13. Bonner Dialog für Cybersicherheit So manipulieren uns Hacker, um an unsere Daten zu kommen
Bonn · Der Feind in meinem Postfach: Beim 13. Bonner Dialog für Cybersicherheit ging es am Montagabend vor allem ums „Social Engineering“. Es beschreibt wie Hacker durch Manipulation von Menschen in PCs eindringen.
Die gute Nachricht zuerst: "Jedes praktisch relevante Problem der IT-Sicherheit wurde gelöst", sagte Linus Neumann zu Beginn seiner Keynote, "allerdings nur theoretisch". Der Netzaktivist, Sprecher des Chaos Computerclubs und Diplompsychologe, eröffnete am Montagabend den 13. Bonner Dialog für Cybersicherheit. Thema des Abends war das sogenannte "Social Engineering". Hacking ist mehr als das Programmieren von Trojanern. Laut Neumann haben 99 Prozent der erfolgreichen Angriffe auf IT-Systeme eine menschliche Komponente. Ein Social Engineer manipuliert Menschen und bringt sie dazu, ihm bei seinem Angriff auf ein fremdes System zu helfen.
Er könnte zum Beispiel in einem Büro anrufen, sich als Microsoft-Mitarbeiter ausgeben und seinen Gesprächspartner dazu bringen, die Zugangsdaten zu seinem E-Mail-Postfach auf einer fingierten Website einzugeben. Oder er verschafft sich vor Ort Zugang zu Computern und Serverräumen: "Wenn Sie sich als Handwerker verkleiden, kommen Sie überall rein", sagte Daniel Jedecke, Managing Consultant bei der HiSolutions AG, auf dem Podium der Veranstaltung. Er ist Pentester, deckt also hauptberuflich Sicherheitslücken in Unternehmen auf. Dafür muss er jedoch nicht ständig mit Leiter und Blaumann durch die Büros ziehen.
Die alltäglichsten Varianten des Social Engineering sind Phishing-Mails und Ransomware. Phishing-Mails stammen scheinbar von einer vertrauenswürdigen Quelle, zum Beispiel von einem Versandhändler oder Bezahlservice. Meist wird der Leser mit Hinweis auf eine Sicherheitsmaßnahme dazu aufgefordert, über einen Link die angebliche Website des Unternehmens aufzurufen und die Zugangsdaten zu seinem Benutzerkonto einzugeben. Da die Seite nicht echt ist, sondern von den Angreifern konstruiert wurde, landen Nutzernamen und Passwörter auf diese Weise in die Hände der Hacker. Solange diese Mails unpersönlich und massenweise versandt werden, haben sie wenig Erfolg und werden meist von Spam-Filtern abgefangen.
Cybersicherheit: Besonders gefährlich ist das „Spear-Phishing“
Gefährlicher ist laut Linus Neumann besonders für Unternehmen das sogenannte "Spear-Phishing": Hier werden die Mails nicht in der Masse verschickt, sondern mit persönlicher Anrede an einzelne Personen. Neben dem Phishing ist das Versenden von Ransomware eine beliebte Angriffsstrategie. Hierbei enthält eine Mail keine Aufforderung, einen Link anzuklicken, sondern einen Dateianhang, getarnt zum Beispiel als Rechnung oder Bewerbung. Wird diese Datei geöffnet, erhält eine Schadsoftware Zugriff auf den PC. Sich vor Hacking dieser Art zu schützen, ist nicht schwer - eigentlich.
Einige Grundsätze helfen: Keine Links anklicken oder Anhänge herunterladen, ohne den Absender genau zu prüfen. Wenn doch auf einen Link geklickt wurde, keine Zugangsdaten eingeben. Wenn ein Anhang heruntergeladen wurde, nicht die Fehlermeldungen der Programme ignorieren. Wichtige Dateien auf einer Festplatte sichern. Und sobald eine Mail verdächtig aussieht, die IT-Abteilung anrufen. Trotzdem gelang es Linus Neumann in einer Studie zu diesem Thema, 35 Prozent der Mitarbeiter eines Unternehmens mit einer personalisierten Phishing-Mail dazu zu bringen, sensible Daten auf einer gefälschten Website einzutragen.
Wenn sie das taten, wurde ihnen danach ein Video gezeigt, das sie auf ihren Fehler hinwies und vor den möglichen Folgen warnte. Mit der nächsten Phishing-Mail hatte Neumann bereits deutlich weniger Erfolg. Sein Fazit: Theoretische Schulungen oder warnende Aushänge im Büroflur seien nutzlos. "Die Leute lernen nur, wenn sie einmal selber darauf hereinfallen."Für Unternehmer, die ihre Mitarbeiter ohne Risiko auf diese Weise trainieren wollen, hat Niklas Hellemann mit seiner SoSafe GmbH ein Simulationsprogramm entwickelt.
