Der hackbare Mitarbeiter

Jede Kette ist nur so stark wie ihr schwächstes Glied – auch in der IT-Sicherheit. Geräte können gegen Eindringlinge abgesichert werden. Aber Angreifer nehmen immer häufiger die Menschen hinter den Bildschirmen ins Visier.

Foto: Katja Zanella-Kux

„Absolute Sicherheit gibt es nicht. Hacker schlafen nicht und finden neue Wege. Zugleich ist ein System nur so sicher wie sein schwächstes Glied. Und das sind nicht selten die Benutzer.“

Alfred Gunsch, Geschäftsführer siplan
E

gal ob Buchhaltungs-PC oder ausgeklügeltes Firmennetzwerk: IT-Systeme bieten Angriffsfläche. Sorglos eingerichtet oder schlecht gewartet weisen sie unweigerlich Sicherheitslücken auf. Standard-Passwörter, fehlende Updates und schlampig oder gar nicht installierte Firewalls sind aber nicht die einzigen Probleme. „Viele Attacken kann man auf IT-Ebene abwehren“, erklärt Alfred Gunsch, Geschäftsführer des Tiroler IT-Unternehmens siplan und Berufsgruppensprecher IT Tirol. „Absolute Sicherheit gibt es aber nicht. Hacker schlafen nicht und finden neue Wege. Zugleich ist ein System nur so sicher wie sein schwächstes Glied. Und das sind nicht selten die Benutzer.“

Unwissentliche Komplizen.

Angriffe gegen das „weiche Ziel Mensch“ gibt es schon lange. Im weitesten Sinne fallen sie alle unter das „Social Engineering“ – das Manipulieren des Benutzers anstelle von Soft- und Hardware. „Das erfordert oft weniger technisches Know-how, als Sicherheitsmaßnahmen auszuhebeln“, erklärt Gunsch. „Anstatt selbst Schadcode einzuschleusen oder Daten zu extrahieren, ‚überredet‘ ein Angreifer jemanden, es für ihn zu tun.“ Der häufigste Weg ist, User dazu zu bringen, Links oder Anhänge mit Schadsoftware zu öffnen.

 

Meistens geschieht das mit Phishing-Mails, in denen Adressaten ein vertrauenswürdiger Absender vorgegaukelt wird. Dabei bauen Angreifer auf Psychologie: Vermeintlich offizielle oder bekannte Quellen fördern Vertrauen. Angebliche Rechnungen oder Mahnungen erzeugen Neugierde oder Entrüstung, Gewinnbenachrichtigungen Euphorie.

Zielgerichtet.

Zusätzlich kommen gezielte Attacken zum Einsatz: Anstelle breit gefächert E-Mails zu verschicken, werden bei „Spear Phishing“ spezifische Mitarbeiter mit maßgeschneiderten Fälschungen kontaktiert. Auf den Gipfel getrieben wird das beim „CEO Fraud“: Ein Mitarbeiter, meist aus der Finanzabteilung, wird gebeten, Geld oder Daten zu transferieren. Dabei fälschen Hacker die E-Mail-Adresse eines hochrangigen Führungsmitglieds und fordern persönlich zur dringenden Transaktion auf – oft inklusive einer Begründung, warum eine Rücksprache aktuell nicht möglich ist.

Wissen, Misstrauen, Regeln.

Sicherheitslücken sind entweder vorhanden oder nicht. Mitarbeiter laufen dagegen immer Gefahr, auf Tricks hereinzufallen. „Social Engineering kann über E-Mail, das Telefon oder im Gespräch geschehen“, meint Gunsch. „Auf alle Szenarien vorbereitet ist niemand.“ Deswegen sollte man drei Maßnahmen forcieren, damit Mitarbeiter nicht zur IT-Schwachstelle werden. „Es muss Bewusstsein geschaffen werden – nicht nur für bekannte Angriffe, sondern um den Wert von Daten und die Risiken ihrer Weitergabe“, empfiehlt der Experte.

 

„Gerade kleine Unternehmen sollten sich nicht scheuen, Hilfe von außen hinzuzuziehen. Der Zeitaufwand dafür hält sich in Grenzen, ebenso wie die Kosten. Und die Schäden, die man alleine durch Bewusstseinsbildung verhindern kann, sind enorm.“

Alfred Gunsch