Unterwegs mit PenetrationstesterDatenklau mit Erlaubnis: Wie sich Firmen besser vor Cyberattacken schützen können

Wie alle anderen Mitarbeiterinnen und Mitarbeiter läuft Marian Kogler durch den Empfang einer Firma. Freundlich und selbstbewusst grüßt er die Leute, die ihm entgegenkommen. Kogler läuft zu seinem scheinbaren Arbeitsplatz – einem Großraumbüro mit nicht gesperrten Computern.

Dann geht alles ganz schnell. Mails mit Links voller Schadsoftware werden an die Mitarbeitenden verschickt, Dateien werden verschlüsselt und ein Computer nach dem anderen in der Firma übernommen. Marian Kogler verlangt Lösegeld. Nur dann rückt er die Daten wieder heraus.

Das Gute: Die Firma wollte das so. Denn Marian Kogler ist ein sogenannter Penetrationstester und Geschäftsführer der syret GmbH in Halle. Unternehmen, für die er arbeitet, erlauben Kogler, den Cyberraum anzugreifen.

Der Sinn dahinter ist das Aufspüren von Schwachstellen im System. Die werden protokolliert und den Firmen später mitgeteilt. Das Ziel ist dabei immer dasselbe: Unternehmen sollen sich vor Cyberangriffen besser schützen können.

Auf welche Art ein Angriff erfolgen soll, wird zuvor mit Kogler abgestimmt. Möglichkeiten gibt es hier viele, wie der Tester verrät. Mal sollen nur technische Hilfsmittel erlaubt sein, mal sollen auch Menschen auf Schwachstellen geprüft werden.

Dass dabei ein so provokantes Vorgehen wie das von Kogler wichtig ist, zeigen Zahlen des Landeskriminalamts Sachsen-Anhalt. Allein in Sachsen-Anhalt stieg die Zahl der erfassten Fälle von Cyberkriminalität zwischen 2019 und 2021 deutlich an: von knapp 13.000 Fällen auf fast 19.500 Fälle.

LKA-Pressesprecher Michael Klocke sagt, das liege vor allem an der Corona-Pandemie. Denn die Arbeitswelt und das Schulleben haben oder hatten sich im Wesentlichen nach Hause verlagert. Das biete neue Tatgelegenheiten für Cyberkriminelle, sagt Klocke im Gespräch mit MDR SACHSEN-ANHALT.

Auch jüngste Ereignisse wie die Cyberattacke auf die Verwaltung im Landkreis Bitterfeld-Wolfen oder das Fraunhofer-Institut in Halle zeigen, dass solche Ereignisse keine Seltenheit mehr sind – und Sicherheit im Cyberraum ernster genommen werden muss.

Der Pen-Tester Marian Kogler – das ist die Abkürzung für seinen Job als Penetrationstester – versucht daher, bei seinen Angriffen so vorzugehen, wie Täter es auch tun würden. Wie auch bei den jüngsten großen Angriffen in Sachsen-Anhalt ist bei den meisten Tätern Geld die Motivation der Straftaten, so Kogler.

Auch er sucht dann gezielt nach Daten, die zu Geld gemacht werden können:

Wie das aussehen kann, führt Kogler nun vor. Für den Test dient ihm ein gewöhnlicher Dienstrechner – ungesperrt. Auf diesem geht er systematisch alle möglichen Schwachstellen durch.

Dass die Eingabeberechtigung vom Admin deaktiviert ist, stört ihn nicht weiter. "Das ist nicht der einzige Weg, ich kann noch die Tastenkombination Windows+R drücken.", erzählt er. Gesagt, getan. Auf dem Bildschirm ploppt ein Fenster mit einer Meldung auf. Auch hier ist Kogler nicht berechtigt, etwas einzugeben. So weit, so gut.

Doch dann kommt ein sogenanntes Skript zur Hilfe, das er über irgendeine Seite herunterlädt. Millisekunden später ist der Account übernommen. Die Daten sind verschlüsselt, der Desktophintergrund zeigt: "All your importent files are stolen and encrypted." So schnell geht es also.

Aktuell kann Kogler mit dem Account noch nicht viel machen, verrät er. Denn er hat keine Administratorenrechte: "Ich habe nicht Zugriff auf alles, aber ich habe Zugriff auf alle Daten, auf die der Nutzer Zugriff hat. Jetzt könnte ich über technische Aspekte versuchen, mir den Zugriff auszuweiten."

Bedeutet: Er könnte dann Mails an alle Kollegen schicken, beispielsweise mit einem verschlüsselten Word-Dokument. Im Word-Dokument steht, dass dieses mit einer alten Version geschrieben wurde und nur geöffnet werden kann, über die Eingabe "Inhalt aktivieren". Kogler erklärt dazu: "Word meint damit aber, dass ein Programm, das in diesem Dokument enthalten ist, ausgeführt werden soll. Heißt, wenn der Empfänger das macht, kann man den Rechner übernehmen."

Kogler will mit solchen gezielten Attacken die Mitarbeiter eines Unternehmens sensibilisieren. Doch wie kann man sich schon im Vorfeld am effektivsten schützen? Kogler nennt ein paar, wie er es nennt, "Grundregeln":

• Kommt einem eine Mail merkwürdig vor, sollte nicht sofort etwas geklickt werden, sondern der Inhalt sollte auf anderem Wege verifiziert werden. Das geht ganz einfach: Der (vermeintliche) Absender der Mail sollte einfach gefragt werden, ob diese wirklich von ihm stammt.

• Auch sollte das Passwort nicht bei allen Accounts dasselbe sein. Denn sollte doch mal das Passwort an einer Stelle abhanden kommen, sind die anderen Accounts noch sicher, erklärt Kogler.

• Das Wichtigste, sagt er, sind allerdings Updates. Ihmzufolge werden viele Schwachstellen nämlich selbst von Software oder Hardware behoben. "Man sollte Updates wirklich durchlaufen lassen, auch zeitnah, um nicht mit einer Schwachstelle gehackt zu werden, die eigentlich schon längst behoben ist."

Hundertprozentige Sicherheit gibt es laut dem Pen-Tester dennoch nicht. Man sollte aber versuchen, es den Tätern so schwer wie möglich zu machen.

MDR (Maximilian Fürstenberg)