Zum Hauptinhalt springen

Die größte IT-Schwachstelle ist der Mensch

9 Min
Vielen Firmen ist gar nicht bewusst, dass sie ein lohnendes Ziel für Hacker sind.
© Illustration: WZ, Bildquelle: Getty Images

Ein Hacker zeigt der WZ, wie er fiktiv einen Multimilliarden-Konzern auseinandernimmt – und warum das so leicht geht.


Ein klassisches Gemälde welches dazu aufruft, an der WZ-Feedback Aktion teilzunehmen

„So, mein Lieber, wie viel hättest du gern? Sollen wir eine Million verschieben? Oder doch lieber zehn? Oder gleich hundert?“ Der Hacker dreht sich zu mir um und grinst. Theoretisch könnte er jetzt sogar eine Milliarde Euro transferieren, weil er längst alle Zeichnungsberechtigungen besitzt. Denn der Hacker hat einen Multimilliarden-Konzern auseinandergenommen, und ich darf beim großen Finale zusehen.

Natürlich rührt er tatsächlich keinen einzigen Cent an. Schließlich ist alles, was er hier tut, vom angegriffenen Unternehmen abgesegnet. Hier wird kein einziges Gesetz gebrochen und schon gar kein Verbrechen begangen. Denn er ist ein sogenannter White Hat, also einer von den Guten, die von kleinen bis riesigen Kunden genau dafür bezahlt werden: ihre IT-Sicherheit auf Herz und Nieren zu prüfen. Und in manchen Fällen gehört eben auch dazu, wie ein Einbrecher bis in den verborgenen Wandtresor im geheimen Zimmer vorzudringen und die darin versteckten Geldbündel in die Hand zu nehmen – aber eben nicht einzustecken. Jetzt, mit diesen digitalen Geldbündeln in der Hand, spiegelt sein Gesicht nicht nur große Zufriedenheit ob seiner eigenen Leistung wider, sondern auch ein gerüttelt Maß an Sorge. Denn was, wenn nicht er seinen systemrelevanten Kunden angegriffen hätte, sondern ein sogenannter Black Hat, also ein krimineller Hacker?

„Wir helfen der ganzen Gesellschaft“

„Wir helfen ja nicht nur unseren Kunden“, stellt der White Hat, der für die international tätige WIDDER Firmengruppe arbeitet, klar, „sondern der ganzen Gesellschaft. Wenn ich weiß, dass so ein Dienstleister komplett unsicher ist, kriege ich schon eine Gänsehaut.“ Vielen Firmen ist gar nicht bewusst, dass sie erstens vulnerabel sind und zweitens überhaupt ein lohnendes Ziel. Und allzu oft verlässt man sich auf die Versicherung, die bei Schäden schon einspringen wird. Aber die Klauseln werden in diesem Bereich immer strenger. „Während dir der CEO erklärt, dass er eh eine Versicherung hat, siehst du, wie sein Unternehmen gerade zerbröselt. Und wie lebenswichtige Daten abgeräumt und vernichtet werden“, erzählt der Hacker aus seinem Arbeitsalltag. Deshalb ist er ein absoluter Fan der neuen NIS2-Richtlinie der EU, die systemkritische Unternehmen von Energieversorgung über den Gesundheitssektor bis zum Lebensmittelhandel ab Oktober 2024 zu mehr Cybersicherheit zwingt, mit enormen Geldstrafen bei Nichteinhaltung.

Mein erstes Angriffsziel ist der Mensch.

Ein Black Hat wäre bei dem gerade von ihm getesteten Konzern wahrscheinlich genau den gleichen Weg gegangen wie er. „Mein erstes Angriffsziel ist nicht das IT-System. Mein erstes Angriffsziel ist der Mensch. Denn der ist immer die größte Schwachstelle. Je strikter Unternehmen in Sachen IT-Sicherheit bei der Belegschaft sind, desto besser funktionieren sie. Selbst der kleinste Baustein einer Firma, also der unwichtigste Mitarbeiter, kann ein Unternehmen zu Fall bringen.“ Allzu oft haben einzelne Personen bedenklich viele Berechtigungen, insbesondere im C-Level. „Und die stehen auch noch alle schön transparent auf der Website. Damit sind sie Freiwild.“

Mit dem IT-Chef in der Bar

Vier Ziele hat er in der Rolle des Angreifers besonders im Visier: den CEO, dessen Chefsekretärin, die Empfangssekretärin und die IT, „damit ich weiß, wie viel Zeit mir bleibt, wenn ich erwischt werde, um noch möglichst viel zu verwerten. Wenn ich das Unternehmen einmal habe, ziehe ich nämlich zuerst möglichst viel Geld ab. Dann ziehe ich Daten ab. Danach erpresse ich es. Und wenn ich damit fertig bin, verkaufe ich die gestohlenen Datensätze weiter. Einem Black Hat geht es fast immer nur um Geld.“

Schritt Nummer eins ist eine erste Aufklärungsrunde über die Social-Media- und sonstigen Internet-Aktivitäten der Betroffenen. „Das verrät mir zum Beispiel, dass der IT-Chef gern fortgeht. Also gehe ich undercover mit ihm trinken, am besten, wenn er mit seinen Freunden oder gar Kollegen aus der Führungsebene in der Gruppe unterwegs ist. Das geht ganz leicht, weil seine Freunde auf Facebook versehentlich verraten haben, dass er im Suff redselig wird. Im besten Fall freunde ich mich auch online mit ihm an. Ein KI-generiertes Profilfoto hilft da enorm.“ Der IT-Chef nimmt zwar seine Freundschaftsanfrage an, aber an der Bar redet er dann nicht mit ihm über das Unternehmen. Deshalb folgt der nächste Schritt: Im Arbeitsanzug mit einer Leiter versucht er ins Firmengebäude zu kommen. „Das geht leider oft leichter, als man denkt.“ Die Sekretärin am Empfang erweist sich jedoch als renitent (was er später positiv im Bericht vermerken wird).

Zwei Kinotickets könnten dem Konzern das Genick brechen

Die Ausflüge waren aber nicht umsonst. Denn der Hacker macht nun wieder am Computertisch weiter, der irgendwo in Wien steht. In einem Zwei-Mann-Bürozimmer, das ein bisschen dem Klischee vom IT-Nerd entspricht. Hinter ihm liegen drei Nerf-Kanonen samt Munition für die notwendigen Pausen, daneben stapeln sich Teeschachteln für die Entspannung. Und von draußen weht der Duft des Mittagessens herein, das ein Kollege für alle gekocht hat.

Bevor er zum Essen hinausgeht, wertet der White Hat noch die Erkenntnisse aus seiner Social-Media-Aufklärung aus. Und siehe da: Die Chefsekretärin geht regelmäßig ins Kino. Also bekommt sie ein SMS mit einem Gewinncode für zwei Gratis-Kinotickets, die er mit einer gestohlenen Kreditkarte gekauft hat. Natürlich von dem Kino, das sie immer besucht.

Passwörter lassen sich in Sekundenbruchteilen abfangen.

Und an diesem Punkt hat der Hacker gewonnen: „Sie klickt auf den Link, der sie tatsächlich zu ihren Gratistickets für den Film führt, auf den sie sich ihren Postings zufolge schon so lang freut. Nur leider führt er auch zu einem weiteren Server, über den ich in ihr privates Handy Schadsoftware einspiele, langsam und Stück für Stück.“ Jetzt hat er vollen Zugriff auf ihr privates Gerät – und damit ab sofort ein Mikrofon, eine Kamera und ein Display in ihrem Unternehmen, und das live und in Farbe. „Und im für sie schlimmsten Fall bekomme ich auch Firmendaten, wenn sie in der Mittagspause mit ihren Freundinnen chattet.“

Außerdem kommt er jetzt ins Gäste-WLAN, in dem sich nicht nur sie, sondern auch die Mobiltelefone der übrigen Belegschaft einloggen. „Und jetzt wird es wirklich grausam, weil vermutlich auch der CEO mit seinem privaten Handy ins Gäste-WLAN geht – genau deshalb, weil die IT so gewissenhaft ist und selbst ihn damit nicht ins Firmen-WLAN hineinlässt.“

Viele Wege in die Eingeweide des Systems

Der Rest des Weges vom privaten Handy des CEOs über sein Diensthandy bis in die Eingeweide des IT-Systems ist im Grund ein Spaziergang. Diverse Schadsoftware spielt dabei ihre jeweilige Rolle, das Unternehmen Stück für Stück auseinanderzunehmen. „Aus reiner Neugier kann ich ganz nebenbei auch noch anhand unverschlüsselter E-Mails, Urlaubsanträgen und ein paar anderer Daten herausfinden, wer im Unternehmen mit wem eine Affäre hat“, behauptet er. Dabei war bei diesem Angriff noch gar keine Künstliche Intelligenz im Spiel, die das Ganze für die Opfer noch verschlimmern würde.

„Selbst wenn diese Aktion nicht funktioniert hätte, gäbe es noch andere Wege hinein.“ Da gibt es zum Beispiel private Handys, die für die dienstliche Multifaktorauthentifizierung (MFA) benutzt werden – ein offenes Einfallstor. „Der Login hält in der Regel acht Stunden; das ist mehr als genug Zeit, um im System spazieren zu gehen, weil viele Angestellte zu viele Zugriffsberechtigungen haben, als gesund für die Unternehmenssicherheit ist. Außerdem gibt es viele Möglichkeiten, Passwörter in Sekundenbruchteilen abzufangen.“ Denn bei Passwort-Depots sind die Informationen zwar nur etwa dreißig Sekunden im Zwischenspeicher, danach werden sie restlos gelöscht; doch sogenannte Shadow-IT verlängert diese Speicherdauer.

Der Hacker könnte auch dem Dienst-Laptop des CEOs, wenn dieser das nächste Mal im Kaffeehaus arbeitet, ein sogenanntes Evil-Twin-WLAN unterjubeln, also einen bösen Zwilling des echten WLAN-Signals. „Er wiegt sich dank MFA und VPN in Sicherheit, während ich seinen Computer auslese.“ Oder er quält eine Zielperson mit MFA-Anfragen, bis sie auf „OK“ klickt und ihn reinlässt. Wenn die IT später nachfragt, was da war, geben die wenigsten zu, dass da etwas komisch war. Und spätestens, wenn der Hacker über Umwege den Administrator-Account bekommen hat, „ist die Firma am Arsch.“

Im Durchschnitt dauert es 268 Tage von der ersten Berührung bis zum Todesstoß.

Ein Black Hat würde nicht gleich alles abräumen, sondern erst einmal in unregelmäßigen Abständen kleinere Summen überweisen, die in der Regel nicht auffallen. „Erst, wenn man ihm auf die Schliche kommt, folgt der große Paukenschlag mit der größtmöglichen Überweisung. So wird möglichst viel herausgeholt. Im Durchschnitt dauert es 268 Tage von der ersten Berührung bis zum Todesstoß, weil man nach jedem Schritt, den man tut, immer wieder wartet, bis Gras darüber gewachsen und der vorgebliche Fehlalarm, den man ausgelöst hat, vergessen ist“, erklärt der Hacker.

„Man wird paranoid in diesem Job“

Just während er das alles erläutert, entdeckt der Hacker einen Alarm in seinem eigenen Netzwerksystem. „Die große Frage lautet jetzt: Warum?“ Ist er womöglich selbst angegriffen worden? „Man wird paranoid in diesem Job. In den meisten Fällen fürchten wir uns in unserer Branche zu Tode, bevor wir sterben.“ Aus diesem Grund hat er bei sich vorgesorgt. Selbst sein privates Handy hat einen besonders geschützten Bereich – und könnte von seinem Arbeitgeber jederzeit komplett gelöscht werden, „falls mir etwas passieren sollte“. Umgekehrt genießt er dadurch auch privat den IT-Schutz seiner Firma.

Während ich ihm zuhöre, fühle ich mich gleich nicht mehr so sicher beim Gedanken an die verschiedenen Apps, die ich auf meinem eigenen Handy habe. In diesem Punkt beruhigt er mich aber: Meine Banking-App zum Beispiel ist weitgehend sicher, gibt er Entwarnung. „Hier muss ich den App-Anbietern wirklich ein Lob aussprechen.“

Die Gefahr lauert aus seiner Sicht woanders, nämlich unter anderem im Internet of Things (IoT), in dem sich diverse smarte Heimgeräte von Alexa bis Babyphone tummeln, wo der Spagat zwischen Benutzerfreundlichkeit und Sicherheit immer schwieriger wird. Auch, weil ganz normale Menschen diese Tools benutzen. „Wir haben nicht bloß eine Kamera daheim, über die wir beobachtet werden könnten“, meint der Hacker. „IoT-Geräte sind Datenschleudern. Man sollte sich sehr gut überlegen, was man im selben Netzwerk betreibt.“ Er empfiehlt deshalb auch daheim mehrere getrennte WLANs.

„Hab ich ein Glück“, resümiere ich, „dass ich keine Chefsekretärin eines systemrelevanten Betriebs bin.“ Wieder ein zwiespältiges Grinsen: „Stimmt, das bist du nicht. Aber du könntest mit einer befreundet sein. Und dann wärst du mein Einfallstor . . .“


Infos und Quellen

Gesprächspartner

Ein Mitarbeiter der WIDDER Firmengruppe

Daten und Fakten

  • Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die neue Cybersicherheitsgesetzgebung NIS2 umsetzen. Diese sieht für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen vor. Das hat WZ-Redakteur Mathias Ziegler ein Hacker erzählt, den er kennengelernt hat – verbunden mit der Einladung, ihm dabei über die Schulter zu sehen, wie er als White Hat für mehr IT-Sicherheit sorgt.

  • Man unterscheidet drei Arten von Hackern: White Hats, Black Hats und Grey Hats. Die Bezeichnungen leiten sich von Western-Filmen ab, in denen die Guten meist helle und die Bösen meist dunkle Hüte trugen. White Hats werden von Unternehmen engagiert, um Sicherheitslücken aufzudecken und zu beseitigen. Black Hats sind Kriminelle, die in böser Absicht in Computernetzwerke eindringen oder sogenannte Malware in Umlauf bringen, die Dateien zerstört, Computer als Geiseln nimmt oder Passwörter, Kreditkarten- und andere personenbezogene Daten stiehlt. Sie handeln aus reinem Eigennutz: Es geht um Geld, Rache, Ideologie oder auch einfach nur die Lust am Chaos. Grey Hats handeln nicht in böser Absicht, aber mitunter illegal. Sie wollen Schwachstellen in Systemen aufdecken und melden diese auch den Eigentümern, agieren aber zuvor ohne deren Wissen und Einverständnis. Manchmal geht es ihnen auch einfach darum, ihr Können unter Beweis zu stellen, ohne jemanden bewusst zu schädigen. Beliebt sind sie bei den Betroffenen trotzdem nicht.

  • Gezielte Testangriffe von White Hats wie in unserem Fall sind nicht so häufig, da sie für die Auftraggeber:innen sehr teuer sind. Die Kosten richten sich nach Dauer und Auftragslage am Markt. Das Tagesgeschäft machen günstigere Standard-Penetration-Tests aus, bei denen von außen automatisiert nach Lücken gesucht wird. Richtige Hackerangriffe von White Hats laufen wie „Capture the Flag“ beim Militär ab: Ein rotes Team greift an, ein blaues Team verteidigt. Je nach Auftrag stellen die White Hats nur das rote Team, nur das blaue gemeinsam mit der hauseigenen IT oder sitzen in beiden Teams – das nennt man Purple Teaming. Das Wichtigste ist das Reporting. Am Ende wird das gesamte Informationspaket schwer gesichert an den Kunden übergeben.

  • Hackerangriffe von Black Hats erfolgen entweder breit gestreut oder ganz gezielt. Zum Beispiel werden Phishing-Mails in alle Welt verschickt, um mit den kompromittierten Computern weltweite Bot-Netzwerke aufzubauen, deren Rechenleistung ermöglicht, bestimmte Systeme in die Knie zu zwingen. Oder man sammelt grundsätzlich einmal möglichst viele Informationen. Die Motive für gezielte Angriffe auf einzelne Unternehmen reichen von Betriebsspionage über Datenklau bis hin zu Erpressung. Oder es geht darum, gewisse Unternehmensbereiche lahmzulegen, um den Börsenkurs auf Talfahrt zu schicken. Fast immer geht es um Geld. Hackerangriffe gehören mittlerweile auch zur hybriden Kriegsführung. So war der Hackerangriff auf finnische Krankenhäuser im Zug des Ukraine-Krieges ein reiner Racheakt, nachdem ein finnischer White Hat die russische IT an der Grenze zur Ukraine erfolgreich zerstört hatte. Bei „Zero Day“-Exploits werden Sicherheitsfehler ausgenutzt, bevor Patches dagegen verfügbar sind oder der Hersteller sie überhaupt entdeckt hat. Dabei kommen hochentwickelte Cyberangriffstechniken zum Einsatz, die oft von staatlich unterstützten Hackern oder von kriminellen Organisationen mit erheblichen Ressourcen genutzt werden. Beispiele dafür sind die Spyware Pegasus der israelischen Firma NSO Group, die Smartphones infiltrieren kann, um Daten zu stehlen, Mikrofone und Kameras zu aktivieren und Standortdaten zu verfolgen, oder der in Österreich entwickelte staatlich unterstützte Trojaner Knotweed (Subzero).

  • Die NIS2-Richtlinie, die im Oktober in Kraft tritt, erlegt nicht nur diesem Bereich, sondern auch vielen anderen von Lebensmittelhandel bis Stromversorgung strenge Sicherheitskonzepte auf. Wer sie nicht einhält, dem drohen Geldstrafen von mindestens zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Allein in Österreich fehlen in der IT rund 28.000 Fachkräfte. Durch diese unbesetzten IT-Jobs gehen fast fünf Milliarden Euro an Wertschöpfung pro Jahr verloren, warnt die Wirtschaftskammer.

  • Die gute Nachricht ist: Man kann sich schützen. Der Profi hat sieben einfache Maßnahmen für Privatanwender parat:

  • Passwörter: Es gibt etliche zuverlässige Passwort-Safes. Der Passwort-Manager sollte ein Backup bieten, um im Fall eines Datenverlusts die Zugangsdaten sicher wiederherstellen zu können. Ein wesentliches Sicherheitsmerkmal ist die Multifaktorauthentifizierung (MFA). Für besonders wichtige Accounts empfehlen sich FIDO2-Sicherheitsschlüssel. Sie ähneln USB-Sticks und sind ab 20 Euro erhältlich. Am besten nutzt man einen Key regelmäßig und verwahrt im Tresor einen zweiten als Backup.

  • Antiviren-, Surf- und Identitätsschutz: Die Nutzung von Microsoft-Defender-Produkten bietet eine robuste Sicherheitslösung, insbesondere für Firmen, Bildungseinrichtungen und staatliche Organisationen. Für private Nutzer, denen diese Produkte zu teuer sind, gibt es alternative Sicherheitslösungen, zum Beispiel die Bit Defender Suite Premium als Rundumschutz mit allen notwendigen Modulen. Insbesondere für IoT-Geräte sowie Laptops, Tablets, Smartphones, Server und externe Festplatten sind zusätzliche Sicherheitsmaßnahmen angebracht.

  • Updates: Ein entscheidender Faktor für die digitale Sicherheit ist die kontinuierliche Aktualisierung von Software, sowohl beim Betriebssystem als auch bei allen Anwendungen von Drittanbietern, die oft erhebliche Sicherheitslücken aufweisen können, wenn sie veraltet sind. Sich die Zeit zu nehmen, die automatischen Update-Funktionen zu aktivieren oder regelmäßig manuell nach Updates zu suchen, lohnt sich.

  • Regelmäßige Backups: Sie schützen nicht nur vor Datenverlust bei technischen Problemen wie Hardware-Ausfällen oder Software-Fehlern, sondern sind auch eine wichtige Schutzmaßnahme gegen Cyberangriffe wie Ransomware oder versehentliches Löschen von Daten.

  • Der Standard-User ist nicht der Admin: Sicher ist sicher. Wer für den täglichen Gebrauch des Computers ein Standardkonto nutzt und das Administratorkonto nur für systemrelevante Aufgaben reserviert, begrenzt das Schadenspotenzial, falls das System kompromittiert wird.

  • Gesunde Skepsis: Im digitalen Zeitalter ist es unerlässlich, an allem zu zweifeln, was unerwartet oder untypisch erscheint. Bevor man auf einen Link klickt, sollte man lieber beim vermeintlichen Absender einmal zu viel nachfragen als einmal zu wenig. Inzwischen sollte auch hinlänglich bekannt sein, dass zum Beispiel Banken niemals telefonisch oder via E-Mail nach Kontoinformationen fragen.

  • Online-Sicherheitsfeatures nutzen: Viele Online-Plattformen wie Facebook, Twitter, LinkedIn und andere bieten Sicherheitscenter oder Datenschutz-Dashboards, die Aktivitäten wie ungewöhnliche Anmeldungen oder Sitzungen und damit unbefugten Zugriff auf persönliche Konten anzeigen. Die Website zeigt an, ob E-Mail-Adressen und Telefonnummern in bekannten Datenlecks auftauchen. Wer Google-Dienste verwendet, kann die Passwortprüfung nutzen, um zu sehen, ob die gespeicherten Passwörter sicher sind oder durch Datenlecks kompromittiert wurden. Dieses Tool prüft auch auf wiederholte oder schwache Passwörter. Auch der Firefox Monitor bietet einen Dienst an, bei dem E-Mail-Adressen mit bekannten Datenlecks abgeglichen werden. Man kann sich auch anmelden, um Benachrichtigungen zu neuen Lecks zu erhalten, die persönliche Daten enthalten könnten. Das Hasso-Plattner-Institut stellt den Identity Leak Checker bereit, der ebenfalls die E-Mail-Adresse überprüft, um festzustellen, ob persönliche Informationen wie Passwörter, Kontonummern oder ähnliches im Internet veröffentlicht wurden.

  • Was den Hacker ärgert, ist die falsche Verwendung des Begriffs Darknet. „Die meisten Leute meinen damit den kriminellen Bereich des Internet. Aber in Wahrheit sind bestenfalls zehn Prozent des Internet für die Normaluser einsehbar, der Rest ist Darknet, in der Zwischenzeit auch Deep-Web genannt. Und davon wiederum ist lediglich ein Prozent illegal. Der riesengroße Rest ist einfach ein sehr gut geschützter beziehungsweise geheimer Bereich, in dem zum Beispiel Banken aktiv sind.“ Beim E-Banking setzt man also einen Fuß ins Deep-Web – durch eine kleine Pforte, die von der Bank für ganz kurze Zeit geöffnet wird. Wäre das Internet der Atlantik, dann würden die meisten User:innen bestenfalls an der Algarve ihre Zehen ins Wasser halten. Kaum jemand schwimmt tatsächlich aufs offene Meer hinaus – oder taucht dort dann gar ins tiefe Wasser, wo die Haie lauern.

Quellen

Das Thema in anderen Medien