Gamer geraten häufig ins Visier von Cyberkriminellen. Jede Person, auf die man in einem Online-Videospiel trifft, könnte potenziell ein Cyberkrimineller sein, dem es beispielsweise darum geht, sensible Daten abzuziehen. Beim sogenannten Doxxing etwa werden personenbezogene Daten offengelegt (Personally Identifiable Information oder auch PII-Daten), meist mit wenig ehrenwerten Absichten.
Dazu kommen Belästigungen und Cybermobbing, die Übernahme von Spielerkonten, Identitätsdiebstahl, Phishing und alle möglichen anderen Formen von Datenschutzverletzungen. Was viele unterschätzen: die Risiken betreffen bei weitem nicht nur die Branche selbst.
Ein Gespräch mit Boris Cipot, Senior Sales Engineer bei Black Duck.
Wie haben Cybersicherheitsrisiken sich durch Gaming in den letzten Jahren verändert? Gibt es Zahlen?
Boris Cipot: Gaming hat sich vom simplen Szenario einzelner Spieler, beschränkt auf einen Computer, zu riesigen Online-Multiplayer-Plattformen entwickelt. Diese Plattformen werden von unterschiedlichen Foren, Spieleshops, Chatrooms und Kommunikationstools getragen und sind inzwischen zu einer riesigen weltweiten Community geworden. Man kann ohne Übertreibung sagen, dass sich das Gaming von einem gelegentlichen Zeitvertreib zu einem florierenden, vernetzten Industriezweig entwickelt hat.
Eine Branche, die auch auf viele andere Bereiche beeinflusst. Etwa die Unterhaltungsindustrie, die Kultur und Technologie und sogar den Sport. Dafür sorgen E-Sports-Wettbewerbe rund um Fußball, Basketball oder militär- oder strategiebasierte Spiele. Von dieser Entwicklung hat sowohl die Community profitiert als auch die Branche insgesamt. Fast schon naturgemäß hat das auch Cyberkriminelle angezogen. Die schiere Größe der Gaming User Base, kombiniert mit Zahlungsinformationen und persönlichen Daten, macht sie zu einem höchst attraktiven Ziel. Einige der häufigsten Bedrohungsarten sind:
Ransomware-Angriffe, von denen bereits profilierte Unternehmen wie Capcom und CD Projekt Red betroffen waren.
Der Diebstahl von Anmeldedaten, mehrheitlich durch Phishing-Angriffe, die spielbezogene Köder nutzen. Dies birgt ein besonders hohes Risiko, da Zugangsdaten für Spiele häufig auch für die Anmeldung an Unternehmenskonten verwendet werden. Kommt es zu einem Diebstahl, zeigt sich einmal mehr, wie gefährlich es ist Passwörter wiederzuverwenden.
Die Zahl der geknackten Spielerkonten ist weltweit in die Höhe geschnellt. Schätzungen gehen davon aus, dass im Jahr 2020 bereits über 10 Milliarden Zugangsdaten im Dark Web zum Verkauf angeboten wurden. Ein Report von Digital Shadows unter dem Titel „From Exposure to Takeover“ hat sich diesem alarmierenden Trend gewidmet
Das enorm gestiegene Interesse am Gaming hat die digitale Landschaft unbestreitbar umgestaltet. Und ganz unzweifelhaft gilt das auch für alle möglichen Aspekte der Cybersicherheit in dieser hoch dynamischen Branche.
Wird in der Cyber-Industrie ausreichend thematisiert, welche Risiken mit dem Gaming verbunden sind?
Boris Cipot: Das hängt natürlich stark davon ab, was man als „ausreichend“ erachtet. In den Medien bekommen Themen aus dem Bereich Gaming in aller Regel dann mehr Aufmerksamkeit, wenn etwas Gravierendes passiert ist. Sonst steht Gaming oft im Schatten von Branchen wie Fintech oder auch dem Gesundheitswesen. Das ist auf den ersten Blick durchaus nachvollziehbar: Wird ein Fintech-Konto geknackt, sind alle damit in Verbindung stehenden Finanzdaten gefährdet. Im Gesundheitswesen werden durch eine Sicherheitsverletzung potenziell sensible personenbezogene Daten offengelegt.
Bei einem Spielerkonto scheint sich das Risiko auf die Spieldaten und vielleicht noch die Kreditkarteninformationen zu beschränken. Leider geht es aber auch hier um mehr. Moderne Spielerkonten werden immer wertvoller. Vor allem, wenn sie digitale Werte wie Spieler-Skins, Waffen und andere Assets enthalten. Wenn gestohlene Vermögenswerte weiterverkauft werden, kann der ursprüngliche Besitzer Hunderte von Dollar verlieren. Zum Glück bieten viele Gaming-Anbieter zumindest eine Multi-Faktor-Authentifizierung (MFA) an, um die Konten zu schützen. Wirklich besorgniserregend wird es allerdings, wenn die gestohlenen Zugangsdaten für ein Spiel auch für sensible Plattformen wie ein Firmennetzwerk, eine Gesundheits-App oder ein Bankkonto verwendet werden.
Dann entsteht eine Bedrohungssituation, die nicht nur den jeweiligen Spieler betrifft. Dieselben Passwörtern für verschiedene Konten zu verwenden ist immer riskant. Also, ja. Aus meiner Sicht widmen wir dem Gaming-Markt in Sachen Cybersicherheit noch zu wenig Aufmerksamkeit.
Worin liegen die größten Risiken, wenn böswillige Akteure Spiele nutzen, um B2B-Unternehmen anzugreifen?
Boris Cipot: Meiner Meinung nach liegt das größte Risiko darin, dass Mitarbeitende ihre Firmengeräte oft wie private Devices behandeln – und darin, dass Administratoren das zulassen. So dürfen beispielsweise Spiele oder ähnliche Anwendungen auf Firmengeräten installiert werden. Dadurch steigt natürlich das Risiko, unwissentlich Malware oder Spyware zu installieren und Unternehmensressourcen zu gefährden. Phishing ist und bleibt einer der wichtigsten Angriffsvektoren. Cyberkriminelle haben es auf die Anmeldedaten von Spielerkonten abgesehen. Werden die dort verwendeten Passwörter zudem für Firmenkonten genutzt, ist es für Angreifer ein Leichtes, sich Zugriff zu verschaffen. Phishing-Versuche beschränken sich dabei nicht auf E-Mails, sondern werden auch auf Spieleplattformen, in Foren und sogar über Chat-Agenten im Spiel lanciert.