Cyberangriffe richtig abwehren – selten nur ein Thema der IT

Der Einstieg ins neue Clubjahr hätte spannender – und erhellender – kaum sein können. Unter dem Motto „Cyberangriffe richtig abwehren – selten nur ein Thema der IT“ widmeten sich Thomas Floß und Sebastian von der Au einem Thema, das viele Unternehmen nach wie vor unterschätzen. Dabei ist die Anzahl der Straftaten im Bereich Cybercrime in den vergangenen Jahren kontinuierlich angestiegen. Insgesamt hat das Bundeskriminalamt für 2021 rund 146.363 Delikte registriert – gut 12 Prozent mehr als im Jahr davor.

„Die Frage ist nicht, ob es jemanden trifft, sondern nur wann!“, unterstreicht Sebastian von der Au, der seit Oktober 2022 Inhaber der EDV-Unternehmensberatung Floß GmbH ist. Gemeinsam mit Unternehmensgründer Thomas Floß will er im Vortrag für typische Angriffsstrategien sensibilisieren, aber auch Abwehrmaßnahmen erläutern. Dabei wird schnell klar, mit wie viel Fachkenntnis und Leidenschaft die beiden Referenten im Bereich Informationssicherheit und Datenschutz unterwegs sind.

„Ich finde es fantastisch, Menschen auszuspionieren“, lacht Thomas Floß. „Aber ich bin auf der hellen Seite der Macht geblieben. Unsere Aufgabe ist es, Schwachstellen aufzudecken und Risiken bewusst zu machen.“ Sebastian von der Au ergänzt: „Wir möchten zeigen, wie einfach es für Hacker ist, an Informationen zu kommen und Unternehmen anzugreifen.“

Ganz am Anfang steht häufig eine Fehleinschätzung: Gerade kleinere Unternehmen glauben, sie seien für Hacker nicht interessant. „Aber das stimmt nicht“, betont der IT-Experte. „Große Unternehmen haben Cyber-Security-Abteilungen. Gerade der Mittelstand steht im Fokus. Er ist u. a. interessant, weil er bei Konzernen ein und ausgeht und Zugang zu den Kundensystemen hat.“ Ziel der Angreifer ist es, dort Informationen zu erhalten, die sie für Identitäts- und Datendiebstahl, finanzielle Gewinne oder Erpressung nutzen können. Dem verbreiteten Irrglauben, nichts zu verbergen zu haben, setzt Thomas Floß entgegen: „Jede noch so kleine Information ist potenziell wertvoll.“

Schritt 1 für Angreifer ist folglich das Sammeln von Informationen. Selbst auf völlig legalem Weg ist es sehr einfach, Daten über ein Unternehmen und die Mitarbeitenden zu erhalten. Etwa über die Unternehmenswebsite oder über Xing. Hier finden sich oft auch Anknüpfungspunkte, wie man sich einer Person nähern kann, etwa Hinweise zu Hobbys oder ob jemand mit Rad oder Bus zur Arbeit fährt. „Human Based“ bezeichnet die direkte soziale Annäherung an eine Person. Und der sogenannte „Human Factor“ ist zumeist einfacher zu überwinden als jede Firewall. „Es ist erstaunlich, was sich erfahren lässt, wenn man allein bei einer Bahnfahrt die Gespräche der Mitreisenden ‚belauscht‘ oder auf deren Laptop schaut“, so Sebastian von der Au. Dabei ließe sich Letzteres durch einfache Maßnahmen wie seitlichen Sichtschutz am Laptop verhindern. Aber auch die Datensammlung vor Ort gelingt oft viel zu leicht: Am Pförtner vorbeischleichen und in leere, unverschlossene Büroräume schauen. Vielleicht steht etwas Spannendes auf den Flipcharts oder es lässt sich ein USB-Stick mit Schadsoftware platzieren, den früher oder später garantiert jemand benutzt. „Die Kantine ist ebenfalls ein wunderbarer Ort, um betriebsinterne Informationen zu sammeln.“

„Computer Based“ ist die zweite Methode, um Informationen zu sammeln. Hier kommt etwa ein Data-Mining-Werkzeug wie Maltego zum Einsatz. Eine Analyse-Software, mit der sich Infos im Internet suchen und verknüpfen lassen. Dieses Sammeln ist völlig legal, es geht um Infos, die die Firmen selbst irgendwann veröffentlicht haben – ohne zu ahnen, was sie damit preisgeben.

Auf das Sammeln der Informationen folgt der nächste Schritt, der Angriff. Ein Beispiel ist der CEO-Fraud, bei dem sich der Angreifer als Geschäftsführer ausgibt, wofür es nur dessen Mailadresse braucht. „Skeptisch sollte man werden, wenn in einer Mail zeitlicher Druck aufgebaut wird oder auf dringende Geheimhaltung verwiesen wird“, unterstreicht Sebastian von der Au.

Ein weiterer Irrglaube ist, dass Angreifer etwa nach einem erfolgreichen Phishing-Angriff sofort zuschlagen. Oft ziehen sie sich erst zurück, denn sie haben Zeit. „Für Unternehmen heißt das, dass sie ihre Back-up-Strategie umstellen sollten“, betont Thomas Floß. Sie sollte möglichst weit zurückreichen, um die Daten vor der Zeit des Angriffs zu sichern.

Die Bedrohung der Zukunft könnten übrigens Deepfake-Videos sein. Wer skeptisch ist, ob er gerade mit dem echten Gesprächspartner in einer Video-Konferenz sitzt, sollte zu einer Handlung auffordern, mit der vorab niemand rechnen konnte. Außerdem: Auf Mimik und natürliche Reaktionen wie Blinzeln achten.

Oft haben die Angreifer aber mit deutlich einfacheren Methoden Erfolg. „Deshalb ist es so wichtig, Mitarbeitende immer wieder zu sensibilisieren“, unterstreicht Sebastian von der Au. Was plaudern sie wo aus, schließen sie ihre Büros ab und vor allem: Welche Mails klicken sie an. Hier kommen Lucy oder GoPhish zum Einsatz, Tools zur Simulation von Phishingangriffen. „Einer klickt immer drauf“, so die Erfahrung der Referenten. „Aber wenn Mitarbeitende gut geschult sind, ist das ein guter Schutz zumindest vor einfachen Phishing-Angriffen.“

Text: Stefanie Gomoll

Fotos: Susi Freitag