Am Telefon meldet sich die IT-Abteilung. Es gäbe Hinweise, dass der eigene Computer gehackt worden sei. Damit man das überprüfen könne, soll ein Programm für die Fernwartung heruntergeladen werden. Der Link dazu kommt per Mail.

Cyberkriminelle lauern überall – und ehe man sichs versieht, haben sie einen. So auch hier: Der Hacker ist nämlich nicht im Computer, sondern am Telefon. Klickt man wie von ihm beauftragt auf den Link, gewährt man ihm Zugang auf den Rechner. Dabei wollte man mit dem Download ja genau das verhindern.

«Ein typisches Beispiel», sagt der Cyberexperte Thierry Navarro. Eine Firma könne ihr Computernetzwerk noch so gut schützen, am Ende mache ein Arbeiter in einer unachtsamen Minute einen Fehler, falle auf eine List herein, klicke einmal mit der Maus zu viel – und schon seien die Hacker im System.

Angeriffen wurde eine mittelgrosse Firma im Mittelland. Doch es hätte nahezu in jedem Unternehmen passieren können, beteuert Navarro. Und jeder Angestellte soll daraus lernen können. Die beschriebene Attacke ist eines von verschiedenen Szenarien, welches das Schweizer Start-up Megaverse, an dem Navarro beteiligt ist, in seine Lernsoftware integriert hat.

Wobei «Lernsoftware» die Sache nicht ganz trifft: Metaverse ist vielmehr ein Computerspiel, ein sogenanntes Serious Game, ein Spiel mit ernstem Inhalt. Es soll Nutzer mit den vielfältigen Tricks und Vorgehensweisen von Hackern vertraut machen und sie für Einfallstore für Cyberkriminelle sensibilisieren. Dafür wird der Arbeitsalltag eines Büroangestellten simuliert – mit E-Mail-Verkehr, Telefonanrufen und Gesprächen mit anderen Mitarbeitern.

5,3-Billionen-Dollar-Verlust

Mit diesem Ansatz macht sich das Start-up daran, die grösste Sicherheitslücke bei Firmen zu schliessen: die Unwissenheit und Naivität der Mitarbeiter im Umgang mit Daten und neuen Technologien.

Egal, wie gut die Sicherheitstechnologie eines Unternehmens ausgerüstet ist, wie rigoros der Virenscanner vorgeht, wie undurchlässig eine Firewall ist, am Ende ist es der Mensch, der auf einen Link mit Schadsoftware klickt, ein Programm herunterlädt oder aus Versehen wichtige Daten weitergibt. Studien zeigen, dass es zu mindestens 80 Prozent menschliches Fehlverhalten ist, das Kriminellen Einlass in das unternehmerische Netz gibt.

«Sicherheitssoftware ist zwar wichtig, doch sie allein reicht nicht. Es braucht Mitarbeiter, die ein geschärftes Bewusstsein für Cyberkriminalität haben», sagt Navarro. Und dennoch würden viele Unternehmen aber auch Sicherheitsanbieter vorwiegend auf technische Lösungen setzen und den Faktor Mensch ausser acht lassen.

«Es sind immer die Menschen, die den Unterschied machen», betont Cécile Maye, die Chefin des Start-ups Megaverse, das seinen Sitz gleich neben der ETH Lausanne hat. Das gilt nicht nur in der Cybersicherheit, sondern auch in der Gründung eines neuen Unternehmens.

Die 52-Jährige hat keine typische Karriere in der Technologiebranche hinter sich, sondern lange in der Uhren- und Modebranche gearbeitet und danach in einer längeren Auszeit die halbe Welt per Boot bereist. Das ist in der männlich dominierten Tech-Welt, die oft etwas gleichgeschaltet wirkt, gewiss kein Nachteil. Dass man Dinge auch anders angehen könne, immer wieder von einer anderen Seite anschauen müsse, liegt quasi in der DNA von Megaverse, sagt Maye.

Während die meisten Jungunternehmen erst einmal Risikokapital sammeln, um ihre Idee umzusetzen und sich erst in einem zweiten Schritt darum kümmern, wie genau man einmal Geld verdienen will, geht Megaverse den umgekehrten Weg. Ohne ein fertiges Produkt zu haben, konnte das Unternehmen bereits die ersten Kunden gewinnen.

Dazu gehören die Versicherung Helvetia, das Luxusgüterunternehmen Group Richemont und die Privatbank Pictet. Um die Software weiterzuentwickeln, implementieren Maye und ihre Kollegen das Feedback der Kunden und will 5 Millionen Risikokapital aufnehmen. «Das brauchen wir, um genug schnell wachsen zu können», sagt die Chefin. Denn der Markt sei jetzt reif für ihr Produkt.

Die Kriminalität in der digitalen Sphäre ist ein lukratives Geschäft – auch weil die Hacker nur selten erwischt und zur Verantwortung gezogen werden können. Die Beratungsfirma Accenture hat kürzlich errechnet, dass die globale Privatwirtschaft in den nächsten fünf Jahren riskiert, 5,3 Billionen Dollar wegen Cyberangriffen zu verlieren.

Bei der Abwehr der Attacken wird die Schulung des Personals immer bedeutender. Die Beratungsfirma Gartner schätzt dass der Bildungsmarkt für Cyber Security jährlich um knapp 20 Prozent wachsen wird: 2014 wurde dafür weltweit eine Milliarde Dollar ausgegeben – 2027 sollen es 10 Milliarden sein.

Schuldgefühle nach Hacker-Attacke

Ein Unternehmen, das sich in diesem Markt bereits etabliert hat, ist die Schweizer Firma Lucy Security. Die Firma stellt nicht nur Lernvideos zur Verfügung und bietet persönliche Analysen und Beratungen, sondern hat auch eine Software entwickelt, mit der es möglich ist, Mitarbeiter im Arbeitsalltag zu testen.

Dafür werden Hacker-Angriffe simuliert mit Phishing-Mails und manipulierten Websites. Und es kommt sogenanntes Social Engineering zum Einsatz, bei dem Menschen manipuliert werden, indem etwa ihre Gutgläubigkeit ausgenutzt wird (wie im eingangs beschriebenen Szenario).

Über die Ergebnisse staunen dann nicht selten neben der Führungsetage auch die Mitarbeiter selber, die nicht gedacht haben, dass sie sich so leicht überlisten lassen. «Es kommt vor, dass 50 Prozent der Belegschaft ihre Windows-Passwörter auf einer manipulierten Website eingeben und bis zu einem Drittel gefährliche Dateien herunterlädt und diese sogar ausführt», sagt Oliver Münchow, Gründer von Lucy Security.

Meistens machen die Firmen ihre Mitarbeiter auf die Tests im Voraus aufmerksam, manchmal geschehen sie aber auch ganz verdeckt. «Dann können die Resultate noch dramatischer sein», sagt Münchow. Mit Misstrauen oder Blossstellen der Angestellten habe das nichts zu tun. Im Gegenteil: Vielmehr zeige das, dass man seine Angestellten ernst nehme, indem man ihnen ein gutes Cyber-Security-Training biete. Es sei krass, wie viel Verantwortung ein Mitarbeiter habe. Schliesslich gehe es ja nicht nur um die Daten des einzelnen Mitarbeiters, sondern um jene der ganzen Firma.

Ähnlich sieht das auch Thierry Navarro von Megaverse: «Menschen, die gehackt worden sind, fühlen sich danach sehr schlecht und schuldig.» Diese Pein wolle man ihnen ersparen, indem man in simulierten Szenarien ihr Sicherheitsverständnis schult. «Besser im Spiel in eine Falle tappen», sagt Navarro, «als im realen Arbeitsalltag.»