War das früher mühsam, an Firmengeheimnisse zu gelangen. James Bond musste schmachtende Sekretärinnen becircen und darauf setzen, dass diese seinem unwiderstehlichen Charme erliegen. Diese wiederum versuchten dann, Unterlagen unauffällig aus dem Gebäude zu schmuggeln - an den Augen von Mitarbeitern und Sicherheitskräften vorbei. Oder James musste persönlich daran gehen, des nächtens in halsbrecherischen Aktionen in das Firmengebäude einzubrechen und in nervenzerfetzenden Momenten, von Patrouillen unbemerkt, mit einer daumengroßen Minikamera die wichtigen Informationen abzufotografieren. Heute ist das alles einfacher; dem Internet sei Dank.

Paul Schussmann ist der moderne James Bond. Mit seinem Team bricht er in Unternehmen ein und knackt die Barrieren zu ihren intimsten Geheimnissen. Dafür verlässt er nicht einmal sein Büro. Der Einbruch wird bequem vom Computer aus und per Telefon gemacht. Ist alles ganz legal und im Auftrag ihrer Chefität. Denn Schussmann hat die Lizenz zu Hacken. Unternehmen engagieren seine Firma Secattack, um festzustellen, wie verwundbar sie im Falle eines Cyberangriffs wären. Das gibt ihnen die Gelegenheit, rechtzeitig Schwachstellen zu stopfen, bevor diese von den Bösen entdeckt und ausgenutzt werden.

Cyberkriminalität ist zur Industrie herangewachsen

Paul Otto Schussmann ist Gründer und Geschäftsführer der IT-Sicherheitsfirma Secattack. Diese fokussiert auf Tests, die feststellen, wie sicher ein Computersystem ist. 
- © privat

Paul Otto Schussmann ist Gründer und Geschäftsführer der IT-Sicherheitsfirma Secattack. Diese fokussiert auf Tests, die feststellen, wie sicher ein Computersystem ist.

- © privat

"Cyberattacken sind inzwischen eine regelrechte Industrie", erklärt Schussmann. Das untermauern auch die Daten in Wien. Die Zahl der Fälle von Internetbetrug stieg von 5.183 im Jahr 2020 auf 6.330 im Jahr 2021 - also um fast ein Viertel. Ebenso verhält es sich bei Cyberkriminalität insgesamt: 2020 gab es 13.942 Fälle, 2021 kam ein Anstieg auf 17.068 Fälle.

- © adobe.stock / Andrey Popov
© adobe.stock / Andrey Popov

Es gebe Gruppen, die auf Erpressung spezialisiert sind, sagt Schussmann, Gruppen, die die Schadsoftware entwickeln, und sogar eigene Gruppen, die die Verhandlungen übernehmen. Das geht hin bis zu einem Online-Chatsevice für Opfer, über den die Bedingungen der Geldübergabe und die genauen Konditionen erörtert werden können. "Das sind Unternehmen mit eigenen Personal- und Forschungsabteilungen", so Schussman.

Die einzelnen Cyberattacke-Unternehmen agieren quasi auf einem gemeinsamen Markt. Je reicher eine Erpresser-Gruppe beispielsweise ist, umso teurere Software kann sie sich leisten. "Die hat teilweise schon ein Niveau, wie es sonst nur staatliche Geheimdienste haben", sagt Schussmann. Und nicht allzu selten sollen es auch tatsächlich Staaten sein, die hinter den großen Attacken stecken. In dieser Welt des Bösen versucht Schussmann der Gute zu sein, der die Firmen vor dem Untergang rettet. Er prüft dabei mögliche Gefährdungen, indem er selbst versucht, ins System zu gelangen.

Er und sein Team gehen denkbar einfach vor. Denn während die Prozesse und eingesetzten Mittel hinter dem Ganzen in manchen Fällen äußerst komplex sein mögen - das Eindringen in einen Computer ist es nicht. Dafür braucht man keine nobelpreisverdächtigen Informatikgenies und keine fantastischen Dechiffrierungsalgorithmen. Der entscheidende Faktor ist typischerweise der Mensch.

"Jede Kette ist nur so stark wie ihr schwächstes Glied", sagt Schussmann. Und das ist in der Regel der unvorsichtige Mitarbeiter. Was helfen teure Firewalls und Antivirenprogramme, wenn sie ein Angestellter mit zwei Mausklicks aushebeln kann?

Schussmann geht so vor wie die große Mehrheit krimineller Hacker. Die sind normale Betrüger, die ihre Methoden an die moderne Technik angepasst haben. Das Grundkonzept lässt sich auf eine einfache Formel reduzieren: Man muss einen Mitarbeiter dazu bringen, eine bestimmte Datei zu öffnen. Dabei handelt es sich um eine getarnte Schadsoftware. Typischerweise ermöglicht es die, auf den Computer via Internet von der Ferne aus zuzugreifen. Dann ist die Bahn frei: Korrespondenz und Notizen sind einsehbar, möglicherweise kann man sich damit Zugang zu Bankkonten verschaffen oder die Dateien des Computers verschlüsseln und Lösegeld für deren Entschlüsselung erpressen.

Praktisch jeder, der E-Mail hat, war schon einmal mit dieser Methode konfrontiert: Eine Nachricht - oft in schlechtem Deutsch - verspricht Geld oder super Gelegenheiten, wenn man die angehängte Datei anklickt. Die meisten, die solche Mails erhalten, lachen darüber, können nicht glauben, dass irgendwer auf so etwas reinfallen würde. Doch es passiert; und das gar nicht einmal so selten.

Selbst die dümmeren unter diesen E-Mails haben eine Erfolgsquote von drei Prozent. Das besagt eine Studie, die Google gemeinsam mit der Universität Kalifornien durchgeführt hat. Was für einen Chirurgen eine fatale Quote wäre, zahlt sich für Hacker aus. Eine Million dieser Nachrichten ist schnell verschickt. Das macht 30.000 Opfer. Mit jedem einzelnen sind mehrere hundert bis zu mehreren tausend Euro zu lukrieren. Fertige Listen mit Empfängeradressen gibt es für ein Butterbrot im Darknet - also dem unkontrollierten Teil des Internets. Je besser der Trick ist, umso wahrscheinlicher, dass jemand darauf reinfällt. Manche dieser Mails haben eine Klickquote von fast 100 Prozent.

Das große Geld für den Hacker winkt bei Firmen

Das große Geld winkt allerdings nicht bei Privatpersonen, sondern bei Firmen; multinationale Konzerne sind der Jackpot. Die zu hacken ist allerdings schon etwas aufwendiger, als digitale Postwurfsendungen auszuschicken. In vielfacher Hinsicht haben es dafür aber auch Betriebe schwerer als Einzelpersonen, sich gegen Attacken zu wehren.

Auf der privaten E-Mail-Adresse sticht das Schreiben eines Unbekannten beispielsweise stark heraus; ebenso unerwartete Zahlungsaufforderungen. Bittet die Deutsche Post, in Österreich beispielsweise um Begleichung einer Rechnung, ohne nähere Angaben zu machen, so ist das für einen Privatmann schon einmal verdächtig. Doch in einem Unternehmen sind solche Rechnungen nichts Ungewöhnliches. Schnell einmal wird dann auf den Anhang geklickt. Vor allem dann, wenn die E-Mail von einem bekannten Geschäftspartner kommt.

Als solcher gibt sich Schussmann bei seinen Angriffen gerne aus. Er ruft beispielsweise in einem Hotel an und gibt sich als Serviettenfabrikant aus. Dafür hat er alles parat: Eine Telefonnummer ebenso wie eine seriöse Internetseite, auf der man sich über sein fiktives Unternehmen informieren kann. Er macht ein gutes Angebot, das er dem Betrieb dann auch per E-Mail übermittelt. Nur ist der Anhang eben ein getarntes Schadprogramm. Der Mitarbeiter klickt auf die Datei und das Spiel beginnt.

Der Schutz eines Unternehmens vor Cyberattacken ist eine nach oben offene Skala. Gibt es eine Antivirussoftware? Wie gut ist diese? Erkennt sie das bösartige Programm? Gibt es eine eigene IT-Abteilung? Gibt es zusätzlich eine IT-Sicherheitsfirma, die das Unternehmen betreut? Hat ein Mitarbeiter die Möglichkeit, die Datei trotz Warnung zu öffnen? Wie weit oben in der Firmenhierarchie muss er dafür stehen? Das sind nur einige wenige Fragen, von denen die Erfolgsaussichten eines Angriffs abhängen.

Schussmanns Erfahrung nach sind es vor allem die vermeintlichen Kenner der Materie, die anfällig auf seine Attacken sind. "Warum da eine Warnung erscheint und die Datei blockiert, wenn Sie meinen Anhang öffnen?", wiederholt er bei einem Rückruf scheinheilig die Frage. "Keine Ahnung. Den hat mir meine Finanzabteilung so geschickt. Aber wenn sich das nicht öffnen lässt, kann man nichts machen. Wir können ja zu einem späteren Zeitpunkt wieder reden. Das Angebot ist dann allerdings nicht mehr gültig." So ähnlich, nur mit mehr Finesse, umgarnt Schussmann sein Gegenüber. Technisch unversierte und in der IT-Hierarchie niedrigstehende Mitarbeiter haben in dieser Situation gar keine andere Möglichkeit, als die "super Gelegenheit" ungenutzt zu lassen. Der unter Zeitdruck stehende "Experte" hingegen, der das gute Angebot nicht verpassen möchte, hebt dann schon einmal die Blockierung auf und Schussmann ist im System.

Der IT-Experte ist immer wieder davon überrascht, wie viele Personen in manchen Betrieben Administratorrechte haben - also die Möglichkeit, praktisch alles auf dem Rechner zu tun, inklusive Außerkraftsetzen von Sicherheitsblockaden. Allzu oft werden selbst die grundlegendsten Sicherheitsmaßnahmen außer Acht gelassen: Virenschutz, regelmäßige Sicherungskopien, engagierte IT-Fachkräfte, Sensibilisierung der Mitarbeiter - das alles sollte eigentlich eine Selbstverständlichkeit in einem Unternehmen sein, ist es nur eben allzu oft nicht.

Ist es einmal gelungen, in ein System einzudringen, passiert in den meisten Fällen vorerst einmal gar nichts. Wie ein Agent beginnt der Hacker heimlich, tiefer ins System einzudringen und sich allmählich auszubreiten. Ein gehackter Computer ließe sich noch relativ schmerzlos ersetzen. Doch je mehr es sind, desto besser für den Erpresser. Wie ein Schläferagent liegt er dann ruhig und wartet den geeigneten Zeitpunkt ab, um zuzuschlagen. "Das mache ich erst, wenn ich die Kronjuwelen habe", sagt Schussmann. Ist der Zeitpunkt gekommen, werden weite Teile, wenn nicht gar das ganze System lahmgelegt und wird die Lösgeldforderung gestellt.

Die meisten Behörden empfehlen in diesem Fall, nicht zu zahlen. Stattdessen sollte das Geld dazu verwendet werden, IT-Experten zu engagieren, die versuchen, an den Kriminellen vorbei die Rechner zu entschlüsseln. Es sei ja auch gar nicht sicher, dass man nach Zahlung von den Hackern auch wirklich seine Daten zurückerhält. Wahrscheinlicher sei, dass gleich die nächste Lösegeldforderung kommt. Oder die Daten werden im Darknet an den nächsten Kriminellen weiterverkauft.

Es gibt Ratings zur Seriosität von Cybererpressern

Doch auch hier hat die Cyberangriffsindustrie eine Lösung parat. Es gibt schon eigene Ratings für Erpressergruppen. Darin werden diese ironischerweise nach ihrer Seriosität gereiht. Sprich: Wie wahrscheinlich ist es, dass sie im Zahlungsfall auch tatsächlich die gekaperten Daten wieder freigeben und man seinen Frieden hat?

Wie groß der Schaden ist, hängt mitunter davon ab, ob und wie schnell der Angriff erkannt und gegebenenfalls eingedämmt wird. Gibt es Brandschutzmauern zwischen einzelnen Computern und Einheit? Kann man gesunde vor infizierten Computern im System schützen? Waren die Kronjuwelen so gut geschützt, dass die Bösen nicht an sie herankamen?

Doch auch der beste Schutz hat seine Grenzen. Denn so wie Sicherheitsfirmen permanent versuchen, Löcher zu stopfen, versucht man auf der anderen Seite stets, welche aufzutun. Mal ist der eine vorne, mal der andere. Und so geht es Schussmann schließlich auch hier wie James Bond, dessen Arbeit nie endet, sondern der sich - kaum ist ein Fall erledigt - auch schon in den nächsten stürzen muss.

Phishing: Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen.

Identitätsbetrug: Persönliche Daten werden gestohlen und missbraucht.

Schadprogramm (Malware): Computerprogramm, das - aus Sicht des Opfers - unerwünschte und gegebenenfalls schädliche Funktionen ausführt.

Ransomware: Schadprogramm, durch das der Zugriff auf Daten oder das ganze Computersystem verhindert wird. Dabei werden Daten auf dem fremden Computer verschlüsselt.

Cybererpressung: Hacker verlangen Geld, um erfolgreiche Angriffe durch Ransomware rückgängig zu machen.

Cryptojacking: Hacker verwenden die Ressourcen eines fremden Computers, um Kryptowährung zu generieren.

Denial of Services: Eine Webseite wird mit Anfragen bombardiert, bis sie abstürzt.

Hilfe bei Cyberkriminalität:

Helpline der Stadt Wien, 01/4000-4006

Hotline der Wirtschaftskammer für Firmen, 0800 888 133

Bundeskriminalamt, against-cybercrime@bmi.gv.at