Sextortion

Cybersicherheit Glossar

Sextortion ist die Erpressung mit Hilfe von sexuellen Inhalten. Manche Leute nennen diese Art von Angriffen auch die „Porno-Masche“.

Bei Sextortion geben kriminelle Akteure vor, im Besitz von pikantem Material von ihren Opfern zu sein und drohen damit, diese Informationen und Daten zu veröffentlichen.

Daher auch der Name “Sextortion”. Er setzt sich aus den englischen Begriffen Sex und Extortion zusammen. Extortion heißt übersetzt Erpressung.

Wie gehen Cyberkriminelle bei Sextortion-Angriffe vor?

Sextortion kann auf unterschiedliche Weise erfolgen.  Die Polizei zum Beispiel unterscheidet grundsätzlich zwischen zwei  Phänomenen:

  • Sextortion nach Kontaktaufnahme über soziale Medien oder ähnliches
  • Sextortion nach Datenlecks

In beiden Fällen kann davon ausgegangen werden, dass die Erpresser tatsächlich über sensibles Material ihrer Opfer verfügen.

Sextortion nach Kontaktaufnahme über soziale Medien

In diesem Fall nehmen die Bedrohungsakteure Kontakt zu Einzelpersonen auf. Sie schreiben sie an und stehen in direktem Kontakt mit ihnen. Sobald genügend Vertrauen aufgebaut wurde, fordern die Täter ihre Opfer auf, bestimmte Handlungen sexueller Natur vorzunehmen. Dies kann vor der Kamera geschehen, aber auch Video- und Bildaufnahmen betreffen, die das Opfer von sich selbst aufnimmt und an die Angreifer schickt. Diese speichern die Daten und nutzen sie, um das Opfer unter Druck zu setzen und Geld zu erpressen. In diesem Fall greifen die Kriminellen auf Social-Engineering-Methoden zurück. Die Kriminellen bauen eine Beziehung zu dem Opfer auf, und sobald es ihnen vertraut, wird die Situation ausgenutzt. Ein ähnlicher Ansatz ist bei einigen Phishing-Angriffen zu erkennen. Auch hier werden menschliche Emotionen, z. B. Neugier, Angst, aber auch Scham, angesprochen, die dann bestimmte Reaktionen auslösen, wie z. B. die Weitergabe vertrauenswürdiger Informationen.

Sextortion nach Datenleaks

In diesem Fall hat der Kriminelle tatsächlich Zugriff auf den Computer und kann Dateien einsehen. Dies kann unter anderem durch das Einschleusen von Viren und anderer Schadsoftware, das Knacken von Passwörtern, aber auch durch die Nutzung ungesicherter WLAN-Verbindungen geschehen. Hat der Angreifer Zugriff auf die Systeme und Daten, kann er gezielt nach pikantem Material suchen, das er für den Erpressungsversuch verwenden kann. Dabei kann es sich auch um Bild- und Videomaterial handeln, das die Person selbst zeigt. Aber auch Chatverläufe, eine Übersicht über besuchte Seiten oder tatsächlich konsumiertes pornografisches Material nutzen die Täter, um die Opfer unter Druck zu setzen.

Eine weitere Methode – das Spiel mit der Angst

Neben diesen beiden Arten von Angriffen gibt es aber auch Erpressungsversuche, bei denen der Angreifer nur mit der Angst spielt und an das Schamgefühl des Opfers appelliert, aber eigentlich kein pikantes Material hat. Hier werden Erpresserbriefe an oftmals zufällig gewählte Personen – meist per E-Mail – verschickt. In den Nachrichten wird erklärt, wie die Täter an die Daten gelangt sind, und es folgt eine ungefähre Beschreibung des Materials, das angeblich in die falschen Hände geraten ist. Auch hier versucht der Betrüger, Geld zu erpressen. Doch kann durchaus auch weiterer Schaden angerichtet werden. Mit dieser Methode kann Schadsoftware auf den Geräten platziert werden. Verlinkt der Täter beispielsweise auf die angeblich gestohlenen Daten, um zu beweisen, dass er tatsächlich im Besitz der Fotos, Videos ist, muss das Opfer nur noch auf den Link klicken und schon wird Malware heruntergeladen.

Wie wahrscheinlich es ist, Opfer von Sextortion zu werden.

Sie fragen sich vielleicht, wie wahrscheinlich es ist – vor allem im Arbeitsumfeld – Opfer eines Sextortion-Angriffs zu werden und welche Bedrohung dieser Betrug konkret darstellt. Tatsächlich ist es gar nicht so abwegig. Laut dem Statusbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland 2022 machen Sextortion-E-Mails mit 76 % den größten Anteil an den Erpressungs-E-Mails aus und gehören mittlerweile neben Identitätsdiebstahl und Fake-Shops zu den Top-3-Cyber-Bedrohungen für die Gesellschaft.

Schutz vor Sextortion

Sie können einige Maßnahmen ergreifen, um sich – wenn auch oftmals eher indirekt – vor Sextortion zu schützen.

Investieren Sie in einen Mindeststandard an Cyberhygiene. 

So verhindern Sie, dass sich kriminelle Hacker einfach und schnell Zugang zu Ihrem Computer und damit zu Ihren Systemen und Daten verschaffen. Dazu gehört unter anderem:

  • Verwenden Sie sichere und einzigartige Passwörter
  • Aktualisieren Sie Ihre technischen Schutzmaßnahmen regelmäßig und zeitnah
  • Installieren Sie eine Multi-Faktor-Authentifizierung, wo dies möglich und sinnvoll ist

Achtung: Unabhängig von Sextortion-Versuchen raten wir Ihnen, nicht auf einen Link in E-Mails zu klicken, die Ihnen dubios oder verdächtig vorkommt, denn dahinter kann sich Malware verbergen. Im Zweifelsfall sollten Sie lieber einen Umweg machen und die Seiten in Ihrem Browser suchen und so aufrufen.

Verhalten Online

Generell sollte man sich im Internet mit Vorsicht bewegen. Ein gesundes Maß an Misstrauen ist besonders bei Kontaktanfragen von Vorteil – vor allem von unbekannten Personen. Teilen Sie keine vertraulichen oder sensiblen Informationen per E-Mail, SMS oder am Telefon mit. Im Hinblick auf mögliche Sextortion-Versuche sollten Sie immer vorsichtig sein, an wen Sie welche Aufnahmen schicken. Außerdem ist es ratsam, keine intimen Handlungen in Videoanrufen vorzunehmen, da die andere Person das Video speichern oder Screenshots machen könnte. Das Material kann gegen Sie verwendet werden. Dies kann auch auf Personen zutreffen, die Sie kennen und denen Sie eigentlich vertrauen.

Sie werden bereits erpresst?

Gehen Sie nicht auf die Forderungen ein und zahlen Sie nicht. Wenden Sie sich an die Polizei und zeigen Sie den Fall an. Besprechen Sie die nächsten Schritte mit der zuständigen Behörde. Fachleute können Ihnen dann helfen, den Fall zu lösen. Auch die Beauftragung von IT-Sicherheitsexperten kann Ihnen helfen. Mit Hilfe von Cyberexperten können Sie herausfinden, ob und wie sich kriminelle Akteure Zugang zu Ihrem Computer verschafft haben. Auf diese Weise kann so mancher Erpressungsversuch im Keim erstickt werden, wenn festgestellt werden kann, dass kein krimineller Hacker Zugang zu delikaten Daten hatte.