Immer wieder gelingt es Kriminellen, Mitarbeiter mit vermeintlich einfachen Tricks hereinzulegen und Unternehmen um Millionen Euro zu betrügen. Sich vor Phishing- oder "Fake-President-Attacken" zu schützen, ist für Firmen eine schwierige Gradwanderung, erklärt der Experte für IT-Sicherheit und Cyberkriminalität Alexander Geschonneck im Interview mit n-tv.de.

Hackerangriffe verursachen Jahr für Jahr Milliardenschäden bei deutschen Unternehmen. Wie viel davon geht auf Social Engineering, also auf das Ausnutzen menschlicher und nicht technischer Sicherheitslücken, zurück?

Wirtschaft 03.05.17 01:28 min

Über 50 Milliarden Euro pro Jahr Hackerangriffe verursachen enorme Schäden

Der Schaden, den Kriminelle mit Social Engineering anrichten, lässt sich unter anderem deshalb schwer beziffern, weil verschiedene Arten von Hackerangriffen und Betrugsversuchen häufig miteinander verbunden werden. So verschaffen sich Kriminelle etwa durch Phishing oder den Chef-Trick Zugänge, die sie dann zum Installieren von Schadsoftware, Betrug oder zu Erpressungsversuchen benutzen. Allein durch den Chef-Trick, der auch als "Fake-President-Attacke" bekannt ist, bei dem sich Betrüger als Vorgesetzte ausgeben und dann Überweisungen veranlassen, dürften Unternehmen im vergangenen Jahr Verluste in hoher dreistelliger Millionenhöhe erlitten haben. Attacken durch das sogenannte "Phishing" - den Angriff per Mail, bei dem die Oper verleitet werden, infizierte Dateien zu öffnen oder auf Schad-Links zu klicken, um an Zugangsdaten zu gelangen - haben wohl zweistellige Millionenschäden verursacht. Dabei werden viele Fälle gar nicht öffentlich bekannt. Die Dunkelziffer dürfte hoch sein.

Wie kann es passieren, dass Mitarbeiter auf solche bekannten Maschen hereinfallen?

Nahezu alle Unternehmen sind Social Engineering-Angriffen ausgesetzt und jeder Mitarbeiter bietet Angriffspunkte. Die Täter gehen außerdem höchst raffiniert und professionell vor. Ein Beispiel: Kriminelle schicken eine gefälschte Mail an die Vorstandsmitglieder eines Unternehmens und lassen sie so aussehen, als komme sie aus dem Unternehmen selber. Unter den Adressaten ist auch - scheinbar versehentlich - ein IT-Systemadministrator. Ausgerechnet der ist es, der aus Neugierde den Anhang der Mail öffnet: ein als vertraulich gekennzeichnetes Organigramm der Firma nach einer geplanten Restrukturierung oder eine Gehaltsliste der Führungskräfte. Doch die Datei mit den vermeintlich geheimen Informationen ist mit einer Schadsoftware infiziert, die sich nach dem Öffnen im Firmennetzwerk ausbreiten kann. Eine psychologisch raffinierte, technisch simple Methode.

Bei einem anderen Angriff fälschen Betrüger eine Mail des Finanzvorstands mit vermeintlichen Anweisungen für eine Überweisung. Darin heißt es, um nicht wegen Insiderhandels ins Visier der Finanzaufsicht zu geraten, müsste die gesamte Kommunikation dazu per Mail und auf keinen Fall mündlich oder per Telefon erfolgen. So verhinderten die Täter Nachfragen beim echten Finanzvorstand, denn die Mailadresse führt natürlich zum Betrüger.

Was sind andere typische Tricks beim Social Engineering?

Oft nehmen die Täter Mitarbeiter, die im Besitz von weitreichenden IT-Zugangsrechten oder wertvollen Informationen sind, gezielt ins Visier. Das nennt sich Spear-Phishing. Dabei sind die Angriffe komplexer: Zunächst erforschen sie gezielt das Umfeld des Mitarbeiters, etwa dessen Familie oder Freizeitaktivitäten, und greifen oft zunächst private Postfächer oder Profile bei Netzwerken wie LinkedIn an. Dadurch können sie gefälschte Mails, die aussehen als kämen sie vom Ehepartner oder von einem Bekannten, mit Schadsoftware an die Firmenadresse schicken. Auch das Auslegen von Datenträgern funktioniert oft. In einem Hotel etwa fanden Angestellte kürzlich einen USB-Stick, von dem sie annahmen, ein Gast habe ihn vergessen. Um nach Hinweisen auf den Besitzer zu suchen, steckten sie ihn in einen Hotelrechner. Es folgte ein Angriff, bei dem Kriminelle unter anderem die Kreditkartendaten zahlreicher Kunden erbeuteten. Auch hier nutzten die Täter menschliche Verhaltensweisen wie Hilfsbereitschaft, Neugierde und Angst aus.

Können sich Unternehmen davor nicht durch Aufklärung schützen?

Der Schutz vor Social-Engineering-Attacken steht und fällt mit den Mitarbeitern. Stichwort: Aufklärung und Sensibilisierung. Sie müssen sich im ersten Schritt bewusstwerden, dass sie Informationen besitzen, die für Angreifer wertvoll sein können. Das gilt nicht nur für Entscheidungsträger, sondern bis runter zu den Praktikanten. Um Betrügern den Zugang zu erschweren, sollten alle Mitarbeiter über typische Maschen und Arbeitsweisen von solchen Kriminellen aufgeklärt werden. Dazu kann auch der Bezug zum Privaten geschaffen werden: Schließlich würde niemand persönliche Daten über die Gegensprechanlage daheim herausgeben - warum sollte es dann anders sein, wenn ein Anrufer interne Firmendaten per Telefon bekommen will? Wichtig ist auch ein stetiger Austausch innerhalb des Unternehmens. Einfache Mittel, wie etwa eine Rundmail vom Finanzvorstand mit der Information, dass er niemals per Mail eine Überweisung anfordern wird, können manche Angriffe verhindern.

Komplexer ist der Angriffsvektor Angst: Beim Chef-Trick nutzen die Täter oft gezielt eine Unternehmenskultur aus, in der gilt: Hacken zusammenschlagen und bloß nicht nachfragen, wenn ein Vorgesetzter eine Weisung erteilt. In so einer Situation sollten die Mitarbeiter ermutigt werden, sich zu melden, wenn ihnen etwas komisch vorkommt. Dazu muss sich die Unternehmenskultur manchmal allerdings grundsätzlich ändern. Auch, dass auch mal Nachfragen bei der geforderten Umgehung von Kontrollen erlaubt sind, sollte zu einer guten Kultur gehören.

Wieso ist die Sensibilisierung der Mitarbeiter ein schmaler Grat?

Die Grenze zwischen Misstrauen und Paranoia kann manchmal fließend sein. Deshalb muss eine Balance gefunden werden, die vor Angriffen schützt, aber das Alltagsgeschäft nicht über die Maßen einschränkt. Schließlich müssen viele Mitarbeiter ja mit Kunden und Geschäftspartnern kommunizieren. Wenn sie zu kurz angebunden sind und bei jeder Nachfrage - etwa nach einem zuständigen Kollegen oder einer Kontoverbindung - mauern, kann das einem Unternehmen selbstverständlich schaden. Um Sicherheit und Kundenzufriedenheit gleichermaßen zu garantieren, gibt es keine pauschale Lösung.

Alexander Geschonneck ist Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft und leitet den Bereich "Compliance & Forensic". Er ist Experte für die Aufklärung von IT-Sicherheitsvorfällen und Cybercrime. Außerdem ist er Spezialist für die forensische Sonderuntersuchung bei Verdacht auf wirtschaftskriminelle Handlungen sowie für die Sicherstellung und Analyse digitaler Beweismittel.

Mit Alexander Geschonneck sprach Max Borowski.