Egal ob zu Hause oder im Café: Wenn CFOs Passwörter sorglos eingeben, haben Hacker beim Abgreifen von Daten leichtes Spiel.

ipopba/iStock/Thinkstock/Getty Images

05.06.18
CFO

Wenn der CFO zum Sicherheitsrisiko wird

Hacker werden immer professioneller. Der erfolgversprechendste Angriffspunkt ist für sie jedoch oft nicht das IT-Netz von Konzernen – sondern der CFO.

Zahlreiche Hackerangriffe haben in den vergangenen Monaten für Schlagzeilen gesorgt. Das Thema ist bei Konzernen daher präsent, sie rüsten ihre IT-Sicherheit auf, um sich besser gegen Attacken verteidigen zu können.

Doch oft müssen Kriminelle gar keine komplexe Hackerstrategie austüfteln, um sich in Unternehmen einzunisten. Sie nehmen stattdessen CFOs ins Visier. Das hat einen einfachen Grund: „Geschäftsführer und Vorstände haben oft Privilegien, die in den Richtlinien eigentlich nicht vorgesehen sind“, erklärt Kai Grunwitz vom IT-Sicherheitsspezialisten NTT Security. Das Vorgehen der Kriminellen ist hier besonders erfolgsversprechend, weil Finanzchefs sich selbst oft nicht als lohnendes Ziel einstufen.

Grunwitz’ Einschätzung basiert auf Erfahrung: Er simuliert mit seinem Team Attacken auf CFOs und andere Vorstände – im Fachjargon White Hacking genannt. „Wir haben bei unseren Tests eine Trefferquote von 100 Prozent.  Wir bekommen immer Zugriff auf Netze und damit auf sensible Daten wie etwa Informationen zu M&A-Deals“, sagt er. Im Schnitt gelinge der White Hack bei drei Vorständen pro Konzern.

„Unsere Tests haben eine Trefferquote von 100 Prozent.“

Kai Grunwitz, NTT Security

Hacker nehmen CFOs gerne ins Visier

IT-Experte Grunwitz sieht daher deutliches Verbesserungspotential. Insbesondere auf sogenannte Phishing-Angriffe sollten Finanzchefs aufpassen. Dabei handelt es sich um gefälschte E-Mails, die auf mit Viren kontaminierte Websites führen. 53 Prozent der erfolgreichen Attacken sind laut Grunwitz Phishing-Angriffe.

Fast jeder hat eine solche Mail schon einmal in seinem Postfach gefunden, die Masche ist also bekannt. Trotzdem sollten CFOs auf der Hut sein, wie die Zahlen belegen. „Hacker sind keine Jugendlichen im Kapuzenpulli mehr, wie es oft dargestellt wird“, erklärt Grunwitz. Im Darknet habe sich eine riesige Industrie entwickelt, die auf Hackerattacken spezialisiert ist.

Entsprechend professionell sind die Angriffe. „Die Kriminellen informieren sich genau über den CFO und entwickeln individualisierte Angriffe“, so Grunwitz. Wenn ein Finanzchef zum Beispiel gerne golft, würden Hacker schauen, bei welchem Club er Mitglied ist. „Wenn der Verein einen Newsletter hat, wird dieser detailgetreu nachgebaut und an den CFO gesendet.“ Der Link führt dann auf eine Website, die der des Golf-Clubs stark ähnelt. „Sogar die angezeigte URL kann die gleiche sein“, sagt Grunwitz. Der CFO merkt also gar nicht, dass in dem Moment seine Daten abgegriffen werden, oder dass die Hacker sich im Netzwerk einnisten.

WLAN-Netzwerke öffnen Hacker Tür und Tor

Dass Top-Manager zum Herumtragen sensibler Unternehmensdaten neigen, ist laut Grunwitz ebenfalls ein großes Sicherheitsproblem. CFOs wollen schließlich die neuesten Präsentationen und Bilanzzahlen immer dabei haben, in der Bahn oder im Flugzeug daran arbeiten. „Auf dem Laptop oder auf dem Handy sind diese ohne Sicherheitsvorkehrungen aber oft ungeschützt“, so Grunwitz.

Denn über öffentliche WLAN-Netze können sich Kriminelle auf diese Geräte einhacken. „Die Kriminellen schauen dann, wo der CFO in der Regel seinen Kaffee trinkt und attackieren ihn dort.“ Grunwitz gibt daher eine Grundregel aus: „Wenn CFOs unterwegs sind, müssen die Daten immer verschlüsselt sein.“

Dadurch könnten Hacker die Information nicht  – oder nur mit großem Aufwand – auslesen. „Zudem müssen Finanzchefs ihre Passwörter regelmäßig ändern und dürfen diese niemals in einem öffentlichen WLAN eintippen.“ Das gelte auch für das Zuhause der CFOs, da dieses oft als „privates Netzwerk“ klassifiziert werde, wodurch Sicherheitseinstellungen aufgeweicht würden.

„Altbewährte Methoden wie Phishing und Shoulder Surfing funktionieren immer noch sehr gut.“

Auch die altbekannte Masche des „Shoulder Surfings“ funktioniert immer noch gut, warnt der Experte. Dabei lesen Kriminelle in der Bahn einfach mit, was der CFO schreibt oder liest. „Das erschreckt mich immer wieder, wenn so etwas funktioniert.“ Für dieses Problem gibt es aber eine relativ einfache Lösung: Sichtschutzfolien und darauf achten, ob bei der Passworteingabe jemand in der Nähe steht.

Unternehmen können Datenräume einrichten

Wenn CFOs diese Dinge beachten, sind die Daten von ihren Unternehmen schon recht sicher. Um die Informationen zusätzlich zu schützen, rät Grunwitz zu einer Einteilung in kritische und unkritische Daten. „Unternehmen können durch die Klassifizierung einen Datenraum erstellen, auf den nur die berechtigte Manager Zugriff haben.“ Dann könnten nicht einmal mehr Anhänge an Personen verschickt werden, die nicht die Berechtigungen haben.

Für solche Projekte muss sich das Management aber Zeit nehmen, die im Alltag knapp bemessen ist. Sicherheitsexperte Grunwitz hat deshalb einen Appell an CFOs und ihre Kollegen: „Unsere Attacken auf das Management funktionieren sehr gut. Wenn ein Konzern das Thema IT-Sicherheit ernst nimmt, darf sich der Vorstand und die Geschäftsführung nicht herausnehmen, sondern muss Projekte selbst vorantreiben.“

jakob.eich[at]finance-magazin.de