aufgeschrieben

Mitgliedermagazin des Arbeitgeberverbands für die Chemische Industrie in Norddeutschland

Positionsbestimmung

Die Psychologie der Cyberkriminalität

Durch Hackerangriffe entsteht in Deutschland jedes Jahr ein Schaden in Höhe von 203 Milliarden Euro. Laut offiziellen Statistiken wurden 81 Unternehmen im Jahr 2022 Opfer von Cyberkriminalität – die Dunkelziffer ist deutlich höher. Wie gehen die Täter vor und wie kann man sich schützen? Darüber sprach der Wirtschaftspsychologe und Geheimdienstanalyst Mark T. Hofmann in unserer Online-Veranstaltungsreihe „Positionsbestimmungen“ Ende August.

Foto: Елена Дзюба/stock.adobe.com


Cyberkriminalität als Geschäftsmodell

Viele Menschen würden sich den typischen Hacker so vorstellen: jung, männlich, intelligent, Einzeltäter. Jemand, der sich in seiner Freizeit illegal Zugang in fremde Computersysteme verschafft. Diese Hacker gebe es auch – aber sie sind laut Hofmann nur eine kleine Minderheit. Tatsächlich würden hinter Cyberangriffen in den meisten Fällen richtige Organisationen stecken, die wie Dienstleistungsunternehmen agieren: mit Mitarbeitern, einem Kundenservice, einem Qualitätsmanagement und teilweise sogar mit einer eigenen Pressestelle.

Für eine weitere falsche Vorstellung im Zusammenhang mit Cyberkriminalität sorge der so genannte Third-Person-Effekt. Dahinter verberge sich die Annahme, dass negative Effekte nur andere betreffen, nicht einen selbst. Vor allem kleinere und mittelständische Unternehmen gingen oft davon aus, dass sie nicht groß oder wichtig genug seien, um Opfer von Cyberkriminalität zu werden. Laut Hofmann ein fataler Irrtum. Denn der Fokus der Angriffe habe sich inzwischen auf den Mittelstand verschoben. „Der Grund dafür ist ganz einfach“, erklärt der Experte. „Hier haben die Angreifer das beste Preis-Leistungs-Verhältnis: relativ viel Geld bei vergleichsweise wenig Schutz.“

 

Risikofaktor Mensch

Die größte Gefahr für den Mittelstand sei Ransomware – eine Schadsoftware, die den Zugriff auf die eigenen Daten unterbinde. Um diese wiederzubekommen, müsse das Unternehmen in der Regel ein Lösegeld zahlen. Bezahle es nicht, seien die Daten verloren und würden teilweise im Darknet zum Kauf angeboten. Den Zugang zu den Systemen würden sich die Kriminellen in den meisten Fällen

Amateurs hack systems, professionals hack people.

(Bruce Schneier)

nicht durch Hacking-Programme verschaffen. Dies sei viel zu aufwendig. Viel einfacher gelinge es durch so genanntes „Social Engineering“. Dabei würden die Täter Mitarbeiter dazu bringen, Passwörter oder andere sensible Daten herauszugeben bzw. unabsichtlich Schadsoftware zu installieren. Folgende Methoden kommen laut Hofmann am häufigsten zum Einsatz:

  • „Illusion in einer Illusion“: Hierbei werde dem potenziellen Opfer in einer E-Mail oder einer Kurznachricht mitgeteilt, dass es gehackt wurde. Um sich zu schützen, solle man auf einen Link klicken oder einen Anhang öffnen. Tue man dies, werde man tatsächlich gehackt.
  • „Identitätsklau“: Die Täter würden sich z. B. als Chef oder Mitarbeiter der IT-Abteilung ausgeben und die Herausgabe eines Passworts oder das Überweisen von Geld fordern. Bei dieser Methode würden die Täter auch Deep Fakes nutzen, bei denen Gesicht oder Stimme einer Person täuschend echt nachgeahmt werden.
  • „Sympathieprinzip“: Komme vor allem bei Spionage zum Einsatz. Die Täter erschlichen sich das Vertrauen von Mitarbeitern und brächten sie dazu, Passwörter herauszugeben oder USB-Sticks mit Schadsoftware zu verwenden.
  • „Autoritätsprinzip“: Hier machten sich die Täter den Respekt und häufig auch blinden Gehorsam vor Autoritäten zunutze. Beispiele seien E-Mails, die angeblich von der Polizei, dem Finanzamt oder vom Zoll geschickt wurden.

Eines hätten alle Methoden gemeinsam: Sie würden menschliche Emotionen wie Zuneigung, Neugier, Angst oder Scham ausnutzen.

Die beste Abwehrstrategie: eine „menschliche Firewall“

Mehr als 90 Prozent der Cyberangriffe gehen auf menschliche Fehler zurück.

(Mark T. Hofmann)

Der erste Schritt einer guten Abwehr bestehe darin, seine Naivität abzulegen und nicht auf den Third-Person-Effekt hereinzufallen. „Glauben Sie nicht, Sie seien zu klein oder zu unbedeutend für einen Hackerangriff. Ich habe erlebt, dass sogar Kitas gehackt wurden. Wenn Sie wichtiger als eine Kita sind, sind Sie ein potenzielles Ziel“, so Hofmann. „Es gibt nur zwei Kategorien von Unternehmen: die, die schon angegriffen wurden und die, die noch angegriffen werden.“ Deshalb müsse man das Thema in den Unternehmen zur Chefsache machen.

Neben technischer und physischer Awareness – z. B. starke Passwörter, regelmäßige Updates, eine gute Firewall und gesicherte Endgeräte – sei auch psychologische Awareness von zentraler Bedeutung. „Informieren Sie Ihre Mitarbeiter über die Methoden von Cyberkriminellen. Schulen Sie sie darin, aufmerksam zu sein und sich nicht unter Druck setzen zu lassen, wenn ihnen etwas komisch vorkommt“, empfiehlt der Experte.

Denn meist helfe es schon kurz durchzuatmen und die Anfrage zu überprüfen, z. B. durch einen Rückruf oder eine Sicherheitsfrage, die nur der echte Chef oder Kollege beantworten kann. Die wichtigste Zielgruppe seien dabei die Mitarbeiter, die sich nicht für das Thema interessieren oder glauben, es beträfe sie nicht. Denn sie seien oft das schwächste Glied in der Kette.

Außerdem sei es wichtig, sich auf einen echten Angriff vorzubereiten. Dafür brauche man eine Cyberabwehrstrategie, bestehend aus:
 

  • Krisenfrühwarnsystemen,
  • „Worst-Case-Szenarien“ mit Schubladenplänen,
  • Schadensbegrenzungsmaßnahmen („Shutdown“),
  • externe Berater, die immer erreichbar sind, sowie
  • ggf. eine Cyber-Versicherung.

Jeder Mitarbeiter müsse im Ernstfall wissen, was zu tun ist und wer informiert werden muss. Hofmann empfiehlt: „Seien Sie auch auf den schlimmsten Fall vorbereitet und üben Sie Cyberangriffe so regelmäßig wie das richtige Verhalten im Brandfall.“

Mark T. Hofmann

Kriminal- & Geheimdienstanalyst/ Organisationspsychologe

https://www.mark-thorben-hofmann.de/

Am 7. Dezember 2023 findet die Folgeveranstaltung „Notfallplan Cyberangriff" im Haus der Chemie in Laatzen statt.
Hier wird es um die Fragen gehen: „Wie bereite ich mein Unternehmen auf einen Cyberangriff vor?", „Wo bekomme ich bei einem Angriff Hilfe?" und „Wie gehe ich mit Ransomeware und Erpressern um?"

Die Einladung zur Veranstaltung wird in Kürze versendet.

Liste der Artikel

Alle Artikel aus dieser Ausgabe



Stärkung der psychischen Gesundheit am Arbeitsplatz

Arbeitsbedingten psychischen Erkrankungen vorbeugen, Wohlbefinden fördern: Hier erfahren Sie, was Unternehmen für ihre Beschäftigten tun können.

Aus dem Verband

Interview mit Dr. Andreas Ogrinz

Dr. Andreas Ogrinz berichtet, wie die Studie „Chemie-Arbeitswelten 2030“ wahrgenommen wurde und die Ergebnisse in der Praxis umgesetzt werden können.

Aus dem Verband

Innovationspfade in der Aus- und Weiterbildung

Bei unserer Sozialpartner-Veranstaltung am 9. Oktober geht es um die Frage, wie man Azubis gewinnen und Mitarbeiter fit für die Zukunft machen kann.

Aus- und Weiterbildung

4 Gründe, warum sich Lehrerpraktika für Unternehmen lohnen

Nur wenige Unternehmen bieten Praktika für Lehrkräfte an. Dabei können sich daraus zahlreiche Vorteile ergeben – wenn man es richtig angeht.

Aus- und Weiterbildung

Knurrende Hunde im Büro?

Dürfen Mitarbeiter ihren Hund mit zur Arbeit nehmen, wenn Kollegen vor ihm Angst haben? Mit dieser Frage beschäftigte sich das LAG Rheinland-Pfalz.

Arbeitsrecht