WiWo App Jetzt gratis testen
Anzeigen

IT-Risikofaktor Mensch Wie eine Abwesenheitsnotiz ein Unternehmen Millionen kosten kann

Hackerangriffe: So vermeiden Sie eine Cyberattacke Quelle: imago images

Moderne Cyberkriminelle greifen aus dem Verborgenen an und werden oft erst bemerkt, wenn das Unternehmenskonto geplündert ist. So verhindern Sie, dass ein kleiner Fehler Ihr Unternehmen teuer zu stehen kommt.

In Filmen sieht man sie immer wieder: Große Hackerangriffe auf Unternehmens-Infrastrukturen. Rechner fallen aus, Daten werden entwendet, Programmierer versuchen verzweifelt, den Angriff abzuwehren. Das wirkt nicht selten wie eine digitale Militäroffensive. Nicht nur echte Kriege werden heutzutage oft statt mit Heeren von Bodentruppen eher mit Sondereinsatzkommandos und Drohnen geführt. Auch die Welt der Hacker ist leiser geworden, auch sie agieren aus dem Verborgenen und werden im schlimmsten Fall erst bemerkt, wenn der Schaden angerichtet ist.

Die Cyber-Angreifer haben sich angepasst an die wachsenden Sicherheits-Maßnahmen der meisten Unternehmen. Die haben inzwischen oft einen sogenannten „Perimeter“ aufgebaut, einen digitalen Schutzwall um die Daten-Infrastruktur des Unternehmens herum. „Was die Angreifer erkannt haben, ist, dass Unternehmen sich am Perimeter sehr gut wappnen – mit diversen Cybersecurity-Technologien. Also geht man zu einem ganz zielgerichteten Angriffsmuster über und greift statt Technologie die Menschen an“, erklärt Georgeta Toth, Leiterin des Zentraleuropa-Geschäfts des Cybersecurity-Experten Proofpoint.

Gegen einen Hackerangriff der alten Schule konnte der durchschnittliche Büroangestellte nichts ausrichten – wie zum Beispiel gegen eine DDoS-Attacke, bei der mit massenhaften Anfragen der Server zum Absturz gebracht wird. Nun findet er sich auf der anderen Seite der Gleichung wieder: Er ist der Einzige, der den Angriff verhindern kann. Denn moderne Hacker gehen filigraner vor und haben den Menschen als Ziel.

Sie beginnen bei der Außendarstellung des Unternehmens: Über öffentlich gemachte Organigramme beispielsweise, die sich im Internet massenhaft finden. Schon hat der Hacker den Namen eines Angestellten aus der Buchhaltung. Noch kurz einige E-Mail-Adressen des Unternehmens durchgesehen und schon ist ein Muster entdeckt: Zum Beispiel Vorname.Nachname@xyz.de, oder doch V.Nachname? Und schon gibt es eine Kontaktmöglichkeit für den Angreifer. Als nächstes folgt eine E-Mail mit einem gefälschten Link, der aussieht wie die ganz normale Webseite, auf der Anwender ihre Zugangsdaten eingeben. Unachtsame Mitarbeiter denken sich nichts dabei und loggen sich scheinbar neu ein. „Schon kann der Angreifer sehr leicht auf das Konto zugreifen“ – Georgeta Toth sieht diese Vorgehensweise häufig.

Es wird überall da gefährlich, wo ohne Not Informationen ins Netz gestellt werden. Dazu gehören heute auch soziale Netzwerke wie Facebook und Instagram. Toth erinnert sich an einen besonderen Fall: Ein schwäbisches Unternehmen war unbemerkt ins Fadenkreuz der organisierten Industriespionage geraten. Der Geschäftsführer dokumentierte nichtsahnend seinen privaten Brasilien-Urlaub auf Facebook, was leider nicht nur seine Familie und Freunde erfreute. Hacker schickten ihm eine folgenschwere E-Mail, die aussah, als käme sie vom Mailanbieter seiner Firma. Dabei gehen die Kriminellen trickreich vor, schreiben beispielsweise: „Sie befinden sich in einem anderen Land, Sie befinden sich in einem fremden Netz, geben Sie zur Sicherheit bitte Ihre Zugangsdaten nochmals ein". In dem Moment schnappt die Falle zu. Mit den abgefangenen Log-In-Daten schrieben die Cyber-Kriminellen im Namen des Chefs eine E-Mail an den technischen Leiter: „Herr Meier, Sie wissen ja, ich bin in Brasilien. Ich habe eine tolle Geschäftsmöglichkeit aufgetan, bitte schicken Sie mir nochmal die technischen Daten des Prototyps XY.“ Der Mitarbeiter wusste von dem Brasilien-Urlaub, die Nachricht enthielt vertrauenerweckende Details, er sandte die Daten ohne zu zögern. Die Hacker hatten gewonnen.

Dabei wird auch psychologisch aufgerüstet. „Cyberangreifer arbeiten mit den Schwächen des Menschen“, weiß Georgeta Toth. „Sie bauen Vertrauen auf, machen Vorgänge ‚dringend‘, aber ohne zu großen Druck aufzubauen. Die Legitimität ist überprüfbar, es stammt von der echten E-Mailadresse. Der Absender gibt mir eine Information, die ich kenne, das schafft im Unterbewusstsein so viel Vertrauen, dass ich die Aufforderung nicht infrage stelle und reagiere.“

Inhalt
Artikel auf einer Seite lesen
Diesen Artikel teilen:
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Benachrichtigung aktivieren
Dürfen wir Sie in Ihrem Browser über die wichtigsten Themen der WirtschaftsWoche informieren? Sie erhalten 1 bis 3 Meldungen pro Tag.
Fast geschafft
Erlauben Sie www.wiwo.de, Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert
Wir halten Sie ab sofort über die wichtigsten Themen der WirtschaftsWoche auf dem Laufenden. Sie erhalten 1 bis 3 Meldungen pro Tag.
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%