In Filmen sieht man sie immer wieder: Große Hackerangriffe auf Unternehmens-Infrastrukturen. Rechner fallen aus, Daten werden entwendet, Programmierer versuchen verzweifelt, den Angriff abzuwehren. Das wirkt nicht selten wie eine digitale Militäroffensive. Nicht nur echte Kriege werden heutzutage oft statt mit Heeren von Bodentruppen eher mit Sondereinsatzkommandos und Drohnen geführt. Auch die Welt der Hacker ist leiser geworden, auch sie agieren aus dem Verborgenen und werden im schlimmsten Fall erst bemerkt, wenn der Schaden angerichtet ist.
Die Cyber-Angreifer haben sich angepasst an die wachsenden Sicherheits-Maßnahmen der meisten Unternehmen. Die haben inzwischen oft einen sogenannten „Perimeter“ aufgebaut, einen digitalen Schutzwall um die Daten-Infrastruktur des Unternehmens herum. „Was die Angreifer erkannt haben, ist, dass Unternehmen sich am Perimeter sehr gut wappnen – mit diversen Cybersecurity-Technologien. Also geht man zu einem ganz zielgerichteten Angriffsmuster über und greift statt Technologie die Menschen an“, erklärt Georgeta Toth, Leiterin des Zentraleuropa-Geschäfts des Cybersecurity-Experten Proofpoint.
Gegen einen Hackerangriff der alten Schule konnte der durchschnittliche Büroangestellte nichts ausrichten – wie zum Beispiel gegen eine DDoS-Attacke, bei der mit massenhaften Anfragen der Server zum Absturz gebracht wird. Nun findet er sich auf der anderen Seite der Gleichung wieder: Er ist der Einzige, der den Angriff verhindern kann. Denn moderne Hacker gehen filigraner vor und haben den Menschen als Ziel.
Sie beginnen bei der Außendarstellung des Unternehmens: Über öffentlich gemachte Organigramme beispielsweise, die sich im Internet massenhaft finden. Schon hat der Hacker den Namen eines Angestellten aus der Buchhaltung. Noch kurz einige E-Mail-Adressen des Unternehmens durchgesehen und schon ist ein Muster entdeckt: Zum Beispiel Vorname.Nachname@xyz.de, oder doch V.Nachname? Und schon gibt es eine Kontaktmöglichkeit für den Angreifer. Als nächstes folgt eine E-Mail mit einem gefälschten Link, der aussieht wie die ganz normale Webseite, auf der Anwender ihre Zugangsdaten eingeben. Unachtsame Mitarbeiter denken sich nichts dabei und loggen sich scheinbar neu ein. „Schon kann der Angreifer sehr leicht auf das Konto zugreifen“ – Georgeta Toth sieht diese Vorgehensweise häufig.
Es wird überall da gefährlich, wo ohne Not Informationen ins Netz gestellt werden. Dazu gehören heute auch soziale Netzwerke wie Facebook und Instagram. Toth erinnert sich an einen besonderen Fall: Ein schwäbisches Unternehmen war unbemerkt ins Fadenkreuz der organisierten Industriespionage geraten. Der Geschäftsführer dokumentierte nichtsahnend seinen privaten Brasilien-Urlaub auf Facebook, was leider nicht nur seine Familie und Freunde erfreute. Hacker schickten ihm eine folgenschwere E-Mail, die aussah, als käme sie vom Mailanbieter seiner Firma. Dabei gehen die Kriminellen trickreich vor, schreiben beispielsweise: „Sie befinden sich in einem anderen Land, Sie befinden sich in einem fremden Netz, geben Sie zur Sicherheit bitte Ihre Zugangsdaten nochmals ein". In dem Moment schnappt die Falle zu. Mit den abgefangenen Log-In-Daten schrieben die Cyber-Kriminellen im Namen des Chefs eine E-Mail an den technischen Leiter: „Herr Meier, Sie wissen ja, ich bin in Brasilien. Ich habe eine tolle Geschäftsmöglichkeit aufgetan, bitte schicken Sie mir nochmal die technischen Daten des Prototyps XY.“ Der Mitarbeiter wusste von dem Brasilien-Urlaub, die Nachricht enthielt vertrauenerweckende Details, er sandte die Daten ohne zu zögern. Die Hacker hatten gewonnen.
Dabei wird auch psychologisch aufgerüstet. „Cyberangreifer arbeiten mit den Schwächen des Menschen“, weiß Georgeta Toth. „Sie bauen Vertrauen auf, machen Vorgänge ‚dringend‘, aber ohne zu großen Druck aufzubauen. Die Legitimität ist überprüfbar, es stammt von der echten E-Mailadresse. Der Absender gibt mir eine Information, die ich kenne, das schafft im Unterbewusstsein so viel Vertrauen, dass ich die Aufforderung nicht infrage stelle und reagiere.“
Was schützt Unternehmen gegen Cyber-Attacken?
Das Einzige, was hilft, ist eine „persönliche Firewall“: Die Angestellten müssen selbst Teil des Security-Mechanismus werden. Am wichtigsten ist dabei die Achtsamkeit gegenüber kleinen Ungereimtheiten. Warum schreibt mir plötzlich Herr Meier persönlich, wenn er sonst immer über meinen Vorgesetzten auf mich zu kam? Warum hat Frau Müller plötzlich eine andere, möglicherweise unpassende E-Mail-Signatur? Drückt der Kollege sich in seiner Nachricht plötzlich völlig anders aus als sonst? Toth rät: „Wir müssen auf jedes einzelne Detail achten und in dem Moment, in dem wir einen Funken Zweifel haben, ob etwas nicht richtig erscheint, kann man immer nochmal Rücksprache per Telefon halten. Der Mitarbeiter muss mitdenken, denn er ist die letzte Hürde für den Angreifer.“ Eine menschliche Zwei-Faktor-Authentifizierung, sozusagen.
Die Aufmerksamkeit der Angestellten ist das einzige, das zwischen dem attackierten Unternehmen und einem luxuriösen Lebensabend der Datenpiraten in der Südsee steht. Der Lieferant ändert plötzlich die Bankverbindung? Lieber nochmal anrufen und fragen, ob das auch stimmt. Die Personalabteilung will auf einmal sensible Auszüge aus der Kundendatenbank zugesandt bekommen? Am besten persönlich vorbeigehen und fragen, wofür sie die benötigen. Das mag für einen selbst und die Kollegen etwas unbequem sein. Doch die mahnenden Beispiele sind zahlreich: Georgeta Toth berichtet von einer deutschen Bank, die auf eine gefälschte Aufforderung reagierte und sensible Kundendaten herausgab. Die außergerichtlichen Einigungen kosteten die Bank sechs- bis siebenstellige Beträge.
Die Gefahr lauert oft an Stellen, an denen der Nutzer eigentlich das Gefühl hat, für mehr Sicherheit zu sorgen: Die scheinbare erneute Identifizierung mit den E-Mail-Zugangsdaten sorgt für den Identitätsdiebstahl. Und die Abwesenheitsnotiz, die als Zeichen von Professionalität und Verlässlichkeit gedacht ist, gibt Cyberkriminellen einen Ansatzpunkt, um sich ihre Strategie zurechtzulegen. „Wir empfehlen, so wenig Informationen wie möglich rauszugeben“, mahnt Toth. Also kein genaues Rückkehrdatum oder den Zweck der Abwesenheit. „Denn die Informationen, die über eine Abwesenheitsnachricht verschickt werden, können ja wieder verwendet werden, um Vertrauen zu bilden. Dann schreibt der Angreifer einfach einen Kollegen an: ‚Sie wissen ja, Herr Meier ist bis zum 27. in Urlaub. Ich habe mit ihm telefoniert und er hat mir gesagt, ich soll mich an Sie wenden.‘ In dem Moment habe ich Vertrauen geschaffen und im Gehirn schaltet sich die Vorsicht aus.“
Wie sieht dann die perfekte Abwesenheitsnotiz aus, um unbeschwert in den Urlaub fahren zu können? „Ich würde sagen: ‚Ich befinde mich momentan auf einer Dienstreise‘, ich würde auch nie ‚Urlaub‘ schreiben. Denn dann beginnt sofort die Suche, in Social Media wie Instagram und auf anderen Plattformen. ‚Ich werde mich zeitnah um Ihre Angelegenheit kümmern. Sollte es dringend sein, wenden Sie sich bitte an Herrn Meier‘, und dann die E-Mailadresse von Herrn Meier hinterlegen.“
Das mag nicht für jeden Angestellten möglich sein, der damit vielleicht eine E-Mail-Flut bei seinen Kollegen auslösen und für viel Unmut sorgen würde. Und das, obwohl er womöglich niemals mit kritischen Informationen in Kontakt kommt. Für Geschäftsführer, CFOs und Buchhaltungsangestellte ist diese Vorsicht aber unverzichtbar. Alle anderen sollten zumindest sensibler darauf achten, welche Daten sie wem geben, und was sie – auch über eine allgemeine Mail-Abwesenheitsnotiz – öffentlich zugänglich machen.
