Um herauszufinden, wie gut sie gegen Cyber-Angriffe geschützt sind, lassen sich Firmen von professionellen Hackern überfallen. Dabei zeigt sich immer wieder: Die grösste Schwachstelle ist der Mensch.

cyber

Namenlose Hacker: Wer wirklich hinter Cyber-Attacken steckt, ist fast unmöglich herauszufinden.
iStock

Es gibt ein iPhone zu gewinnen, lesen Tausende Angestellte des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) in einem E-Mail von ihrem eigenen Arbeitgeber. Darin ein Link, der zum Gewinnspiel führt. Da ist doch etwas faul, denken sich die meisten. Es könnte sich um ein Phishing-Mail handeln, mit dem Kriminelle versuchen, an vertrauliche Daten oder Passwörter der ahnungslosen Empfänger zu gelangen oder Schadsoftware auf ihre Computer zu schleusen.

 

Bei näherer Betrachtung sind tatsächlich ein paar Dinge im Mail verdächtig. Etwa der Absender, der auf den ersten Blick zwar seriös aussieht, so als stamme er aus der Bundesverwaltung. Bei genauem Hinsehen entpuppt sich die Adresse aber als gefälscht. Dennoch klicken etwa 150 Angeschriebene auf den Link. Zum Glück ohne böse Folgen, denn in diesem Fall steckt hinter der Aktion nicht ein krimineller Hacker, sondern die Organisationseinheit Cyber Defence der Schweizer Armee. Diese testet jedes Jahr, wie gut das VBS vor Schadsoftware, Hacker-Angriffe und Betrugsversuche durch Phishing gewappnet ist. Dabei zeigt sich immer wieder: «Der Mensch ist und bleibt eine Schwachstelle», sagt Thomas Bögli, stellvertretender Leiter der Cyber Defence. «Durch die regelmässigen Tests wollen wir unsere Leute trainieren.» Das zeigt seine Wirkung: Der Anteil der Mitarbeiter, die auf die gestellten Betrugsversuche hereinfallen, ist in den letzten Jahren stetig gesunken.

Ausgefeilte Attacken

Mit ähnlichen Mitteln prüft auch die Swisscom die Skepsis ihrer Angestellten gegenüber verdächtigen E-Mails – und zwar monatlich. Doch trotz dieser regelmässigen Trockenübungen fallen jeweils zwischen 15 und 20 Prozent der Angeschriebenen darauf herein. «Insbesondere, wenn die Leute ein verlockendes Angebot erhalten und unter Zeitdruck gesetzt werden, hat ein Betrugsversuch grosse Chancen», sagt Lorenz Inglin, Leiter der Cyber-Abwehr bei der Swisscom. Etwa, wenn das Mail den ersten 100 Teilnehmern einen Gewinn verspricht.

 

Inglin versucht mit seinem Team immer wieder, die Schutzmassnahmen der Swisscom von aussen her zu durchbrechen. Auf diese Weise spürt er allfällige Sicherheitslücken auf und hilft, die Abwehr der Swisscom zu verstärken. Doch nicht nur die Firmen, auch die Hacker verbessern sich laufend. «Es ist ein regelrechtes Wettrüsten», sagt Inglin. Zudem nehmen die Angriffe der Cyber-Kriminellen auf die Swisscom und ihre Kunden zu. Mittlerweile sperrt das Team von Inglin mehrere Tausend bösartige Websites pro Monat, auf die Kunden durch Phishing-E-Mails gelockt werden sollen.

 

«Die kriminellen Strategien, mit denen Hacker angreifen, werden immer ausgeklügelter», sagt auch Ilia Kolochenko. Er ist CEO der Genfer IT-Sicherheitsfirma High-Tech Bridge, die im Auftrag anderer Organisationen – darunter etwa die internationale Online-Tauschbörse Ebay – deren Apps und Websites auf Herz und Nieren prüft. «Meist verläuft ein Angriff von Hackern gegen eine Firma gleich auf mehreren Ebenen.» Das könne beispielsweise so ablaufen: Zuerst hacken sich Cyber-Kriminelle in die Website des Unternehmens und deponieren dort in einem abgelegenen Winkel Schadsoftware.

 

Danach überlisten sie einen Angestellten, ihren Zwecken zu dienen. Dazu recherchieren sie zuerst über ihn im Internet, etwa auf Facebook (siehe Kasten). So erfahren sie Details über sein Umfeld und können die Identität eines seiner Freunde annehmen. In dessen Namen erstellen sie eine neue E-Mail-Adresse und schreiben damit der Zielperson: «Hey, ich habe gesehen, dass ihr eine spannende Stelle ausgeschrieben habt. Denkst du, das wäre etwas für mich?» Dazu ein Link – natürlich nicht auf die Stellenausschreibung, sondern auf die zuvor deponierte Schadsoftware. Der Angestellte erwartet nichts Böses auf der firmeneigenen Website. So reicht ein Klick, und die Schadsoftware installiert sich auf seinem Computer. Von dort aus verbreitet sie sich weiter im Firmennetzwerk und treibt ihr Unwesen. Beispielsweise verschlüsselt sie wichtige Daten des Unternehmens. Jetzt kommt die Forderung der Hacker: Überweist uns Geld, und wir geben euch das Passwort, um wieder an die Daten zu gelangen.

Lukratives Geschäft

«Das ist ein gigantisches Business», sagt Sicherheitsexperte Kolochenko. Oft seien mehrere Gruppen von Hackern daran beteiligt, die sich an verschiedenen Orten auf der Welt befinden. «Deshalb ist es fast unmöglich, die Hacker zu identifizieren und zu bestrafen.» Das Geschäft gleiche einer Zwiebel mit verschiedenen Schichten. Die einen hacken einfach möglichst viele Firmen oder Privatpersonen. Sie sammeln Daten – Passwörter, Kreditkartennummern, private Fotos – und verkaufen diese weiter an andere Kriminelle. Diese wiederum erpressen dann die betroffenen Firmen oder Menschen.

 

Was also kann man tun, damit es nicht so weit kommt? «Leider sind die bösartigen Mails mittlerweile so gut gemacht, dass sie nur schwer zu erkennen sind», sagt Inglin von der Swisscom. Das gelte sogar für versierte Computerbenutzer. Sicher ist aber: Wenn man dazu aufgefordert wird, auf einen Link zu klicken oder einen Anhang zu öffnen, um persönlichen Daten, Finanzinformationen oder Passwörtern anzugeben, werde es gefährlich. «Dann sollten die Alarmglocken schrillen.»

________________________________________________________

Was wir online teilen, hilft Hackern

Viele Menschen geben auf Facebook, Twitter und anderen Social-Media-Kanälen persönliche Informationen preis. Das machen sich Cyber-Kriminelle zunutze. Dadurch erhöhen sie die Erfolgsquote des Phishings massiv – bis auf über 95 Prozent. Im Prinzip ist dieses sogenannte Social Engineering ziemlich einfach. Wenn sich beispielsweise jemand auf Facebook darüber beklagt, wegen zu schnellen Fahrens geblitzt worden zu sein, könnte ihm ein Krimineller darauf ein E-Mail im Namen der Kantonspolizei zustellen: mit der Bitte, ein Online-Formular wegen der Busse auszufüllen – und schon hat man sensible Daten verraten oder sich eine Schadsoftware einfgefangen. Falls Sie ein verdächtiges E-Mail erhalten haben, können Sie dies auf der Website www.antiphishing.ch melden, die von der Melde- und Analysestelle Informationssicherung des Bundes betrieben wird. (bmn)

 

Michael Baumann

 

 


Keine Kommentare

Hinterlasse einen Kommentar