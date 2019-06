Am Telefon meldet sich die IT-Abteilung. Es gäbe Hinweise, dass der eigene Computer gehackt worden sei. Damit man das überprüfen könne, soll ein Programm für die Fernwartung heruntergeladen werden. Der Link dazu kommt per Mail. Cyberkriminelle lauern überall – und ehe man sichs versieht, haben sie einen. So auch hier: Der Hacker ist nämlich nicht im Computer, sondern am Telefon. Klickt man wie von ihm beauftragt auf den Link, gewährt man ihm Zugang auf den Rechner. Dabei wollte man mit dem Download ja genau das verhindern. «Ein typisches Beispiel», sagt der Cyberexperte Thierry Navarro. Eine Firma könne ihr Computernetzwerk noch so gut schützen, am Ende mache ein Arbeiter in einer unachtsamen Minute einen Fehler, falle auf eine List herein, klicke einmal mit der Maus zu viel – und schon seien die Hacker im System.

Angeriffen wurde eine mittelgrosse Firma im Mittelland. Doch es hätte nahezu in jedem Unternehmen passieren können, beteuert Navarro. Und jeder Angestellte soll daraus lernen können. Die beschriebene Attacke ist eines von verschiedenen Szenarien, welches das Schweizer Start-up Megaverse, an dem Navarro beteiligt ist, in seine Lernsoftware integriert hat. Wobei «Lernsoftware» die Sache nicht ganz trifft: Metaverse ist vielmehr ein Computerspiel, ein sogenanntes Serious Game, ein Spiel mit ernstem Inhalt. Es soll Nutzer mit den vielfältigen Tricks und Vorgehensweisen von Hackern vertraut machen und sie für Einfallstore für Cyberkriminelle sensibilisieren. Dafür wird der Arbeitsalltag eines Büroangestellten simuliert – mit E-Mail-Verkehr, Telefonanrufen und Gesprächen mit anderen Mitarbeitern. 5,3-Billionen-Dollar-Verlust Mit diesem Ansatz macht sich das Start-up daran, die grösste Sicherheitslücke bei Firmen zu schliessen: die Unwissenheit und Naivität der Mitarbeiter im Umgang mit Daten und neuen Technologien. Egal, wie gut die Sicherheitstechnologie eines Unternehmens ausgerüstet ist, wie rigoros der Virenscanner vorgeht, wie undurchlässig eine Firewall ist, am Ende ist es der Mensch, der auf einen Link mit Schadsoftware klickt, ein Programm herunterlädt oder aus Versehen wichtige Daten weitergibt. Studien zeigen, dass es zu mindestens 80 Prozent menschliches Fehlverhalten ist, das Kriminellen Einlass in das unternehmerische Netz gibt. «Sicherheitssoftware ist zwar wichtig, doch sie allein reicht nicht. Es braucht Mitarbeiter, die ein geschärftes Bewusstsein für Cyberkriminalität haben», sagt Navarro. Und dennoch würden viele Unternehmen aber auch Sicherheitsanbieter vorwiegend auf technische Lösungen setzen und den Faktor Mensch ausser acht lassen.

Die Gefahr des CEOs Eine häufige Hacking-Attacke ist der sogenannte CEO-Fraud (CEO-Betrug). Dabei geben sich die Hacker als Geschäftsführer eines Unternehmens aus, um an wichtige Daten zu gelangen oder hohe Geldbeträge zu ergaunern. Dem CEO vertraut man schliesslich. Um die Kommunikation echt wirken zu lassen, sammeln die Betrüger zuerst möglichst viele Daten – etwa auf sozialen Medien und Websites – und bauen so ein realitätsnahes Szenario auf. Gemäss einer Studie zur Versicherungsbranche, die Forscher der Martin-Luther-Universität Halle-Wittenberg gemeinsam mit der Wirtschaftsprüfungsgesellschaft PWC durchgeführt haben, fanden bereits in 38 Prozent der Unternehmen Versuche solcher Attacken statt. Aber auch Angriffe auf den Chef selber sind häufig. «Der CEO ist oft die grösste Schwachstelle eines Unternehmens», sagt Thierry Navarro des Security-Start-ups Megaverse. Er sei in Besitz der meisten Informationen, habe aber kaum Zeit für eine Sicherheitsausbildung und glaube oft, bereits alles darüber zu wissen. Das aber sei so gut wie nie der Fall. (RAS)