Von Tobias Fischer, FrankfurtSich in eine Bank einzuhacken, ist ein Weg für Betrüger, Kasse zu machen, ein anderer, Wanzen in iPhones oder Tablets von Entscheidern zu friemeln. Am einfachsten aber ist, sagt Cyberexperte Michael Zobel, “Menschen zu hacken”, um beispielsweise an Passwörter zu gelangen. Als Mitwirkender in Red Teams, das sind private Sicherheitsteams, die im Auftrag von Banken und Unternehmen deren IT auf Sicherheitslücken absuchen, kennt er die Tricks und Kniffe, mit denen Hacker ans Ziel kommen, also etwa Codes zu knacken, Daten aus Systemen abzugreifen und Menschen Informationen zu entlocken.Denn Hackern gehe es nur darum, Kasse zu machen und bestimmte Informationen zu erlangen. “Der Weg ist absolut irrelevant”, sagt Zobel. Teuer zu stehen kommen Angriffe Unternehmen nach Erkenntnissen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) meist durch Wiederherstellung verlorener Daten und die Aufklärung des Sachverhalts sowie durch Unterbrechungen des laufenden Betriebs (s. Grafik).Wie viel Akribie, Kreativität und Finesse hinter dem Red-Team-Testing stecken, zeigen Beispiele aus Zobels Praxiserfahrung. Dabei versuchen Leute wie er, so zu denken und vorzugehen wie echte Hacker, allerdings auf legale Weise und mit der Absicht, den Kriminellen ein Schnippchen zu schlagen und mit den Erkenntnissen Institutionen vor deren Zugriff zu schützen. Fingierte Mail und HomepageEin klassischer Weg, um an firmeninterne Informationen zu kommen, ist, sich von außen in ein IT-System einzuhacken, ein anderer, um sensible Daten abzugreifen, einen Entscheidungsträger einzuladen. Eine klassische E-Mail mit einer persönlichen Einladung in den neuen Golfclub könne Wunder wirken, sagt Zobel. Nur, dass das Schreiben genauso fingiert ist wie die Homepage, auf die der mitgeschickte Link verweist. Über die manipulierte Seite lassen sich dann allerlei Daten abgreifen. Gängige Praxis sei es beispielsweise auch, Vorstände für Veranstaltungen zu engagieren, um Keynotes zu halten. Sobald ihre Notebooks in Benutzung sind, könne vor Ort mit den entsprechenden technischen Mitteln mitgelesen und der Datenstrom abgegriffen werden, berichtet Zobel. Selbst aus 200 Metern Entfernung. Wanze ins Notebook gebautEine andere Möglichkeit sei, die Führungskraft kurz abzulenken, um einem Kompagnon derweil die Möglichkeit zu verschaffen, eine elektronische Wanze ins Notebook zu verfrachten. Solche Aktionen hätten die Chinesen zur Perfektion getrieben, berichtet Zobel, Sekunden reichten aus, um ihr Werk zu vollenden. Er legt jedoch Wert darauf, ihnen nicht den Schwarzen Peter zuzuschieben, bedienten sich doch Hacker und Spione aus den meisten Staaten derlei Methoden. Eine andere Möglichkeit ist, einen kleinen Chip zwischen Tastatur und Notebook zu installieren, der alles aufzeichnet, was eingetippt wird. Die gesamte Verschlüsselung, alle Sicherungsmaßnahmen, würden damit ausgehebelt, sofern keine Zwei-Faktoren-Authentifizierung erforderlich ist. Dies bedeutet, dass zwei unterschiedliche persönliche Informationen zum Einloggen verwendet werden müssen, also beispielsweise Passwort und zusätzlich ein Bestätigungscode, der auf einem separaten Gerät generiert wird. Auch solche Tastaturaufzeichnungen seien heutzutage gängige Praxis. Wer die erforderlichen Utensilien erwerben wolle, müsse sich nicht einmal ins Darknet bemühen, sondern könne sie ganz legal bei Amazon erstehen.Moderne Technik macht es Betrügern und Agenten leicht. “Alles, was ich zur Manipulation brauche, ist im Smartphone oder im Tablet ja schon eingebaut”, gibt Zobel zu bedenken. “Nun muss ich Kamera und Mikrofon nur noch steuern können.” Und da jeder sein Handy immer und überall bei sich trage, lasse sich mühelos eine Gelegenheit finden oder auch konstruieren, wie im Fall des Vorstandsmitglieds, das eine Keynote hält, um hinterrücks eine Wanze einzubauen.So sei es ein Leichtes, das Opfer genau an den Ort zu lotsen, wo es die Betrüger sehen wollen. Denn das verbreitete wirtschaftliche Denken mache viele Handlungen vorhersehbarer. “Wenn ich ein Fünf-Sterne-Hotel zu 70 % des Durchschnittspreises anbiete, dann wird die Vorstandsassistentin genau das buchen. Und schon ist der Vorstand genau dort, wo ich ihn haben will.” Mehr noch: Diese Form der Manipulation ermögliche es, jemanden glauben zu machen, er habe eine freie Entscheidung getroffen, obwohl er genau genommen gelenkt wird. Redselige Mitarbeiter”Menschen sind viel einfacher als Systeme zu hacken”, sagt Zobel. Es sei zwar mehr Psychologie vonnöten, summa summarum sei diese Vorgehensweise aber um einiges einfacher, da erstaunlich viele Leute schnell und ohne viel Federlesens Information rausrückten. “Ich kann sie unter Druck setzen, ich kann sie bestechen, ich kann sie für meine Firma gewinnen”, berichtet er. Um beispielsweise ein Domain-Administrator-Kennwort zu ergattern, hätte er lediglich weit unter 10 000 Euro Bestechungsgeld zahlen müssen, erzählt er von einem Fall aus seiner Praxis. Es geht mitunter aber auch noch günstiger. Menschen seien sehr redselig, auch ihren Arbeitgeber betreffend, wenn sie einen neuen Job benötigen, sagt Zobel. Noch mitteilsamer seien frustrierte Angestellte, so seine Erfahrung als Red-Team-Mitglied. “Ich gebe ihnen ein Essen für 30 Euro aus und weiß hinterher, wie der Laden funktioniert. Inklusive aller Macken.”Wer von sich aus nichts preisgebe und wer den Verlockungen des Geldes nicht anheimfalle, bei dem könne Druck Wunder wirken – eine typisch russische Vorgehensweise, die sich schon im Kalten Krieg bewährt habe. Ein recht prominentes Beispiel ist der sogenannte CEO oder Fake President Fraud. Diese Methode des Betrugs, bei der sich Kriminelle vor Angestellten als Chefs ausgeben, ruft bei den meisten Außenstehenden Unverständnis hervor, lässt sich doch auf den ersten Blick kaum nachvollziehen, weshalb sich Mitarbeiter telefonisch bzw. per E-Mail dazu verleiten lassen, hohe Geldbeträge von Firmenkonten zu überweisen. Im August 2016 hatten es Täter mit dieser Masche geschafft, dem Automobilzulieferer Leoni 40 Mill. Euro abspenstig zu machen. Im Zeitraum Juni 2016 bis Juni 2018 sind dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) nach eigenen Angaben von Kunden etwa 50 Schadensfälle über mehr als 150 Mill. Euro gemeldet worden.Wie einfach das mit etwas psychologischer Schulung bewerkstelligt werden kann, weiß Zobel aus eigener Anschauung. Eine Möglichkeit könne sein, bei einem Mitarbeiter anzurufen und ihm zu suggerieren, dass dem Unternehmen viel Geld durch ein entgangenes Geschäft durch die Lappen gehe, wenn nicht unverzüglich ein bestimmter Geldbetrag auf ein bestimmtes Konto überwiesen werde. Die Situation wird in der Regel akribisch vorbereitet bzw. konstruiert, das Unternehmen, die Strukturen, Vorgesetzte und der einzelne Mitarbeiter werden zuvor ausgeforscht und eine Legende gestrickt, die im richtigen Augenblick zur Anwendung kommt. Gezielt unter Druck gesetztDer Angerufene werde unter diesen Bedingungen in der Regel nicht mehr hinterfragen, ob das alles seine Richtigkeit hat. “Logisches Denken wird in dem Augenblick ausgeschaltet”, erklärt Zobel. “Psychologisch geschulte Leute setzen den Betreffenden gezielt unter Druck, ohne dass er darunter zusammenbricht, denn dann funktioniert er nicht mehr. Und dann schafft man es, jemanden das tun zu lassen, was man ihn tun lassen möchte.” Vorbei an allen Compliance-Barrieren, am Vier-Augen-Prinzip und dergleichen.Beliebt sei auch, Assistenten oder Sekretärinnen von Führungskräften ins Visier zu nehmen. Die verfügten meist über dieselben relevanten Informationen wie ihr Chef, würden aber nicht so abgeschirmt wie sie und seien sich nicht unbedingt darüber im Klaren, wie brisant eine bestimmte Information sein kann. “Wen greife ich also an? Das schwächste Glied der Kette”, sagt Zobel.