Angriff auf die Chefetage

Gezielte Cyberangriffe auf Führungskräfte stellen für Unternehmen ein wachsendes Risiko dar. Die Methoden der Cyberkriminellen reichen von KI-gestützten Phishing-Kampagnen und Deepfakes bis hin zum Datenhandel im Darknet.

Präventive Maßnahmen, wie die Cyber Threat Intelligence, können Bedrohungen frühzeitig aufdecken und im Ernstfall einen entscheidenden Zeitvorsprung verschaffen – und damit die Handlungsfähigkeit eines Unternehmens sichern.

Ein lauer Sommerabend, Grillen im Garten, ein Glas Wein mit der Familie – der Moment könnte kaum friedlicher sein. Was der Geschäftsführer eines mittelständischen Produktionsbetriebs zu diesem Zeitpunkt nicht ahnt: Im Darknet wird gerade sein Name gehandelt – gemeinsam mit seiner privaten E-Mail-Adresse, mehreren durch Infostealer kompromittierten Passwörtern und Telefonnummern von Familienmitgliedern. Nur wenige Stunden später ist das Unternehmensnetzwerk infiltriert. Die Folgen: Produktionsausfall, Erpressung, Reputationsverlust. Und die Erkenntnis, dass präventive Cyber Security nicht nur ein IT-Thema ist, sondern in der Verantwortung der Geschäftsführung liegt.

C-Level-Zugänge im Fadenkreuz

Cyberkriminelle handeln nach wirtschaftlichen Prinzipien: maximaler Gewinn bei minimalem Aufwand. Für sie zählen CEOs – insbesondere in kleinen und mittleren Unternehmen, wo Entscheidungsbefugnisse oft in einer Hand liegen – zu den lukrativsten Zielen. Angreifer bedienen sich oft Informationen aus dem Darknet, wo persönliche Daten, Zugangscodes oder Bewegungsprofile von Data Brokern offen gehandelt werden. Besonders begehrt sind sogenannte Combo Lists – Sammlungen gestohlener Zugangsdaten, die als Grundlage für automatisierte Angriffe auf E-Mail-Konten, Bankzugänge und Unternehmenssysteme dienen. Die fortschreitende Entwicklung künstlicher Intelligenz verstärkt diese Gefahr: KI-gestütztes Social Engineering, synthetischer Identitätsdiebstahl und täuschend echte Deepfakes erschweren es Betroffenen zunehmend, Manipulation von Realität zu unterscheiden. Das Risiko für Cyberangriffe belegen auch Zahlen: Laut der Analyse der Wirtschaftsprüfungsgesellschaft PwC wurden in den vergangenen drei Jahren 89 Prozent deutscher Unternehmen Opfer von Datendiebstahl oder -missbrauch.

Besonders im Homeoffice oder auf Reisen steigt die Gefahr: Im privaten Umfeld vergrößert sich die Angriffsfläche durch vernetzte IoT-Geräte wie Saugroboter oder andere Smart-Geräte, die oft nicht ausreichend gesichert sind. Auf Urlaubsreisen nutzen Mitarbeitende zudem häufiger ungeschützte öffentliche Netzwerke, um online zu gehen. Hinzu kommt: Nach der Rückkehr wartet meist eine Flut an E-Mails, die unter Zeitdruck schnell abgearbeitet wird – ein Moment, in dem Phishing-Mails besonders leicht übersehen und geöffnet werden.

Cyber Threat Intelligence: wirksam, aber oft unterschätzt

Auch wenn solche Täuschungen zunehmend raffinierter werden, gibt es wirksame Möglichkeiten, ihnen zuvorzukommen – etwa durch Cyber Threat Intelligence (CTI). Bei diesem Prozess werden Informationen über Cyberbedrohungen aus offenen und verdeckten Quellen, einschließlich des Darknets, gesammelt, um potenzielle Bedrohungen frühzeitig zu erkennen. Doch CTI zählt zu den präventiven Maßnahmen, die in vielen Unternehmen kaum priorisiert werden. Ein Grund ist der Fachkräftemangel: Laut Google und Forrester fehlen in 68 Prozent der deutschen Unternehmen qualifizierte Threat-Analysten, die solche Erkenntnisse professionell erheben und auswerten könnten. Hinzu kommt die Psychologie der Prävention: Die Vorbeugung verhindert Katastrophen, die nicht eintreten – ihr Nutzen ist daher schwer messbar. Dabei ist der wirtschaftliche Vorteil deutlich: Der “durchschnittliche” Schaden eines einzelnen Ransomware-Vorfalls liegt schnell im sechsstelligen Bereich, während proaktiver Schutz nur einen Bruchteil davon ausmacht. Darüber hinaus können durch eine Cyberattacke immaterielle Schäden wie Reputations- oder Vertrauensverlust entstehen. Darüber hinaus schreibt die EU mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) höhere Sicherheitsstandards verbindlich vor – und sieht bei fahrlässiger oder vorsätzlicher Nichteinhaltung der Pflichten eine persönliche Haftung der Geschäftsführung vor.

Der Unterschied liegt im zeitlichen Vorsprung

Zahlreiche Sicherheitslösungen wie Malware-Erkennung, Webscanner oder Firewalls bilden eine wichtige Schutzschicht gegen Cyberbedrohungen. Sie greifen allerdings in der Regel erst dann, wenn ein Angriff bereits stattfindet – etwa durch das Einspielen von Updates, das Sperren verdächtiger IP-Adressen oder die Veröffentlichung von Patches. Bis diese Maßnahmen vollständig greifen, vergeht jedoch wertvolle Zeit, in der die Cyberattacke fortschreitet.

Cyber Threat Intelligence bietet hier einen anderen Ansatz: Es geht darum, Informationen über geplante oder bereits laufende Angriffe vorab zu beschaffen. CTI-Analysten sammeln einerseits Informationen aus öffentlichen Quellen, sogenannten OSINT- (Open Source Intelligence) sowie CSINT- (Closed Source Intelligence) Quellen. Zu ersteren gehören beispielweise Online-Foren, Blogs, Verzeichnisse und öffentlich bereitgestellte Regierungsunterlagen. Zu letzteren zählen beispielsweise klassifizierte Geolocation-Dienste, Analysesoftware und Forensik-Tools sowie vertrauliche Datensätze, die von Strafverfolgungsbehörden an Cyber-Security-Dienstleister bereitgestellt werden. Außerdem gehören dazu Informationen aus dem Darknet. Um sie zu beschaffen, tauchen die CTI-Experten undercover in kriminelle Foren und Gruppen, um frühzeitig über geplante Angriffe oder Zero-Day-Schwachstellen zu erfahren. Dort werden von Data Brokern gestohlene Zugangsdaten gehandelt, Angriffe vorbereitet oder Informationen gezielt verteilt. „Es ist nicht leicht, sich in die Darknet-Community einzuschleusen; oft müssen wir uns zuerst beweisen, eine Art Aufnahmeritual bestehen, um uns das Vertrauen der Kriminellen zu sichern“, erklärt Reinhold Zauner, Cyber Security Solution Engineer bei Var Group.

Threat Intelligence Life Cycle

CTI folgt einem kontinuierlichen Prozess, dem Threat Intelligence Life Cycle. Er stellt dar, wie Cyber-Bedrohungen systematisch gesammelt, ausgewertet und in handlungsrelevante Informationen umgewandelt werden, um die Abwehrfähigkeit von Organisationen zu stärken. Der Zyklus besteht aus sechs Phasen:

1. Planung (Planning): Zunächst wird festgelegt, welche Informationen benötigt werden, um die Unternehmensziele zu erreichen – etwa, ob es um den Schutz bestimmter Führungskräfte, kritischer Systeme oder Geschäftsbereiche geht.
2. Sammlung (Collection): Danach werden Daten über potenzielle Risiken aus vielfältigen Quellen erhoben, von offenen Plattformen (OSINT) bis hin zu geschlossenen Foren im Darknet (CLOSINT).
3. Verarbeitung (Processing): Die Rohdaten werden aufbereitet, gefiltert und in ein Format gebracht, das für die weitere Analyse nutzbar ist. In diesem Schritt werden die gesammelten Datenmengen bereinigt, normiert und überprüft, damit sie in die Datenspeicherlösung hochgeladen werden können.
4. Analyse (Analysis): Fachleute bewerten die Informationen, identifizieren Muster, Schwachstellen oder mögliche Angriffskampagnen und setzen diese in einen relevanten Kontext. Die Menge der analysierten Daten wird als Cyber Threat Intelligence bezeichnet.
5. Verbreitung (Dissemination): Die gewonnenen Erkenntnisse werden in einer verständlichen Form aufbereitet und an relevante Stellen im Unternehmen weitergegeben – ob an die Geschäftsführung, das IT-Sicherheitsteam oder externe Partner.
6. Feedback: Schließlich geben die Nutzer Rückmeldung, ob die gelieferten Informationen hilfreich waren und ob die Prioritäten angepasst werden müssen.

Dieser Kreislauf sorgt dafür, dass Unternehmen kontinuierlich aktuelle Erkenntnisse erhalten und ihre Sicherheitsmaßnahmen anpassen können. „Entscheidend ist dabei auch die Mitwirkung der Verantwortlichen selbst – nur wenn relevante Daten, Systeme oder Accounts benannt werden, kann CTI seine volle Wirkung entfalten,“ betont Reinhold Zauner.

Wenn‘s persönlich wird

„Ein besonders sensibler Anwendungsfall ist die die gezielte Überwachung personenbezogener Daten von Führungskräften,“ sagt Hartmut Mersch, Geschäftsführer von Yarix auf dem DACH-Markt, der Marke der Var Group für Cyber Security. „Hierfür haben wir das VIP-Protection-Programm entwickelt, bei dem wir regelmäßig prüfen, ob private oder geschäftliche Informationen von C-Level-Angestellten im Darknet auftauchen – etwa Zugangsdaten, Telefonnummern oder E-Mail-Adressen.“ In diesem Fall stellen Unternehmen die relevanten Daten bereit, damit sie mit den Darknet-Datenbanken abgeglichen werden können. „Cyberkriminelle bieten nicht nur Combo Lists an, sondern unterhalten sich oft über geplante Angriffe. Durch den Datenabgleich können wir Angriffe abwehren, bevor sie überhaupt entstehen“, führt Reinhold Zauner aus. Bei der Umsetzung solcher Schutzmaßnahmen setzt Yarix auf maximale Datenhoheit: Unternehmensdaten und Analysen werden ausschließlich über eigene Server verarbeitet, ohne Einbindung von Drittanbietern. Das sorgt nicht nur für einen besonders hohen Schutz vor unbefugtem Zugriff, sondern erfüllt auch strengste Anforderungen an Datenschutz und Vertraulichkeit.

Verantwortung beginnt vor dem Angriff

Cyberangriffe werden gezielter, raffinierter und persönlicher. Die Geschäftsführung steht dabei im Zentrum – sowohl als potenzielles Ziel als auch in der Verantwortung, Risiken zu minimieren. Die Erfahrung zeigt: Es ist keine Frage, ob ein Angriff kommt, sondern wann. Präventive Maßnahmen wie Cyber Threat Intelligence stärken die Abwehrkräfte sowie die Handlungsfähigkeit des Unternehmens. Das ist nicht nur unter dem wirtschaftlichen Gesichtspunkt wichtig, sondern auch unter dem menschlichen: Denn jedes Unternehmen beschäftigt Menschen, die im Ernstfall ebenfalls betroffen sind.  Proaktive Schutzstrategien sind damit nicht nur ein technischer Schutz, sondern ein zentraler Beitrag zur Sicherung der Unternehmenszukunft.

(pd/Var Group)