Wenn der Hacker freundlich fragt

Wenn der Hacker freundlich fragt

Kleine und mittlere Unternehmen stehen in Sachen Cyber-Sicherheit oft blank da. Forschende im Projekt „ELITE“ wollen deshalb Entscheider*innen und Mitarbeitende mit einer interaktiven Simulation sensibilisieren. Die zeigt eindrucksvoll, wie verhängnisvoll ein falscher Klick sein kann.

Von Nico Damm, 13.07.2022

Die E-Mail klingt alarmierend: „In dein Profil sind persönliche und sensible Informationen eingetragen worden, die auch dein Unternehmen betreffen“, heißt es da – nebst der Aufforderung, die Daten im Sozialen Netzwerk LinkedIn zu prüfen. Der beunruhigte User gelangt per Klick auf den mitgeschickten Link auf eine unverschlüsselte Website. Wer jetzt die Warnung des Browsers ignoriert, landet auf einer sehr professionell gemachten Seite mit einem Lade-Screen. Ist der Balken bei 100 Prozent angekommen, ist es zu spät: Alle Dateien auf dem Computer sind verschlüsselt und sogleich meldet sich per Popup-Fenster ein anonymer Erpresser, der anbietet, sie für ein üppiges Lösegeld wieder freizugeben.

Porträt-Foto von Patrick Renkel und Ugurcan Albayrak
Patrick Renkel (links) und Ugurcan Albayrak haben im Team von Prof. Dr. Andreas Heinemann an ELITE gearbeitet. Foto: Jens Steingässer

Hacker-Angriffe erlebbar gemacht

Glücklicherweise ist dieser User-Alptraum nur eine Übung: IT-Fachleute der h_da haben im Rahmen des Projekts „ELITE“ eine interaktive Simulation gebaut, der realistische Angriffe für Nutzerinnen und Nutzer erlebbar macht. ELITE steht für „ErLebbare IT-SichErheit durch mobile IT-Sec.PopUp-Labs“. Der Name ist Programm: Im November ist der „Demonstrator“ in Form von vier speziell präparierten PC-Arbeitsplätzen auf eine Roadshow durch ganz Deutschland zu erleben. In dem Gemeinschaftsprojekt arbeitet die h_da mit den Fraunhofer-Instituten IAO und FOKUS und der Universität Hamburg. Das Projekt wird im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft” vom Bundesministerium für Wirtschaft und Klimaschutz gefördert. Der Fokus der beteiligten Hochschulen liegt auf der Entwicklung der Anwendung und passendem Lernmaterial, für Fraunhofer mehr auf dem physischen Stand.

„Unsere Zielgruppe sind vor allem kleine und mittlere Unternehmen“, sagt Prof. Dr. Andreas Heinemann, der das Teilvorhaben an der h_da leitet. „Auf sie geht ein großer Teil unserer Wirtschaftsleistung zurück. Aber bisher tat man sich schwer, den Unternehmen zu vermitteln, dass sie in IT-Sicherheit investieren müssen.“ Heinemann denkt hier etwa an den kleinen Gartenbau- oder Handwerksbetrieb ohne eigene IT-Abteilung. Die will das Projektteam auch über Events erreichen, etwa in Zusammenarbeit mit den Industrie- und Handelskammern. Außerdem soll der Demonstrator auf Anfrage direkt zu interessierten Unternehmen kommen. Dabei betreten die Projektbeteiligten Neuland – deutschlandweit gibt es bisher keine interaktiven Simulationen für den Mittelstand, die eine so große Bandbreite von Attacken abdecken.

Ein Mann schaut auf einen Computerbildschirm, der einen roten Desktop-Hintergrund mit einer Erpressungs-Nachricht zeigt.
So sieht es aus, wenn man bei der interaktiven Ransomware-Simulation in die Falle der Hacker tappt. Die Verschlüsselung aller Dateien passiert binnen Sekunden. Foto: Jens Steingässer

Die Feuertaufe hat das im April 2021 gestartete Projekt bereits bestanden: Im Mai präsentierten die Projektpartner einen funktionsfähigen Prototypen auf der Hannover Messe. Wer den Stand besuchte, den erwarteten nicht nur vier schnöde Computer. Interessierte erlebten eine schick ausgeleuchtete, hippe Büro-Umgebung mit voll ausgestatteten Arbeitsplätzen. Ein Serverschrank mit allerlei blinkenden Lichtern vervollständigte die Atmosphäre. Das Ziel: Die Menschen vor den Rechnern sollen die IT-Attacken als so realistisch wie irgend möglich wahrnehmen – und motiviert werden, zumindest ein Minimum an Schutzmaßnahmen wie die Verwendung von sicheren Passwörtern oder Schadsoftware-Blocker im Browser zu verwenden. Immersives Erleben statt alarmierende Vorträge lautet die Devise.

Simulation profitiert von h_da-Know-How

Für den didaktischen Part zeichnet Patrick Renkel verantwortlich. Renkel arbeitet nach seinem Master in „Leadership in the Creative Industries“ am Mediencampus der h_da in Dieburg als wissenschaftlicher Mitarbeiter für das Projekt. „Auf der Hannover Messe haben wir viel positives Feedback, aber auch Verbesserungsvorschläge bekommen. Einen Teil davon setzen wir jetzt um“, sagt Renkel. Dabei hilft ihm der Informatik-Student Ugurcan Albayrak, der für seine Master-Arbeit die die Architektur und das Design der Plattform entwickelt hat. Bisher können Nutzerinnen und Nutzer zwischen vier Ransomware- beziehungsweise Phishing-Attacken wählen: Mal lauert die Gefahr in einem E-Mail-Anhang, mal hinter einem Link. Die Umgebung wirkt dabei ganz natürlich – zu sehen ist ein ganz normales Windows-System. Auf dem Desktop liegen diverse Excel- oder Power-Point-Dateien und es landen Mails von fiktiven Arbeitskolleginnen und Arbeitskollegen im Postfach. Userinnen und User sitzen an Maus und Tastatur und brauchen nichts weiter zu tun, als in die Falle zu tappen.

Ein Mitarbeiter des Projekt-Teams steht auf dem ELITE Stand auf der Hannover Messe.
Dramatische Beleuchtung und blinkende Server-Schränke sorgten auf der Hannover Messe für das immersive Eintauchen in die Welt der IT-Sicherheit.
Der Stand auf der Hannover Messe mit Schreibtischen und PC-Arbeitsplätzen.
h_da-Student Albayrak beim Einrichten eines PC-Arbeitsplatzes für das Projekt ELITE auf der Hannover Messe 2022.
Ein PC-Arbeitsplatz von ELITE auf der Hannover Messe.
Damit die interaktiven Simulationen so echt wie möglich wirken, nutzt das Projekt-Team einen realitätsnahen Arbeitsplatz und ein Windows-System. Alle Fotos: privat

Zur Erholung nach der simulierten IT-Attacke bietet ELITE bisher eine Einführung in das Einmaleins der IT-Sicherheit aus Nutzer-Sicht: Die Lernenden lernen interaktiv, wie man ein sicheres Passwort erstellt und wie sie die sogenannte 2-Faktor-Authentifizierung nutzen, wie viele Menschen sie bereits aus dem Online-Banking kennen. Hier wird der Faktor Wissen – das Passwort – durch den Faktor Besitz – zum Beispiel ein Smartphone, das einen Bestätigungscode empfängt – ergänzt.

"Wir werben für einen Basis-Schutz"

„Es geht uns nicht um perfekte Sicherheit. Wir werben für einen Basis-Schutz und eine gesteigerte Aufmerksamkeit für das Thema“, sagt Heinemann. Attacken mit einem spezifischen Ziel seien viel schwerer abzuwehren, aber auch viel seltener als die üblichen Angriffe. Meistens gehe es schlicht darum, Geld zu verdienen: „Hacker finden eine Sicherheitslücke und verkaufen sie dann für zum Teil fünfstellige Beträge an Menschen, die diese ausnutzen wollen.“ Eintrittstor ist dabei meist der Mensch. Er klickt etwa auf dubiose Links, öffnet unbedarft E-Mail-Anhänge oder lässt sich auf gefälschte, aber täuschend echte Webseiten locken, wo er seine Login-Daten preisgibt. Manchmal werden auch Adressbücher und Mails gestohlen - dann kommt die Phishing-Mail womöglich gar von einem Kollegen, der vermeintlich auf einen existierenden Mail-Verkehr antwortet. Haben die Angreifenden dann einmal den Fuß in der Tür, können sie sich Stück für Stück im System vorantasten und Daten abgreifen oder das gesamte Firmennetz zwecks Lösegeld-Erpressung lahmlegen. Welchen Schaden das anrichten kann, hat der jüngste Angriff auf den Darmstädter Energieversorger Entega gezeigt. 144 Millionen neue Schadprogramm-Varianten zählte 2021 das Bundesamt für Sicherheit in der Informationstechnik (BSI) – eine Zunahme von 22 Prozent gegenüber dem Vorjahr. Durch Zeitdruck sowie Unsicherheit und Überforderung im Umgang mit der Pandemie sei der Mensch weiterhin Einfallstor für Angriffe.

Dennoch: „Nutzer sind nicht der Feind – sie sind die erste Verteidigungslinie“, sagt Heinemann. Unternehmen sollten deshalb angeregt werden, gute, aber auch praktikable Sicherheitsmechanismen einzuführen. „Das ist wie bei den Geldautomaten. Dort haben früher die Leute reihenweise das Geld genommen und die Karte stecken lassen – bis sie irgendwann gezwungen wurden, erst die Karte zu nehmen und dann erst das Geld bekommen haben.“

Zwang gibt es bei ELITE keinen, nur ein niedrigschwelliges Angebot, die Cybersicherheitsrisiken und Gefahren spielerisch und interaktiv für die User erlebbar zu machen – in der Hoffnung, dass bei den Teilnehmenden die Alarmglocken schrillen, wenn die nächste verdächtige Mail ins Postfach flattert. 

Weitere Informationen

Mehr über ELITE auf der Website des Projekts

Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Website der  Arbeitsgruppe "UCS – User-Centered Security”