Dieser IT-Detektiv versucht schneller als die Hacker zu sein

Eine Verwaltung, die keine Autos zulassen kann, ein Krankenhaus, das nur Not-OPs ausführen kann, ein Reiseveranstalter, der Kreuzfahrten absagen muss: Internet-Kriminellen gelingt immer öfter, IT-Systeme lahm zu legen. Meist gehe es darum, Daten zu verschlüsseln und diese gegen eine Art von Lösegeld wieder frei zu geben, erklärt Stefan Otto. Der 35-Jährige ermittelt als Cyberdetektiv und hat dafür auch eine korrekte Berufsbezeichnung: Projektleiter Cybersecurity beim Unternehmen Clausohm Software in Neverin bei Neubrandenburg.

Erpresser verschlüsseln Firmen-Daten und wollen viel Geld

Es erwischt nicht nur die Großen. Otto kennt den Fall einer kleinen Baufirma auf dem Land, deren Daten durch Erpresser verschlüsselt wurden. Die Folge: Aufträge konnten nicht abgerechnet werden, die Kundendatei war gesperrt, Materialbestellungen waren nur erschwert möglich. Die Firma zahlte, doch die Entschlüsselung erfolgte nicht komplett. Nacharbeiten für das IT-System waren zusätzlich fällig.

Damit es so weit nicht kommt, können öffentliche und private Auftraggeber vorbeugend ihre IT-Systeme von Stefan Otto und seinem Team prüfen lassen. „Es geht darum, das Risiko erfolgreicher Angriffe zu minimieren“, beschreibt er seine Mission. Otto schlüpft mit dem Wissen möglichst weniger Eingeweihter beim Testkandidaten in die Rolle eines Hackers und prüft den Schutz der Systeme, die mit dem Internet verbunden sind. „Wir legen vorher fest, wie weit wir bei unseren Recherchen gehen können.“

Dann folgt Routine: Mit teils frei verfügbaren Diagnoseprogrammen untersucht er anfangs, wie wetterfest die IT-Struktur des Auftraggebers ist. In kurzer Zeit lässt sich scannen, ob die Software auf dem neuesten Stand ist oder über offenkundige Schwachstellen große Einfallstore offen stehen. „Man glaubt gar nicht, wie oft nach wie vor Kennwörter wie schlichte Zahlenreihen von 1 bis 5 verwendet werden oder ,admin admin‘ als Kombination“, berichtet er. Es gebe Programme im Netz, die solche Leichtsinnigkeit aufdecken. Beispiel Webcams: Weil die Nutzer oftmals einfach die schlichten und bekannten Standard-Passwörter der Hersteller weiter nutzen, können deren Bilder heimlich abgerufen werden – in Echtzeit. An diesem Tag sind das Bilder aus dem Innenleben einer Werft ebenso wie der Blick in einen privaten Carport in Süddeutschland.

Mehr lesen: Analyse: Hackerattacken für deutsche Firmen besonders teuer

Schockierend, wie schlecht viele vorbereitet sind

Neben dem ungenügenden Schutz der IT-Systeme können vor allem Fehler der Mitarbeiter dazu führen, dass die Straftäter ans Ziel gelangen. Das geht so, wie Stefan Otto weiß: Erst baldowern die Übeltäter frei zugängliche E-Mail-Adressen im Unternehmen aus, um an Mitarbeiter täuschend echte Mails mit infizierten Anhängen zu schicken, die im Verborgenen ihre Wirkung entfalten. Das führt Otto auch für seinen Auftraggeber aus und wird oft fündig. „Es ist oft schockierend, wie schlecht Mitarbeiter auf solche Angriffe vorbereitet sind“, sagt der Experte.

Wenn der Auftraggeber möchte, wird Otto mit seinem Team auch vor Ort tätig – zum Beispiel mit dem Versuch, das firmeneigene WLAN zu okkupieren. Oder zu prüfen, wie gut Räume geschützt sind, in denen mit IT-Systemen gearbeitet wird. „Was passiert eigentlich, wenn fünf Mitarbeiter zur Raucherpause vor die Tür gehen und bei deren Ende ein sechster mit ins Haus schlüpft?“ Etwa, um illegal Daten zu kopieren oder per USB-Stick Schadprogramme direkt einzuschleusen.

Beratung für Stadtwerke

Nach dem Probeangriff auf den Auftraggeber schreibt Otto ein ausführliches Protokoll mit Empfehlungen für die Systemsicherheit. „Ich freue mich, wenn wir dann bei einer Nachprüfung feststellen können, dass sich etwas verändert hat“, sagt er. Dazu können auch Mitarbeiterschulungen zählen.

Mit seiner Sparte Cybersicherheit habe das Unternehmen mit seinen rund 80 Beschäftigten auf den wachsenden Bedarf von Ämtern und Wirtschaft reagiert, sagt Firmenchefin Katharina Clausohm. Mehr als 50 Kunden würden bereits betreut, darunter auch Stadtwerke in MV und Brandenburg. Angesichts der Ukrainekrise sieht sie vor allem eine Gefahr, auch wenn noch nicht viel über Angriffe auf kritische Infrastrukturen bekannt wurde. „Die Vorbereitungen laufen unter der Decke, um irgendwann den Angriff starten zu können“, ahnt sie. Zuvor hatte des Bundesamt für Sicherheit in der Informationstechnik dringend empfohlen, die IT-Systeme auf dem neuesten Stand der Gefahrenabwehr zu halten.

Mehr lesen: Deutliche Zunahme von Hacker-Aktivitäten in MV