispiel von Claude Cowork, welches direkt auf dem Rechner installiert wird und mit relativ vielen Rechten ausgestattet Files lesen und ändern kann. Was wären Ihre Tipps um die Nutzung eines solchen Programms möglichst sicher zu machen und was sollte ich auf jeden Fall vermeiden?
Pirmin Heinzer: Geben Sie KI-Tools nur Rechte für Konten/Daten und Tools, wo Sie auch Fehler der Technologie akzeptieren können. Dies gilt auch für andere Dienste die Sie nutzen.
Ich reise viel im Ausland. Ist es möglich, dass durch eine Einreise in Israel oder Russland oder Hong Kong ein Mobiltelefon mit neusten IOS mit einem Staatstrojaner infiziert wird? Wie kann nachträglich ein Mobiltelefon forensisch auf solche Attacken überprüft werden? Und wie kann sowas einer Cyberversicherung gemeldet werden?
Pirmin Heinzer: Bei Reisen ins Ausland ist folgendes zu beachten:
- Nehmen Sie nur die wirklich benötigten Geräte (und Informationen) mit.
- Nehmen Sie möglichst keine schützenswerten Informationen mit. Wenn dennoch unbedingt nötig, verschlüsseln Sie diese.
- Seien Sie vorsichtig bei öffentlichen WLAN und Ladestationen.
- Geben Sie möglichst wenig Reiseinformationen preis (z. B. Buchungsdetails in sozialen Medien oder auf öffentlichen Kalendern). Diese könnten missbraucht werden.
- Tragen Sie Geräte und Datenträger im Handgepäck mit.
Weiterführende Empfehlungen finden Sie hier.
Bei Verdacht auf eine Infektion wenden Sie sich an eine spezialisierte Firma. Idealerweise tauschen Sie das Gerät jedoch bei einem solchen Verdacht aus. Was durch eine Cyberversicherung gedeckt ist, entnehmen Sie der jeweiligen Police.
Wie kann ich mein Heimnetzwerk in der heutigen Zeit am besten schützen? Kann ich dem Router des Internetanbieters vertrauen, dass dieser z.B. auf neustem Stand ist?
Stephan Glaus: Wichtig ist, dass der Router immer auf dem neusten Stand ist und die wichtigsten Updates zeitnah eingespielt werden. Viele Router werden vom Internetanbieter selbst administriert und aktualisiert. Sie können auch einen eigenen Router hinter den Router des Internetproviders schalten, wenn Sie die Einstellungen selbst administrieren möchten. Aber hier liegt die Verantwortung des Aktualisierens bei Ihnen. Um die Sicherheit zu erhöhen, ist es wichtig, dass kein Gerät im internen Netz von aussen direkt erreichbar ist. Weitere Tipps finden Sie im Wochenrückblick 5 des BACS.
Ich habe mitbekommen, dass die meisten Apps meinen genauen Standort an Techfirmen verkaufen und deshalb verweigere ich die Standortfreigabe. Bin ich so besser gesichert vor Standortverkauf, oder kann ich trotzdem geortet werden?
Pirmin Heinzer: Geben Sie Ihren Standort gegenüber Apps nur sehr restriktiv frei, wo dieser tatsächlich benötigt wird (bspw. Kartennavigation). Das gilt auch für andere Freigaben wie das Mikrofon. Generelle Empfehlungen zur Absicherung Ihres Mobiltelefons finden Sie auf der BACS Webseite.
Ich empfange pro Tag ca. 10 E-Mails mit der Aufforderung, mein Speicherplatz sei überfüllt: neues Abo, Zahlungen zu tätigen. Die Mailadressen-Absender sind Phantasie-Buchstabenreihen. Wie kann ich diese stoppen?
Stephan Glaus: Das BACS hat Kenntnis von diesen E-Mails. Diese werden leider zahlreich versendet. Bei diesen E-Mails geht es darum die Personen auf Seiten mit Sicherheitsangeboten weiterzuleiten. Die Absender der E-Mail erhalten in diesem Fall eine Provision der Sicherheitsanbieter. Das BACS empfiehlt Produkte nicht über Links in E-Mails, sondern immer auf der Original-Webseite zu kaufen. Spam-E-Mails lassen sich leider kaum stoppen. Das BACS empfiehlt die Absenderadressen direkt an die E-Mail-Provider weiterzuleiten. Viele haben eine spezielle Meldefunktion.
Wann macht VPN Sinn im Privatgebrauch?
Stephan Glaus: Eine VPN-Verbindung schützt vor allem die Privatsphäre gegenüber dem Netzwerkbetreiber und den besuchten Webseiten, da man nicht auf die IP-Adresse des Nutzers rückschliessen kann. Es schützt aber nicht vor Cyberangriffen wie z. B. Betrugs-E-Mails oder Phishing-E-Mails. Wie vor jedem Kauf eines Produktes sollten im Vorfeld Rezessionen und Erfahrungsberichte gelesen werden und anhand dieser ein Entscheid gefällt werden.
Ich beschäftige mich mit Firewall- und Antiviren-Programmen. Bei Antiviren-Programmen habe ich gelesen, dass der Microsoft Defender von Windows11 ausreichend ist. Ist das korrekt oder empfehlt ihr etwas anderes? Mit Firewall habe ich sehr wenig Erfahrung, scheint mir aber extrem wichtig zu sein. Was wird hier empfohlen?
Stephan Glaus: Die Cybersicherheit liegt in der Verantwortung der Unternehmen, Behörden sowie Privatpersonen. Der Entscheid, welche Produkte Sie hierzu einsetzen, ist ein individueller Entscheid. Grundsätzlich gibt das BACS keine Empfehlungen zur Verwendung von Produkten ab.
Um vor Cyberbedrohungen bestmöglich geschützt zu sein gilt es, die wichtigsten Grundregeln im Cyberraum zu befolgen. Von zentraler Bedeutung ist die Umsetzung des Grundschutzes. Dieser beinhaltet neben dem Einsatz eines Virenschutzes, einer aktiven Firewall oder dem regelmässigen Einspielen von Sicherheits-Updates auch das Absichern von Fernzugängen, die Zugriffssicherung mittels Zwei-Faktor-Authentisierung.
Verstehen Menschen wirklich, wie ihre Daten von KI-Systemen genutzt werden, oder akzeptieren sie es einfach aus Bequemlichkeit?
Beatrice Kübli: Es gibt sicher beides. Wer will, kann sich umfassend informieren, beispielsweise in den Datenschutzrichtlinien des entsprechenden KI-Produkts. Viele nehmen die Nutzung ihrer Daten aber auch in Kauf, ohne sich weiter zu erkundigen.
Welche Cyberrisiken werden von Unternehmen aktuell systematisch unterschätzt – und warum?
Dominique Trachsel: Es gibt grundsätzlich zwei Angriffsvektoren, die von Unternehmen häufig unterschätzt werden: Angriff über die Mitarbeitenden mit Social-Engineering (z. B. CEO Fraud) und Angriff über Schwachstellen im System. Gute Schutzmassnahmen sind Mehrfaktor-Authentisierung (MFA) und die konsequente Durchführung von Updates. Hierzu gibt es hier weiterführende Informationen.
Frage zu Office 365: Zu welchen meiner Inhalte (Onedrive, Teams, Festplatte etc.) hat mein Arbeitgeber Zugang? Mich dünkt dies sehr undurchsichtig.
Stephan Glaus: Wir empfehlen Ihnen diese Frage mit der verantwortlichen Stelle für Informatik bei Ihrem Arbeitgeber zu stellen. Viele Arbeitgeber haben eine Nutzungsregelung wie die geschäftliche IT-Infrastruktur auch für private Zwecke genutzt werden kann bzw. darf.
Wie beurteilen Sie die Risiken durch KI, insbesondere was E-Banking und Kreditkarten anbelangt? Liesse sich das Risiko reduzieren, indem nur die Konten für den täglichen Zahlungsverkehr im E-Banking sichtbar sind und Konten mit grösseren Summen nur durch herkömmliche Zahlungsaufträge verwaltet werden könnten?
Pirmin Heinzer: In Bezug auf E-Banking wird KI insbesondere für gezieltes Social Engineering eingesetzt. Durch glaubwürdige Anfragen auf verschiedensten Kanälen sollen Sie dazu verleitet werden, den Betrügern Zugriff auf Ihre Konten zu gewähren. Social Engineering kann auch bis in den physischen Bereich angewandt werden, Geldbeträge werden and Türschwellen übergeben usw. Befolgen Sie daher besser die Sicherheitsempfehlungen Ihrer Bank zur Nutzung der E-Banking-Lösungen und seien Sie speziell skeptisch, wenn eine Handlung von Ihnen verlangt wird.
