Manche Unternehmen wollen es wissen: Dann startet Werner Metterhausen die verdeckte Attacke. „Bei XING und anderen Websites recherchiere ich Mitarbeiter der Firma“, erzählt er. „Und vor allem: Ihre Vorlieben und Freunde.“ Auch über die Netzwerk- und Softwarestruktur der Firma hat er über ganz normale Internet-Angebote wie Hersteller-Foren meistens schnell Infos beisammen.
Im nächsten Schritt bastelt er sich mit einem Hackertool einen individuellen, maßgeschneiderten Trojaner, tarnt den Absender seiner Mail als einen Freund des Firmenmitarbeiters und schickt diese Mail an den arglosen Empfänger in das Unternehmen: „Wenn ich beispielsweise herausgefunden habe, dass er und ein Freund den Hundesport als Hobby haben“, so Metterhausen, „so erhält er eine für ihn interessante Mail mit einer Datei dazu und denkt, dass diese von dem Freund kommt.“
Der Firmenangestellte öffnet den Anhang und schon kann die Wirtschaftsspionage beginnen, völlig unbemerkt von den gängigen Schutzsystemen. Meistens reicht den Unternehmen schon die Schilderung des Ablaufs, manchmal demonstriert Metterhausen dies aber auch in der Praxis. „Es ist ganz normal“, sagt Metterhausen, „dass Menschen auf persönliche Ansprache auch reagieren. Der Computer wird nicht als kritisches System betrachtet, der Klick auf die Mail vom Freund ist ganz normales Verhalten.“
“Bei 20.000 Einwohnern gibt es auch 200 Verbrecher und Deppen“
Zum Glück ist Metterhausen ein Freund, kein Spion und kein Datendieb. Werner Metterhausen ist Sicherheitsberater – und sein Ansatz geht weit über die Angriffe aus dem Internet hinaus. So kritisiert er den oft einseitigen Blickwinkel auf die Probleme. „Das Internet ist böse und wir sind lieb“, sagt er, „das ist die falsche Einstellung.“ Schließlich gebe es auch in einer 20.000-Einwohner-Stadt mindestens 200 Verbrecher Deppen. „Die Bedrohung von innen wird oft unterschätzt.“
Wenn dann der nach außen hoch gesicherte Server in der Besenkammer der Filiale steht, dann hat nicht nur die Putzfrau darauf Zugriff, sondern zerstört ihn möglicherweise auch versehentlich, wenn der Putzeimer umkippt. „Der Ansatz muss ganzheitlich sein“, sagt Metterhausen. „Platt gesagt: Wenn der Strom ausfällt, funktioniert auch der Server nicht mehr. Das schützt zwar auch gegen Online-Spionage, aber die Firma verdient kein Geld mehr.
Beratung in Sicherheitsfragen
Metterhausen schaut so in das Unternehmen und analysiert individuell Schwachstellen. „Natürlich versuche ich für diese Probleme zu sensibilisieren“, sagt er. „Aber die Verantwortung lässt sich auch nicht auf die Mitarbeiter abstreifen, Vorgaben und echter Wille, sicherer und besser zu werden, müssen „von oben“ kommen.“
Der Spion im Firmenauftrag konzipiert auch technische und organisatorische Maßnahmen, die das Sicherheitsanliegen unterstützen. Und sorgt so dafür, dass bei der nächsten Mail vom Freund mit dem Foto vom Hundesportwettbewerb der Mitarbeiter sensibilisiert und die Server der Entwicklungabteilung gut abgeschottet sind.
