Cybersicherheit: „Wenn die Story gut ist, klickt man eben doch auf den Link“
IT-Sicherheit kann auch unterhaltsam sein. Etwa, wenn Sebastian Schreiber vorführt, wie er auf das Smartphone von beliebigen Hermes Mitarbeitenden die Nachricht versenden kann: „Bitte Mama zurückrufen“ – so wie er es auf einem Workshop im Unternehmen demonstrierte. Hinter dem Showeffekt verbirgt sich ein ernstes Anliegen: Schreiber will zeigen, wie angreifbar technische Systeme sind, insbesondere die IT. Laut einer Studie, die der IT-Branchenverband Bitkom im August 2024 herausgab, waren in den zwölf davorliegenden Monaten digital Geschäftsdaten von 74 Prozent aller deutschen Unternehmen ausgespäht worden. Zunehmend ist davon auch die Logistik- und Transportbranche betroffen. So tauchen Unternehmen der Branche bereits bei den zehn meistgefährdeten Marken im Brand Protection Report 2024 auf. Ein Einfallstor für die Hacker ist das „Phishing“, bei dem versucht wird, per E-Mail an sensible Daten zu gelangen.
Herr Schreiber, ist IT-Sicherheit für die Logistikbranche ein wachsendes Problem?
Sebastian Schreiber: Absolut. Und das an allen Punkten der Wertschöpfungskette. Ein typischer Fall ist, dass man eine E-Mail bekommt, die angeblich von einem Logistikdienstleister wie Hermes stammt. Darin steht, dass man ein Paket zustellen wollte, aber niemanden angetroffen habe. Wenn man gerade im Urlaub ist, gibt man dann schnell vertrauliche Informationen preis – schlimmstenfalls Log-in-Daten und Passwörter. Damit können Hacker einiges anstellen. Sie können etwa in meinem Namen Waren bestellen. Oder sie leiten eine reale Lieferung um. Oder – und das ist ein Fall, den ich aus der Praxis kenne – sie wissen durch die erbeuteten Informationen, dass man eine teure Lieferung erwartet, und postieren sich dann vor dem Hauseingang, um diese abzufangen.
Gefahren drohen über die gesamte Lieferkette hinweg
Drohen auch auf dem Lieferweg Gefahren?
Sebastian Schreiber: Da ist vieles denkbar. Stellen Sie sich beispielsweise vor, dass die Täter durch die erlangten sensiblen Unternehmensdaten erfahren, dass der Inhalt von einem bestimmten Lkw besonders wertvoll ist. Dann können sie ihm folgen und während einer Ruhepause leerräumen. Solche Fälle gibt es tatsächlich. Mein Unternehmen hatte sogar mal mit einem Fall zu tun, in dem Container, in denen sich ganz normale Waren befanden, auf dem Weg nach Rotterdam mit Drogen befüllt wurden. Danach haben die Schmuggler die Abholcodes der Container gehackt und konnten die Container dann im Hafen ganz einfach abholen.
Und welche Gefahren drohen im Arbeitsalltag der Logistikunternehmen?
Sebastian Schreiber: Ein Einfallstor bei allen Unternehmen unabhängig von der Branche sind etwa die APIs, also die Schnittstellen verschiedener IT-Systeme. Zudem gibt es die Möglichkeit, gefakte E-Mails zu schreiben, und eine Person dazu zu bringen, sich zu identifizieren, schlimmstenfalls sogar mit zwei Sicherheits-Faktoren.
Ihr Unternehmen will solche Vorfälle verhindern. Wie tun Sie das?
Sebastian Schreiber: Indem wir Unternehmen hacken. Dann senden wir ihnen einen Bericht zu, in dem wir erklären, wo die Schwachstellen liegen und wie sie diese beheben können. Viele Firmen sind gegenüber den eigenen Schwachstellen blind, weil es an Expertise und an Neutralität fehlt.
Neugier lässt Mitarbeitende ihre Vorsicht vergessen
Und Sie geben Workshops, wie jüngst für Hermes Germany. Was ist deren Ziel?
Sebastian Schreiber: Wir wollen zeigen, wie Hacker denken. Alle, die mit IT und Geschäftsprozessen arbeiten, müssen wissen, wie Angriffe aussehen können. Sonst kann man keinen wirksamen Schutz aufbauen. Das machen wir anhand von praktischen Beispielen. Etwa, indem ich demonstriere, wie man mit einem gefälschten Ladekabel ein Smartphone hacken kann. Dass schon ein Ladekabel sicherheitsrelevant sein könnte, bedenkt fast niemand.
Aber die meisten Gefahren sind doch bekannt? Weiß nicht etwa jede*r, dass man nicht auf Links in E-Mails von unbekannten Absendern klicken sollte?
Sebastian Schreiber: Wenn Sie Kolleg*innen fragen, ob sie auf einen Link unbekannter Herkunft klicken sollten, sagen fast alle: „Natürlich nicht! Das weiß doch jede*r!“ Aber stellen Sie sich vor, Sie schalten freitags eine Stellenanzeige, weil Sie eine*n neue*n Kolleg*in suchen. Am Montag kommen Sie schon aufgeregt ins Büro, weil Sie wissen wollen, ob sich jemand beworben hat, und dann finden Sie eine E-Mail im Posteingang mit dem Betreff „Bewerbung für Stelle als Sachbearbeiter“ von Herrn Müller. Wenn die Story passt, vergessen Sie die Vorsicht. Dann sind Sie im Neugiermodus. Und schon klicken Sie auf den Link.
Also bauen Sie Misstrauen auf?
Sebastian Schreiber: Das ist ein Balanceakt. Mitarbeitende brauchen eine gesunde Skepsis. Aber es darf natürlich auch keine Paranoia herrschen, sonst kann man ja gar nicht mehr arbeiten.
Gamification vermittelt Wissen besonders effizient
Und wie schult man die Mitarbeitende richtig?
Sebastian Schreiber: Ideal wäre eine individuelle Schulung. Wenn man weiß, wie viel Schulungen die*der Mitarbeiter*in schon durchlaufen hat, und dass man das anpasst an Vorkenntnisse, Bildung, Tätigkeitsbereiche und Ähnliches. Aber das ist natürlich schwer leistbar. Ein Beispiel sind natürlich unsere Workshops, weil wir die Leute mit praktischen Beispielen in den Bann ziehen und sie Spaß haben. Ähnlich funktioniert Gamification. Also alles, bei dem man einen Preis gewinnen kann oder eine Aufgabe im Team lösen muss. Der Spieltrieb ist einer der menschlichen Triebe, der sehr wenig ausgenutzt wird. Mich überrascht selbst immer wieder, wie man Menschen damit packen kann. Selbst die unmotiviertesten Mitarbeitenden wachen regelrecht auf.
Gibt es auch auf technischer Seite etwas, was Unternehmen tun können?
Sebastian Schreiber: Ein großer Irrglaube ist, dass die Unternehmen durch den Kauf von immer mehr Sicherheitssoftware sicherer werden. 2024 gab es etwa den Crowdstrike-Vorfall. Da hatten Unternehmen irre teure Software gekauft hat, um nicht lahmgelegt zu werden. Und dann wurden weltweit Unternehmen durch einen Fehler in genau dieser Software lahmgelegt. Wenn man bereits eine sehr komplexe und weitverzweigte Infrastruktur mit einer Vielzahl an Software und Schnittstellen hat, und dann noch Software draufsetzt, verschärft man das Problem eher auf Dauer, denn Komplexität erzeugt Schwachstellen. Besser ist es, die vorhandenen Systeme auszubauen, sie zu stärken. Aber als Sicherheitsbeauftragter möchte man natürlich gern dem Chef sagen: „Ich habe was Neues, Tolles gekauft.“ Das klingt natürlich besser als: „Ich habe unsere vorhandenen Strukturen etwas verbessert.“
Vielen Dank für das Gespräch!
Achtung, Phishing!
Typische Anzeichen für Phishing-E-Mails:
- Es wird behauptet, etwas Unangenehmes sei passiert.
- Es wird eine Lösung versprochen.
- Es wird Zeitdruck aufgebaut.
- Es werden sensible Daten abgefragt.
- Es wird das Klicken eines Links oder das Öffnen einer Datei verlangt.
- Es wird eine unpersönliche Ansprache verwendet.
Achtung: Phishing-E-Mails sehen durch den Einsatz von künstlicher Intelligenz zunehmend vertrauenswürdig aus. Mehr dazu, wie sich Kund*innen vor Angriffen schützen können, erfahren Sie hier: https://www.myhermes.de/sicherheit/