Jede elfte E-Mail ist eine Phishing-Mail. Und trotzdem klicken tagtäglich Tausende auf gefährliche Links. Warum? Weil Angriffe oft einfacher sind, als man denkt – und weil viele glauben, sie seien kein lohnendes Ziel.
Doch IT-Sicherheit betrifft uns alle. Um das greifbar zu machen, erzählen wir heute einen Tag – aus der Sicht eines Hackers.
„Ich bin kein Magier – ich nutze nur Schwächen.“
06:45 Uhr – Ich starte den Laptop, öffne meinen Passwort-Manager und beginne mit der Routine: Neue Phishing-Kampagne. Heute geht’s gegen ein kleines Architekturbüro. 12 Mitarbeiter. Keine IT-Abteilung. Perfekt.
Ich schreibe eine E-Mail, angeblich von einem Softwareanbieter, den sie tatsächlich nutzen – das wusste ich dank eines Posts bei LinkedIn. Betreff: „Dringendes Sicherheitsupdate Ihrer CAD-Software.“
Ein PDF mit Makro drin. Oder besser noch: ein Link zu einer gefälschten Login-Seite. Beides funktioniert.
10:10 Uhr – Zwei Leute haben geklickt. Einer davon hat seine Zugangsdaten eingegeben.
Ich logge mich ein. Kein 2FA? Wunderbar. VPN-Zugang? Offen. Ich bin drin.
11:30 Uhr – Im Netzwerk. Keine Netzwerksegmentierung. Ich finde schnell die Freigaben: Pläne, Verträge, Rechnungen.
Einige davon sind interessant. Andere könnten heikel sein. Ich zippe, verschlüssele, übertrage. Leise.
13:00 Uhr – Pause. Für mich, nicht für das Skript, das ich laufen lasse: Es scannt weiter nach ungesicherten Remote-Zugängen. Vielleicht finde ich noch was.
15:45 Uhr – Ich hinterlasse eine Ransomware-Nachricht. Kein echter Angriff heute – nur ein Hinweis, dass es hätte schlimm werden können. Vielleicht wacht ja jemand auf. Vielleicht.
Was lief hier schief?
Der fiktive Hacker musste keine Firewalls knacken oder mit USB-Sticks jonglieren. Er nutzte nur eines: menschliche und organisatorische Schwächen. Im Detail:
- Social Engineering: Der Angreifer wusste, welche Software genutzt wird – durch öffentlich zugängliche Informationen (z. B. Social Media, Firmenwebsite).
- Phishing: Eine professionell wirkende E-Mail reichte, um an Zugangsdaten zu kommen.
- Fehlende Zwei-Faktor-Authentifizierung (2FA): Der Zugang war nicht zusätzlich abgesichert.
- Unzureichende Netzwerksicherheit: Keine Segmentierung, kein Monitoring, unverschlüsselte Datenfreigaben.
- Fehlende Awareness: Offenbar wurde die Phishing-Mail nicht erkannt.
Wie man sich schützen kann – 5 einfache, wirksame Maßnahmen
- Verwendung starker Passwörter & Passwortmanager:
Niemals das gleiche Passwort mehrfach verwenden. Ein Passwortmanager hilft, sichere Passwörter zu erstellen und zu verwalten. - Zwei-Faktor-Authentifizierung (2FA):
Selbst wenn ein Passwort gestohlen wird – ohne den zweiten Faktor bleibt der Zugang blockiert. - Mitarbeiter sensibilisieren:
Schulungen zu Phishing, Social Engineering und sicherem Verhalten sind unerlässlich – und oft der beste Schutz. - Regelmäßige Updates & Patches:
Betriebssysteme, Software, Router – alles muss aktuell gehalten werden, um bekannte Sicherheitslücken zu schließen. - Sicherheitsstrategie & Backups:
Eine durchdachte IT-Sicherheitsstrategie inkl. regelmäßiger Backups und Notfallpläne kann im Ernstfall den Schaden begrenzen oder verhindern.
IT-Sicherheit beginnt im Kopf
Viele denken bei Hackern an schwarze Kapuzenpullis, Matrix-Zahlenregen und Hollywood. Die Realität ist viel banaler – und gerade deshalb so gefährlich.
Die gute Nachricht: Man kann sich schützen. Mit Aufmerksamkeit, Grundregeln und der Bereitschaft, Sicherheit als Teil des Alltags zu begreifen.