Es war im Sommer dieses Jahres, als 33 Kantonsangestellte den gleichen Anruf erhielten. Am Apparat war ein Swisscom-Mitarbeiter – er bat die Angestellten, ein neues Sicherheitsupdate für ihr Mailprogramm zu installieren. Was sie dafür lediglich tun sollten: Eine Website besuchen und die Installation mit einem Klick starten.

Nicht alle wollten dieser Aufforderung trauen. Die meisten liessen den Swisscom-Mitarbeiter ins Leere laufen oder verwiesen ihn an die interne Informatikabteilung. Doch neun Angestellte folgten flugs seiner Anweisung und installierten das angebliche Update. Damit öffneten sie «Tür und Tor für Schadsoftware», wie das kantonale Amt für Informatik und Organisation (AIO) später bilanzierte. 

Konsequenzen müssen sie deswegen keine befürchten. Das Ganze war nur ein Test. Die Schadsoftware war für einmal harmlos, die Angerufenen wurden zufällig ausgewählt. Und der falsche Swisscom-Mitarbeiter arbeitete in Wahrheit für eine vom Kanton beauftragte Sicherheitsfirma. Diese sollte herausfinden, ob Betrugsversuche von Kantonsangestellten erkannt werden. «Denk vor Klick» wird die Aktion intern genannt.

Doch jeder Vierte denkt offenbar zu wenig, bevor er klickt: Das Resultat der Aktion hat das AIO dazu veranlasst, alle Kantonsangestellten erneut darauf hinzuweisen, im Netz wachsam zu bleiben. «Auf entsprechende Tipps kann man gar nicht oft genug hinweisen», sagt Amtschef Thomas Burki. Denn Sensibilisierung sei eine der wichtigsten Massnahmen, um Betrugsversuchen zu vereiteln.

Bereits im Frühling wurden sämtliche Angestellte des Kantons aufgefordert, ihr Passwort auf einer Website einzugeben. Neun Prozent aller Empfänger folgten dem Wunsch. Mit diesem Test ist es laut den Behörden gelungen, die Angestellten wachzurütteln und besser auf Angriffe vorzubereiten.

Kriminelle haben aufgerüstet

«Bitte wählen Sie ein neues Passwort.» «Jetzt Konto-Daten aktualisieren.» «Sie haben gewonnen!» Solche Nachrichten, auch Phishing-Mails genannt, überschwemmen regelmässig die Postfächer. Die vermeintlichen Absender sind meist Banken, Informatikanbieter oder Behörden. Die Nachrichten kommen täuschend echt daher. Hinter dem Link mit der dringenden Aktualisierung verbirgt sich allerdings ein Trojaner, der sensible Daten abschöpft. Schlimmstenfalls übernimmt er die Kontrolle über den Computer.

Phishing-Mails zirkulieren regelmässig durchs Land, stets begleitet von eindringlichen Warnmeldungen. Die Devise: Finger weg! Mittlerweile sollte die Gefahr, die von Phishing-Mails ausgeht, fast jedem bekannt sein. Trotzdem tappen manche noch immer in die Falle.

Auch, weil Cyberkriminelle aufgerüstet haben. Die Grafiken und Texten in Phishing-Mails, angelehnt an den Auftritt grosser Unternehmen, lassen sich nicht selten kaum von ihren realen Vorbildern unterscheiden. Bisweilen enthalten sie persönliche Anreden oder Adressen.

Zum Repertoire der Cyberkriminellen gehört auch das Telefon. Anrufer behaupten beispielsweise, sie seien Mitarbeiter einer Informatikfirma und müssten ein Softwareproblem beheben. Es ist deutlich schwieriger, einen solchen Betrugsversuch zu erkennen, sagt AIO-Chef Burki. «Bei einem Anruf muss man innert Sekunden entscheiden. Erst recht, wenn sich der Anrufer als Mitarbeiter einer Partnerfirma ausgibt und vertrauenswürdig wirkt.»

Bei der Kantonsverwaltung können sich Angestellte an einer Faustregel orientieren, diese gilt in vielen Betrieben: Weder Microsoft noch Swisscom oder ein anderes Unternehmen melden sich unaufgefordert und direkt, um ein Problem zu beheben oder Updates zu installieren. «So etwas läuft stets über den internen Informatikdienst», erinnert Burki. Doch auch er weiss: Angreifer versuchen nicht nur, ihre Opfer emotional anzusprechen. Sie zählen darauf, dass man der Autorität von Fachleuten grundsätzlich vertraut.

Tests mit gefälschter Rechnung

Nach eigenen Angaben wurde die Kantonsverwaltung bisher nicht Opfer von Cyberkriminellen. Thomas Burki sagt, ein starker Virenschutz und ein gutes Sicherheitssystem seien unerlässlich. «Aber absoluten Schutz gibt es trotzdem nie.»

Im Rahmen der Aktion «Denk vor Klick» plant das AIO weitere verdeckte Tests. Die ersten Durchläufe haben offenbar gewirkt, wie der jüngste Teil der Aktion zeigt. Die beauftrage Sicherheitsfirma schickte eine getürkte Rechnung an Kantonsangestellte. Gerade einmal vier Prozent der Getesteten gingen dem Dokument auf den Leim und gaben persönliche Daten preis.