Berliner Forschung zu Cyberangriffen: Mit Sherlock Holmes gegen Hacker
Die Mail, die gerade im Postfach gelandet ist, scheint wichtig zu sein: „Sensible Daten auf deinem LinkedIn-Profil“ heißt es, teils in Versalien geschrieben, in der Betreffzeile. Die Nachricht stammt von einer Person, die sich als eine Mitarbeiterin namens Nina Schneider ausgibt. Sie warnt in dringlichem Ton, dass „unser Unternehmen betreffende Informationen“ veröffentlicht worden seien. Darunter: Ein Link zur Berufsplattform „LinkedIn“. Ein Klick auf den Anhang, und plötzlich tauchen mehrere Fenster mit kryptischen Codes auf. Auf dem Bildschirmhintergrund thront in roten Lettern ein Totenkopf. Jemand hat den Computer gehackt.
Was nach einem typischen Cyberangriff klingt, ist zum Glück nur eine Computersimulation – entwickelt vom Fraunhofer Institut für Offene Kommunikationssysteme (Fokus). Die Einrichtung in Charlottenburg erforscht, wie Menschen effektiver lernen, sich gegen die digitale Bedrohung zu wappnen. „Elite“ nennt sich das Projekt.
Cyberangriffe gehören mittlerweile zur Realität vieler Berliner Unternehmen. Angriffe funktionieren dabei über Ransomware – schädliche Programme, mit denen sich Kriminelle in Computersysteme hacken, um wertvolle Informationen wie Kreditkartendaten zu stehlen und dann im Gegenzug für deren Wiedergabe Lösegeld zu fordern. Für September 2025 schätzt die Zentrale Ansprechstelle Cybercrime (ZAC) die Zahl der Fälle von Cyberangriffen auf etwa 4.500 in Berlin. Gerade Unternehmen und Selbstständige melden allerdings nur einen Bruchteil bei der Polizei. Sie haben Angst, dass ihr Image leidet, wenn die Fälle publik werden.
Eine große Chance, um Menschen besser auf Cyberattacken vorzubereiten, wittert die Forschung in Simulationstrainings. Indem sie spielerisch Angriffe imitiert, sollen Mitarbeitende von Unternehmen besser einschätzen können, wann ihre Computer bedroht sind. „Elite“ simuliert nicht nur Ransomware-Angriffe, sondern auch, wie Verbrecher Passwörter hacken, oder per unaufgefordert zugeschicktem USB-Stick die Hardware des Computers beschädigen.
Dass viele Cyberangriffe erfolgreich sind, liegt gar nicht so häufig an fehlerhafter Technik, wie etwa schwachen Anti-Viren-Programmen. Oft ist es der Mensch, der die Schadsoftware eindringen lässt, indem er Links von vermeintlichen Mitarbeitern aktiviert oder angebliche Rechnungen begleichen will. Laut Richard Huber, wissenschaftlicher Mitarbeiter am Fraunhofer Institut Fokus, liege das am fehlenden Gefahrenbewusstsein. „Physische Bedrohungen wie etwa sich schnell bewegende Objekte im Straßenverkehr sind durch 300.000 Jahre Evolutionsgeschichte in unsere Köpfe einprogrammiert. Digitale Bedrohungen eher nicht.“
Viele der bisherigen Seminare für Cybersicherheit bringen überhaupt nichts
Mit Blick auf die bisherige Praxis an IT-Schulungen scheint das Potenzial enorm: „Die Web-Based-Trainings, also die klassischen Seminare, die der Arbeitgeber in die Arbeitszeit seiner Angestellen quetscht, sind in ihrer Effizienz gleich null“, sagt Huber. Sie sind oft nur ein Fragenkatalog – etwa mit der trivialen Frage, ob man einen USB-Stick an seinen Rechner anschließen sollte, den Unbekannte einem zugeschickt haben. Die Antworten lägen oft auf einem geteilten Laufwerk, die sich die Teilnehmer herunterladen. „So hat man die Schulung schnell abgehakt. Das meiste haben die Teilnehmer bald wieder vergessen“, berichtet Huber.
Um die Gefahren durch Trojaner, Viren & Co zu verdeutlichen, ist Huber mit seiner Simulationssoftware auf Messen für kleine und mittlere Betriebe unterwegs. Auf ihrem Messestand bauen sie mit einem mannshohen Server und einem Computer den typischen Arbeitsplatz eines kleinen Unternehmens nach. Dort simuliert das Fraunhofer Fokus-Team vor Ort einen Ransomware-Angriff – beispielsweise per E-Mail der Pseudo-Mitarbeiterin Nina Schneider: Social Engineering nennt sich die Betrugsmasche. Kriminelle versuchen dabei, Personen zu manipulieren, indem sie sich unter falscher Identität ausgeben, beispielsweise als Mitarbeiterin oder ITler. Sie nutzen dabei menschliche Eigenschaften wie Hilfsbereitschaft, Angst oder Respekt vor einer Autorität aus.
Huber ist davon überzeugt, dass Menschen sich so besser auf Cyberangriffe vorbereiten können. In diesem Rollenspiel erleben sie unmittelbar das mulmige Gefühl und die Machtlosigkeit, die sich einstellt, wenn der Bildschirm flimmert und ein Totenkopf aus Code-Schrift erscheint. Mittlerweile kann man das Trainingsprogramm auch als „Elite 2.0“ von zuhause auf der gleichnamigen Projektwebsite ausprobieren.
Wie viele Menschen schlecht über digitale Sicherheit informiert sind, weiß auch Marc Mildenberger. Der IT-Referent arbeitet bei der Digital Agentur Berlin (DAB), die, unterstützt von der Wirtschaftsförderung Berlin, Unternehmen bei der Digitalisierung hilft. Mildenberger berät dort Opfer von digitalen Angriffen über eine Hotline und veranstaltet die sogenannte Cyberwerkstatt. Das ist ein Workshop, in dem Mildenberger Präventivarbeit für Angriffe aus dem Netz lehrt.
„Serious Alarm Games“ von der Hochschule Wildau: Im Sherlock-Holmes-Look Hacker aufspüren
Wohl das interessanteste Puzzlestück der Werkstatt: die „Serious Alarm Games“. Mit diesen Spielen, entwickelt von der Technischen Hochschule Wildau, üben Teilnehmer Passwortschutz und Strategien gegen Geschäftsführungsbetrug und Ransomware-Angriffe. In dem digitalen Spiel „Die Spurensuche“ kann der Spieler einen Comic-Avatar im Sherlock-Holmes-Look wählen. Mit dem streift er durch ein virtuelles Büro, um einer Firma zu helfen, die Opfer eines Geschäftsführungsbetrugs geworden ist. Hier hat sich also jemand als Mitglied der Chefetage ausgegeben, um Banküberweisungen zu manipulieren. Schritt für Schritt klickt man sich durch Antwortmöglichkeiten, befragt Büromitarbeiter, und sammelt Punkte.
Welche dramatischen Auswirkungen fehlendes IT-Wissen haben kann, illustriert Mildenberger an einem Fall, den einer seiner Kollegen im Jahr 2023 über die Beratungshotline zu hören bekam. Dort wurde eine Person, die Coachings zu Erwachsenenbildung anbot, Opfer von Cyberstalking. Ein Krimineller hackte die Accounts der Selbstständigen – vom Bankkonto bis hin zum Skype-Account. Räumte sämtliches Geld vom Konto. Bettelte über den gehackten Mail-Account bei Freunden und Verwandten nach finanzieller Unterstützung. Und versuchte der Selbstständigen sogar Kindesmissbrauch anzuhängen. Für die Coachin eine enorme psychische Belastung, wie Mildenberger schildert. All das, weil die Person für die Mehrheit ihrer Accounts exakt dasselbe Passwort verwendet habe.
Weil sich die Betroffene bei der DAB-Hotline meldete, konnte ihr dort ein Informatiker vermittelt werden. Der half der Person wiederum, neue Accounts mit besseren Passwörtern aufzusetzen, die Schadsoftware aufzuspüren und diese auf Geräten wie dem iPhone und MacBook zu beseitigen. Welches genaue Motiv der Täter dabei verfolgte, ist unklar. Die Datenschutzbehörde Berlin fand allerdings raus, dass es sich bei dem Täter um eine Person eines Unternehmens handelte, das mit Selbständigen auf dem Coaching-Markt konkurrierte. Das legt den Verdacht nahe, es handle sich um ein „Cybercrime as a Service“: Unternehmen können sich im Darknet für wenige Dollar einen Cyberangriff als Dienstleistung einkaufen, um die Konkurrenz aus dem Markt zu drängen. Bei Ransomware-Attacken passen die Erpresser Lösegeldforderungen sogar nach Marktlage an.
Damit in Zukunft noch mehr Betriebe besser gegen digitale Schädlinge gerüstet sind, benötige es aber Verhaltensregeln in Unternehmen für akute Fälle, so Mildenberger. Wie in Büros ein Plan für den Feueralarm üblich sei, brauche es hier auch eine Art Erste-Hilfe-Set: mit Telefonnummern von Informatikern und Präventivregeln – etwa Zahlungen nur unter einem Vier-Augen-Prinzip durchzuführen. Dann könnten Unternehmen sicherstellen, dass es sich wirklich um die richtige Nina Schneider handelt.
