Das größte Risiko sitzt vor dem Endgerät, meint Autor Mario Buchinger. Zwar werden im Kampf gegen Cyberkriminalität Unmengen an Geld und Ressourcen in technische Lösungen investiert - und, keine Frage, diese Investitionen sind gut angelegt. Was aber oft zu kurz kommt, ist die Investition in die Menschen, die mit IT-Systemen arbeiten.
Wirklich alle, auch Expert*innen, können Opfer von Cyberkriminalität werden. Wenn Leute glauben, ihnen könnte das nicht passieren, haben sie bereits die besten Voraussetzungen erfüllt, selbst Opfer von Betrügern zu werden. Wem das Problem im Grundsatz bewusst ist, der greift oft zu technischen Lösungen: Firewalls, Spam-Filter, Zugriffsbeschränkungen, regelmäßige Updates, Multi-Faktor-Authentifizierung und versionierte Backups. Das alles ist von Fachleuten schnell eingerichtet und konfiguriert. Das Vertrauen auf die technischen Maßnahmen greift aber zu kurz.
Error 40 – Das größte Problem ist der Mensch
Vielleicht ist Ihnen bei IT-Expert*innen schon mal der Begriff »Error 40« über den Weg gelaufen. Damit sind immer die Anwender*innen vor dem Endgerät gemeint, sie sitzen meist 40 cm vor dem Bildschirm. Selbstverständlich versagt auch gelegentlich die Technik, aber in 90 % der Fälle greifen Kriminelle nicht auf der technischen, sondern auf der menschlichen Ebene an. Das wird als »Social Engineering« bezeichnet. Die Angreifer*innen manipulieren uns mit Emotionen, wie Angst oder Dringlichkeit, Neugier oder der Aussicht auf einen Gewinn oder Vorteil. Wie gehen Sie dabei vor?
Phishing
Phishing, das Mischwort aus »password« und »fishing« sollte sich schon herumgesprochen haben. Dabei tarnen sich die Betrüger*innen als vermeintlich vertrauenswürdige Quelle (Bank, Kreditkarteninstitut, Versandhändler, Zustelldienst) und mittels Massen-Phishing-E-Mails sollen wir animiert werden, auf einen Link zu klicken über den sich Malware auf dem Rechner installiert.
Phishing gibt es auch in Unterarten, wie »SMS-Phishing (Smishing)« über Textnachrichten am Endgerät oder »Voice-Phishing (Vishing)« in Kombination mit Telefonanrufen. Mittlerweile erstellen Hacker*innen auch Websites mit Malware und lassen diese bei den Google-Suchergebnissen oben ranken. Anscheinend lohnen sich die Werbeausgaben beim sogenannten Suchmaschinen-Phishing und genügend Leute klicken auf diese Webseiten und die dort enthaltenen Links. Diese Techniken sind auf eine breite Masse und unspezifische Ziele ausgelegt.
Wenn der Angriff auf ein bestimmtes Unternehmen oder eine Organisation gestartet wird, kommt »Spear Phishing« oft in Kombination mit »Dumpster Diving« zum Einsatz. Dabei werden Informationen in sozialen Netzwerken gesammelt, um die Kontakte personalisiert anzusprechen. Das kann etwa ein Newsletter der alten Schule mit der Einladung zum Klassentreffen sein. Klassiker im Standardrepertoire der Betrüger*innen sind auch ein nachgebautes Infomail der Marketingabteilung oder ein Anruf der vermeintlichen IT-Abteilung mit der Aufforderung schnell den Link für ein Update zu klicken.
Beim sogenannten »Dumpster Diving« (Mülltauchen) durchsuchen die Kriminellen tatsächlich den Müll der Zielperson. Aber häufig reicht die Onlinespurensuche aus um eine erfolgreiche Angriffsstrategie mit personalisierten Daten aufzubauen. Eine höhere Phishingquote rechtfertigt den Aufwand anscheinend.
Angst und Druck
Neben der Neugier wird von den Angreifenden gerne mit Angst gearbeitet. Mittels E-Mails und sogenannter Scareware wird den Empfänger*innen vorgegaukelt, dass hohe Strafen drohen, etwa vom Finanzamt oder einer anderer Behörde, wenn man sich nicht schnell über den eingebetteten Link zurückmeldet.
Wenn der betreffende Support mitangeboten wird, ist im Fachjargon auch gerne von »Pretexting« die Rede. Dann informiert die falsche Kreditkartenfirma über einen angeblichen Hack des Kontos und teilt mit, man solle über eine Eingabemaske die richtigen Kreditkartendaten nochmals bestätigen. Damit schnappt die Falle zu. Das Spiel mit der Dringlichkeit und Angst hat beim »CEO Fraud«, dem Nachbau von E-Mails der erfundenen Geschäftsleitung an die Finanzabteilung bereits im größeren Umfang funktioniert. Unternehmen wie die österreichische FACC haben dadurch Millionen an falsche Empfänger überwiesen.
Weitere Anreize
Obwohl man es besser wissen sollte, funktionieren sogenannte »Quid pro quo«-Fallen mit vermeintlichen Gewinnen oder Gegenleistungen etwa bei Umfragen noch immer bestens. Wer gewinnt bei dem Spiel? Der Veranstalter. Im einfachsten Fall erhält er »nur« Ihre Kontaktdaten, im schlimmeren Fall erhalten Sie Malware.
Damit wären wir auch schon beim »Baiting« (Ködern). Infizierte Spiele oder Downloads von Musik oder Software sind mittlerweile Standard. Bei einem gezielten Angriff wird auch noch ein physischer Köder ausgelegt. Denn irgendjemand nimmt den USB-Stick, der auf dem Firmenparkplatz herumlag, sicherlich mit und steckt ihn in ein Endgerät. Auch Bequemlichkeit kann zur Falle werden. Bei den sogenannten »Watering-Hole«-Angriffen wird uns wie bei den Tieren in der Savanne am Wasserloch aufgelauert. Wir sind mit dem Mittagsmenü des üblichen Restaurants gegenüber des Firmensitzes beschäftigt und merken nicht, dass diese Seite mit Malware infiziert ist. Beim Download des Mittagsmenüs ist es geschehen. Bei großen Unternehmen mit großen Firmensitzen kann sich dieses Vorgehen für die Kriminellen lohnen.
Oldschool, aber noch immer erfolgreich
Beim »Shoulder surfing« wird der PIN für die Kreditkarte oder für das Handy abgegriffen. Geübtere Angreifer*innen können im Vorbeigehen auch das Laptop-Passwort erkennen. In Zeiten vernetzter Geräte kann ein gestohlenes und so entsperrtes Mobilgerät jede Menge Ärger einbringen. Das Gleiche gilt beim »Tailgaiting« (Drängeln). Schnell noch jemandem die Tür aufzuhalten, ist zwar freundlich, kann aber Unbefugten Tür und Tor öffnen. Das Gleiche gilt für die Bitte, kurz mal das Mobiltelefon oder den Laptop ausborgen zu dürfen. Ein paar Sekunden reichen für Geübte um Schadsoftware zu installieren oder Daten zu entwenden.
Lineare Zusammenhänge funktionieren nicht
Social Engineering funktioniert nicht ohne die »Mitarbeit« der betreffenden Zielperson. Daher braucht es das Verständnis, dass IT-Sicherheit alle angeht und Angriffe jede*n treffen können. Im Vergleich zu den Investitionen in Hardware und Software sind die Kosten für die menschliche Gefahrenabwehr auf Dauer wesentlich höher. Für alle Mitarbeitenden brauchte es gezielte Trainingsmaßnahmen, um ihnen einen Überblick zu verschaffen, wo welche Gefahren lauern. Das endet nicht im Firmenkontext, sondern betrifft auch soziale Netzwerke, in denen die Mitarbeitenden agieren.
Doch nur Wissen zu vermitteln, greift zu kurz. Die Anwendung im Notfall muss kontinuierlich trainiert werden. Das geht zum Beispiel durch Pen-Tests, bei denen Mitarbeitende mit Täuschungs-E-Mails oder -Anrufen in eine »Falle« gelockt werden. Solche Maßnahmen sind sehr wirkungsvoll. Voraussetzung dafür ist jedoch eine Fehlerkultur, die Fehlverhalten nicht bestraft, sondern daraus das erkennbare Verbesserungspotenzial ableitet.
There is no Glory in Prevention
Um in solche Qualifikationsmaßnahmen zu investieren, braucht es einen langfristigen Blick und unternehmerisches Handeln. Manager*innen mit kurzfristigen Zielen und Amortisationsvorgaben werden vermutlich nicht in so wirksame Maßnahmen investieren – mit fatalen Folgen. Die Kosten von Ransomware Attacken in Unternehmen können in die Millionen gehen. Zudem werden oft die rechtlichen Auswirkungen eines sogenannten Data Breaches vergessen, wenn über den gehackten Zugang Daten entwendet werden. Dann beginnt das ganze Prozedere der DSGVO mit allen bekannten Folgen (Schaden evaluieren, Meldung bei der Datenschutzbehörde binnen 72 Stunden, Information der betroffenen Personen, Krisenkommunikation). Die Investition in die Mitarbeitenden ist daher sehr gut angelegt, denn potenzielle Folgeschäden sind wesentlich teurer.
(Foto: iStock)
Über den Autor
Mario Buchinger ist (Ökonomie-)Physiker, Musiker und Autor. Der Lean- und Kaizen-Spezialist war zehn Jahre als Angestellter und Führungskraft bei Daimler und Bosch tätig, bevor er 2014 das Unternehmen Buchinger|Kuduz gründete, das auf Strategie-, Prozess- und Klima-Transformation spezialisiert ist. Zu den Kunden zählen neben Industrieunternehmen auch Banken und öffentliche Behörden.
(Foto: Schaeffler)