Angestellte aufgepasst, Finger weg von Dr. Zaius! Mag die türkische Angorakatze mit dem violetten Irokesenschnitt in Ihrer E-Mail auch noch so süß aussehen. Und mag das Versprechen auf weitere Kätzchen-Fotos im Link oder Anhang der Mail auch noch so verführerisch sein. Nicht anklicken! Und einfach ignorieren, wenn Sie aufgefordert werden, sich doch bitte "diese Miezekätzchen genauer anzuschauen! :-)".

Wer dennoch nicht widerstehen kann, muss sich auf eine böse Überraschung gefasst machen. Statt sich an den niedlichen Tieren erfreuen zu können, blüht dem Neugierigen eine strenge Verwarnung aus der Technologie-Abteilung.

Beutezug

Fast zwei Millionen Mal hat sich Dr. Zaius nun schon auf Beutezug begeben, um Büroarbeiter ihrer menschlichen Schwächen zu überführen. Das Kätzchen wirkt nämlich als fieser Erfüllungsgehilfe bei einem simulierten Internetangriff mit. Dr. Zaius ist einer von vielen Ködern, die Unternehmen bei ihren Angestellten auslegen. Ziel ist es, die eigenen Mitarbeiter zu Computerpraktiken zu verleiten, die die Sicherheit der Firma gefährden können. Mit Hilfe des Katzentricks und der anschließenden Verwarnung soll ihnen beigebracht werden, sich im Cyberspace nicht so leicht übers Ohr hauen zu lassen.

In vielen Fällen müssen Hacker gar nicht auf ausgeklügelte Angriffsprogramme zurückgreifen, um ein firmeninternes Netzwerk in großem Stil zu infiltrieren. Als Einfallstor dienen ihnen vielmehr die eigenen Mitarbeiter des Unternehmens. Das Einbruchswerkzeug der Hacker ist die Täuschung und die Manipulation der Angestellten - das so genannte Social Engineering, mit dem die Angreifer den Firmeninsidern sensible Informationen entlocken. Immer mehr Firmen verlegen sich deshalb auf die Taktik, ihre Mitarbeiter lieber selbst auf die schiefe Bahn zu führen, bevor die Bösewichte zuschlagen können.

Um das Sicherheitsbewusstsein ihrer Belegschaft im Umgang mit dem Computer zu sensibilisieren, heuern Unternehmen auch die Dienste professioneller Trickbetrüger an. "Hab ich dich erwischt!" - das sei das Motto, auf dem der Service seines zehnköpfigen Teams beruhe, sagt Tom DeSot von Digital Defense in San Antonio. Die Computerspezialisten, die in der Branche als "ethische Hacker" bezeichnet werden, denken sich Angriffe aus, die direkt auf menschliche Schwächen der Belegschaft abzielen. Dabei seien sie keinesfalls darauf aus, dass ein Mitarbeiter in Schwierigkeiten gerät oder gar seine Stelle verliert. Vielmehr wolle seine Mannschaft allen Firmenangehörigen die Techniken vertraut machen, derer sich auch heimtückische Computereindringlinge bedienen.

USB-Sticks mit vermeintlich vertraulichen Daten

Im Jahr 2005 hatte die Verwaltung des Bundesstaats New York ein solches PC-Täuschungsmanöver zu pädagogischen Zwecken initiiert. Zweimal erhielten 10.000 Staatsbedienstete und Subunternehmer eine trügerische "Phishing"-Mail. Die Botschaft enthielt einen Link zu einer Website, auf der die Adressaten Passwörter preisgeben sollten. Beim ersten Mal fielen 15 Prozent der Angeschriebenen auf den Köder herein. Aber beim zweiten Mal ließen sich nur noch acht Prozent dazu hinreißen, ihre Zugangsdaten offen zu legen, berichtet Will Pelgrin. Er überwachte damals den Test als leitender Beauftragter für die Informationssicherheit des Bundestaates und arbeitet mittlerweile als Chef des Zentrums für Internetsicherheit.

Das Kätzchen Dr. Zaius als Lockvogel zu nutzen, war die Idee von Phish Me. Die amerikanische Firma brütet diese und andere vorgetäuschte Phishing-Attacken aus, mit denen Unternehmen ihre Angestellten einer Prüfung unterziehen können. Bisher hätten ihre Kunden die Pseudo-Angriffe aus ihrem Werkzeugkoffer dazu genutzt, um 3,8 Millionen Mitarbeitern eine Lektion zu erteilen, heißt es bei der Firma.

Noch direkter geht Ryan Jones vom Internetsicherheitsdienst Trustwave Holdings aus Chicago vor. Er verteile gern USB-Sticks und CDs auf den Firmentoiletten, entlang der Gebäudezufahrten oder in nahe gelegenen Cafés, erzählt Jones, der eine Gruppe von sechs ethischen Hackern leitet. Oft versehe er die geschickt platzierten "Fundstücke" mit dem Logo der Firma, die ihn angeheuert habe. Oder mit dem Logo eines Wettbewerbers oder einem Etikett, auf dem "vertraulich" steht.

Die meisten Leute stürzen sich auf die Köder

Das funktioniere fast immer. In den allermeisten Fällen stürzten sich die Mitarbeiter auf die Köder und steckten sie in den Computer. "Sie sind einfach neugierig", erklärt er. "Aus demselben Grund schauen die Leute ja auch Reality-TV. Sie wollen wissen, was sonst noch so im Leben der anderen passiert."

Diese arglose Wissbegier kann die Firmen im Ernstfall teuer zu stehen kommen. Um dies zu demonstrieren, stattet Jones seine Hilfswerkzeuge mit Software aus, die die Computer der Finder kapern und sich der eingebauten Kameras bemächtigen, um die betreffenden Mitarbeiter abzulichten.

Mehr zu echten Hackerangriffen

Für die USA sind Cyberangriffe so gefährlich wie Terrorismus China beklagt Hacker-Attacken aus USA Hacker auch in Europa auf dem Vormarsch

Sicherheitslücken eines Unternehmens deckt er allerdings auch höchstpersönlich auf. Sein Einbruchsarsenal umfasst einen ganzen Schrank voller Verkleidungen. Damit verwandelt er sich zum Beispiel in einen Paketzusteller oder einen Feuerwehrmann und verschafft sich seinen Weg in die Büros, um von dort aus in hochsensible Systeme einzudringen. Selbst auf Krücken ist Jones schon erschienen, um mitfühlende Zeitgenossen dazu zu verleiten, ihm verschlossene Türen zu öffnen.

Ist er erst einmal drinnen, arbeitet er sich zu den Datenzentren, Warenlagern und selbst bis in die Vorstandsetagen vor. In klassischer Einbrechermanier setzt er zudem Helfer ein. Der Gehilfe legt dann zum Beispiel in der Eingangshalle eine lärmende Szene aufs Parkett, während Jones sich einem von dem Tumult abgelenkten Mitarbeiter anschließt, der gerade eine Zugangstür aufschließt. Dann könne er sich in aller Ruhe auf die Suche nach den Konferenzräumen machen und sie mit Mikrofonen und Kameras verwanzen.

Trickbetrüger und Zauberkünstler als Vorbild

Seine Vorbilder seien Trickbetrüger, Zauberkünstler und andere Hochstapler, sagt Jones. "Du musst nur die Leute genau beobachten", verrät er. Das helfe, "wenn man den Anschein erwecken will, dass man dazu gehört - so wie man sich ausdrückt, anzieht und verhält."

Die Zunft der ethischen Hacker konzentriert sich auf die virtuellen Todsünden des Bürolebens und macht sie sich zu Nutze. Neid und Neugier, zum Beispiel, sind die kapitalen Verfehlungen, auf die Phish Me-Mitbegründer Aaron Higbee in diesem Jahr eine seiner wirksamsten E-Mail-Lockkampagnen ausgerichtet hat. Zunächst schickt er eine fiktive E-Mail auf die Reise, die angeblich ein Vorgesetzter versendet hat. Im Anhang ist die Rede von möglichen Bonuszahlungen für eine Reihe von Mitarbeitern. Dieser Mitteilung folgt eine zweite, mit der die erste Mail "zurückgerufen" werden soll.

Rückruf-Mails "wecken die Neugierde", sagt Higbee, der pro Woche zwei neue E-Mail-Fallen für seine Unternehmenskunden ausheckt. Wer sich jetzt nicht zurückhalten kann und den Anhang öffnet oder den Link in der Mail anklickt, der setzt die Software von Phish Me in Gang. Sinn dieser und anderer Täuschungsübungen sei es, den Mitarbeitern einzubläuen, wie mit derlei verdächtigen Botschaften verantwortungsvoll umzugehen ist. Richtig wäre es gewesen, bei dem Absender oder der IT-Abteilung nachzufragen, was es mit der E-Mail auf sich hat.

Katze Dr. Zaius ist Chefaufklärer

Als Chefaufklärer in Sachen Charakterschwäche von E-Mail-Nutzern hat sich Dr. Zaius erwiesen. Higbees real existierende Hauskatze trägt diesen Namen auch im wirklichen Leben. Benannt wurde sie nach einem der Hauptdarsteller in dem Science-Fiction-Klassiker "Planet der Affen". "Wir empfehlen unseren Kunden immer, die E-Mails mit süßen Katzen zu beginnen", sagt Higbee. Sein Trick mit Dr. Zaius habe bei 48 Prozent der Adressaten gezündet.

Auch die Technologiefirma Cedar Stone zieht die Dienste von ethischen Hackern heran, um das Sicherheitsbewusstsein ihrer Mitarbeiter zu schärfen. Die Hacker von MAD Security nehmen die Belegschaft von Cedar Stone einmal im Quartal aufs Korn. Und sie machen dabei auch vor der Führungsspitze nicht Halt. Im vergangenen Sommer knöpfte sich das Hackerteam den Finanzvorstand Brian Fees vor. Sie legten einen Fallstrick aus, in dem Fees sich unweigerlich verfangen musste: Er erhielt eine dringende E-Mail von seinem Chef.

"Wir haben ihre Website abgesucht und einen ihrer Hauptkunden identifiziert. Dann haben wir eine fiktive E-Mail-Korrespondenz erstellt", legt Michael Murray Manager bei MAD, die Strategie der Hacker dar. Es klappte wie am Schnürchen. Fees öffnete die trügerische Mail und klickte auf den beigefügten Link - und landete umgehend auf einer Scheinwebsite. "Schon beim Anklicken wusste ich, dass ich das besser unterlassen hätte", sagt Fees. Er nahm sofort sein Laptop vom Netz, rief bei seinem Sicherheitsteam an und erfuhr kurz darauf, dass er sich hatte täuschen lassen.

Es sei ihm jetzt bewusst, wie "viel anfälliger er dafür ist", einer Attacke anheim zu fallen, wenn sie scheinbar von jemandem kommt, mit dem er am häufigsten zusammenarbeitet, sagt Fees.

Hohe Berufsrisiken für ethische Hacker

Die Berufsrisiken für ethische Hacker sind hoch. Wer sich höchstpersönlich Zutritt zu den Büros der Kunden verschafft und es vermasselt, wird ein unliebsames Zusammentreffen mit den Wachleuten der Firma kaum vermeiden können. Die meisten Ermittler firmeninterner Sicherheitslücken tragen denn auch einen "Persilschein" der Kunden mit sich, um sich auf ihren Erkundungstouren vor dem Sicherheitspersonal rechtfertigen zu können.

Hackerattacken können aber auch außer Kontrolle geraten, selbst wenn sie in bester Absicht auf den Weg gebracht wurden. Im Jahr 2010 hatte zum Beispiel die US-Luftwaffe Bedienstete am Stützpunkt Andersen in Guam mit einem unwiderstehlichen Angebot in Versuchung geführt. Ihnen wurde vorgegaukelt, an Dreharbeiten für den Film "Transformers 3" in der Nähe der Luftwaffenbasis mitwirken zu können. Um zum Kinostar zu mutieren, mussten die Armeeangehörigen nur eine bestimmte Website aufsuchen und dort sensible Informationen abliefern.

Der trickreiche Plan wirkte so überzeugend, dass einige Soldaten die Nachricht über den Stützpunkt hinaus verbreiteten und die Offerte an Websites der "Transformer"-Fangemeinde weiterleiteten. Dann berichteten Medien über das angebliche Sensationsangebot - und die Offiziere des Stützpunkts sahen sich gezwungen, einzugreifen und den Gerüchten ein Ende zu bereiten. In einer Erklärung gaben sie ihrer Hoffnung Ausdruck, dass dieser Vorgang verdeutlichen möge, dass "angesichts der realen Phishing-Gefahr jeder Nutzer vorsichtig vorgehen muss".

Sicherheitsexperten streiten sich denn auch darüber, wie wirkungsvoll derartige Anstrengungen wirklich sind. Das Sicherheitsbewusstsein zu erhöhen, sei reine Geldverschwendung, hatte vor kurzem Bruce Schneier postuliert. Der Chef für Sicherheitstechnologie beim britischen Telekombetreiber BT Group hatte mit seinem Blog-Eintrag eine hitzige Debatte über dieses Thema angefacht. "Wir sollten Systeme entwerfen, die es den Nutzern nicht erlauben, lausige Passwörter auszuwählen, und die sich nicht darum scheren, welchen Link ein Nutzer anklickt", schrieb er.

Trotzdem wird so mancher Mitarbeiter die Lektion nicht mehr vergessen, die ihm die ethischen Hacker erteilt haben.

Im vergangenen Jahr hatten sich die Sicherheitsdetektive von Digital Defense die US-Firma People First Credit Union vorgenommen. Sie überzogen die Belegschaft mit Phishing-Mails und verschafften sich auch physisch Zutritt zu den Büros. Seitdem beäugten die Angestellten jeden äußerst skeptisch, der von außen in die Firma komme, berichtet Vice President Susan Phillips. "Erst neulich haben sie einen Pizzaboten gestellt", sagt sie. "Da haben sie vielleicht ein bisschen überreagiert. Aber ich werde mich hüten, zu sagen, dass das schlecht ist." (GEOFFREY A. FOWLER , Wall Street Journal, 31.3. 2013)