Hackerangriffe: Wie man eine Firma zerstört
Sabotage. 16.804 Fälle von Cybercrime wurden im vergangenen Jahr in Österreich angezeigt, um 22 Prozent mehr als im Jahr davor. Die Dunkelziffer ist weit höher. Und die Vorgangsweise wird perfider.
F IIIast alle Hackerangriffe gegen Unternehmen lassen sich auf drei große Tätergruppen zurückführen:
Mitarbeiter. Opfer (Stichwort DSGVO) und Täter zugleich: Ein beliebter Weg für frustrierte Mitarbeiter, in voller Kenntnis der ITSysteme ihre Wut auf das Unternehmen herauszulassen. Bei Neuaufnahmen vor allem in exponierten Positionen lässt sich dem mit Pre-Screenings vorbeugen. Das Thema liegt bei der HR-Abteilung.
Menschen, die es nicht persönlich meinen. Es geht um Masse, nicht um Klasse: Eine Schadsoftware wird an viele Millionen Adressen verschickt, ein paar klicken immer drauf. Eine simple Wordpress-Seite ist heute in drei Minuten gehackt – samt Passwörtern und Sicherheitsvorkehrungen. Solche Angriffe abzuwehren ist Sache der IT. Menschen, die es persönlich meinen. Traurige Berühmtheit erlangte der Präsidententrick (CEO Fraud), der umfangreiche und anspruchsvolle Vorarbeit erfordert. Ein Mitarbeiter der Buchhaltung erhält ein vermeintliches Originalmail des Vorstands, er möge umgehend und ohne Rücksprache ein paar Millionen auf ein bestimmtes Konto überweisen. Mailadresse, Kontonummer und Umstände schienen plausibel. Das Geld wird nie wieder gesehen.
Oder: Einem heimischen KMU wurden sämtliche Unternehmensdaten verschlüsselt, inklusive aller Back-ups. Von einer Minute auf die andere stand der Betrieb still. Ohne Lösegeldzahlung wäre man in ein paar Tagen pleite gewesen.
Auch EPU sind Ziel
Ein alltägliches Beispiel konstruierte der Web-Developer Martin Haunschmid diese Woche beim HR Inside Summit. In seinem Blog konnten Hacker von der Ankündigung seines Vortrags lesen. Sie müssten dann nur noch auf der Website des Veranstalters einen logischen Ansprechpartner für Vortragende herauspicken und ein Originalmail von ihm erschleichen. Deren Kopie schickten sie vorgeblich vom Original-Account an den Vortragenden. Er solle doch bitte über einen angefügten Link ein paar mit dem Vortrag in Zusammenhang stehende Daten (und natürlich seine Kontonummer für sein Honorar) bekannt geben. Klickt er den Link an, lädt sich eine Schadsoftware herunter und liest alle seine Passwörter aus.
Unser Vortragender ahnt nicht, dass demnächst sein Leben auf den Kopf gestellt wird. Er sieht nur eine perfekt nachgebildete Seite des Veranstalters. Neben der Webadresse prangt sogar das grüne https://-Sicherheitsschloss, eigentlich das Zeichen einer sicheren Seite. Auch das ist leicht zu faken.
Dem Hacker verlangt diese Vorgangsweise mehr als „nur“profundes Programmier-Know-how ab. Für das „Storytelling“braucht er auch die Fantasie für maßgeschneiderte, plausible Geschichten. Außerdem muss Psychologie sein. In großen Firmen kontaktieren die Hacker Junge oder Rangniedrige mit dem Gehabe eines CEO, geben sich Männern gegen- über als Frau aus, schmieren Unsicheren Honig ums Maul. Die Rechnung geht fast immer auf.
Was HR tun kann
Darauf zu hoffen, dass das Unternehmen verschont bleibt, ist der falsche Weg. Die technische Seite liegt bei der IT, die zwischenmenschliche bei HR. Das hat gemeinsam mit dem Marketing zu analysieren, an welche für Missbrauch geeignete Informationen Hacker herankommen (auf der Website z. B. Namen von Vorständen und Organigramme). Die Mitarbeiter gehören sensibilisiert, bei Zweifelsfällen nachzufragen (Stichwort Firmenkultur). Ein Poster an der Wand genügt hier nicht. In einem Penetration-Test können denkbare Attacken gegen die Firma konstruiert und so Schwachstellen gefunden werden. Die Kernfrage ist dieselbe, die sich auch Hacker stellen würden: Wie dringt man am besten ins Unternehmen ein? Langjährige Interne wissen das am besten. Wenn sie nur nicht selbst auf dumme Gedanken kommen. (al)