Die grösste IT-Gefahr ist der Mensch selbst

Draussen scheint die Sonne, der See ist spiegelglatt, der Himmel wolkenlos. Ein paar Möwen schreien, stürzen aufs Wasser zu. Die knapp 40 Teilnehmer des Eset Security Day im Seedam Plaza in Pfäffikon Schwyz bekommen von dieser Idylle nichts mit. Im Untergeschoss des Konferenzzentrums lauschen sie den Worten von Björn Schemberger.

Schemberger ist IT-Forensiker beim Landeskriminalamt Baden-Württemberg. Kurz vor dem Mittag erzählt er von den Abgründen der IT-Welt. Von digitaler Kriegsführung, von Cyber-Terrorismus und vom Cyber-Armageddon.

Teure Werkzeuge, die keine Spuren hinterlassen dürfen

"Ein IT-Forensiker muss ständig up to date sein", sagt Schemberger. Er müsse sich weiterbilden, schulen. Und er brauche Hardware. Teure Hardware. Etwa einen Schreibschutz. Denn ein IT-Forensiker darf keine Daten verändern. Sie wären sonst später vor Gericht nicht mehr als Beweisstücke zugelassen.

Der Hardwareschreibschutz von Schemberger kostet rund 1500 Euro. Das Gerät sorgt dafür, dass Schemberger Festplatten und andere Datenträger unberührt lässt. In seinem Werkzeugkoffer hat der IT-Forensiker aber noch mehr.

Denn Schemberger ist auch ein Netzwerkforensiker. Als solcher benötigt er einen Netzwerkmonitor, der das Netzwerk und die Daten, die darüber fliessen, nicht verändert. Die Infrastruktur darf nicht einmal mitbekommen, dass er "snifft", wie Schemberger es nennt.

Wenn der Chef per Mail Geld fordert

So ausgerüstet seziert Schemberger PCs, Netzwerke, komplette Infrastrukturen. Wer ihn um Hilfe bittet, steht unter Beschuss, soll Lösegeld zahlen oder hat bereits Geld verloren. Letzteres komme immer häufiger vor. Das Phänomen nennt Schemberger "CEO Fraud".

Beim "CEO Fraud" gibt sich der Bösewicht als Chef eines Unternehmens aus. Die Methode zählt zum sogenannten Social Engineering. Der Übeltäter observiert dafür das Unternehmen und dessen Mitarbeiter.

Die nötigen Informationen liegen förmlich auf der Strasse

Er zapft etwa den Computer des Chefs an, durchforstet das Internet, scannt die sozialen Medien, verschafft sich Zugang zur Kantine und belauscht Gespräche, ruft im Unternehmen an und versucht so, direkt an Informationen zu gelangen. Er fängt E-Mails ab, beobachtet das Alltagsgeschehen am Firmensitz.

So erfährt der Bösewicht, wann der Chef auf Geschäftsreise geht, dass seine Sekretärin noch in der Probezeit ist und welche Befugnisse sie während der Abwesenheit ihres Chef hat. Die heisse Phase beginnt.

Angst vor Jobverlust

Schritt 1: Der falsche CEO schickt eine E-Mail an die echte Sekretärin. Sie müsse dringend eine Überweisung tätigen. Er habe ein Geschäft an Land ziehen können, das dem Unternehmen zu Aufschwung verhelfen werde.

Damit alles gutgehe, habe er bereits eine Anwaltskanzlei angeheuert. Die werde alles Weitere regeln und sie, die Sekretärin, kontaktieren. Sie müsse allerdings Stillschweigen bewahren. Die Presse dürfe unter keinen Umständen von der Sache erfahren. Wieso er nicht anruft? Er sitzt natürlich gerade in einem Meeting.

Schritt 2: Die Anwaltskanzlei meldet sich. Fragt nach, ob die Sekretärin schon im Bilde sei. Wieder wird die Sekretärin instruiert, mit niemandem über die Sache zu sprechen. Sie könnte ihren Job verlieren, wenn sie die Überweisung nicht veranlasse, hört sie am Telefon.

Schritt 3: Die Sekretärin überweist das Geld.

Prozesse prüfen

Schemberger sagt, in einzelnen Fällen seien so schon bis zu 40'000 Euro auf ausländische Konten geflossen. Social Engineering und CEO Fraud seien reale Gefahren. Gefahren, die auf menschlichem Versagen und laxem Umgang mit persönlichen Daten fussen.

Schützen könne man sich als Unternehmen nur, indem man interne Prozesse prüfe. Wer darf was? Darf die Sekretärin auf eine E-Mail ihres Chefs hin einfach so 40'000 Euro auf ein ausländisches Konto überweisen? Es klingt absurd, ist aber laut Schemberger Realität.