Phishing-Mails und gefälschte Anrufe sind längst nichts Neues. Doch eine Hackergruppe ist einen Schritt weiter gegangen - sie schickt falsche IT-Mitarbeiter direkt in die Büros der Opfer, wo echte Menschen zur Tür hereinkommen, sich als technischer Support ausgeben und mit einem gewöhnlichen USB-Stick Daten stehlen. Davor warnen Google und das FBI.

Am Freitag veröffentlichten Googles Sicherheitsteams - Mandiant und die Google Threat Intelligence Group - einen Bericht, in dem sie die als Silent Ransom Group bekannte Gruppe beschuldigen, von Januar bis Mai dieses Jahres mit „physischem Zugang vor Ort" versucht zu haben, Daten von „Dutzenden" Opfern zu stehlen. Die Ziele sind meist Anwaltskanzleien.

Das Szenario ist erschreckend einfach. Jemand ruft an, gibt sich als IT-Support aus, führt einen in eine Bildschirmfreigabe-Sitzung unter dem Vorwand, ein Sicherheitsproblem zu lösen oder Daten zu migrieren. Und in manchen Fällen taucht der falsche „Techniker" einfach im Büro auf, verbindet sich mit einem Computer und trägt mit einem USB-Stick oder einem Fernzugriffstool Verträge, persönliche Daten, Sozialversicherungsnummern, Finanz- und Steuerunterlagen davon.

Dann kommt die Erpressung. Die Gruppe droht, die gestohlenen Daten auf ihrer Seite zu veröffentlichen, wenn das Opfer nicht zahlt - und sie tut es tatsächlich. Die Botschaft an die Opfer ist direkt: „Im Falle von Ignorieren oder Widerspruch benachrichtigen wir Ihre Mitarbeiter, Partner und Kunden, woraufhin wir Ihre Daten veröffentlichen."

Charles Carmakal, Technikchef von Mandiant, erinnert daran, dass das nicht so neu ist, wie es aussieht: „Mandiant hat verschiedene Fälle untersucht, in denen Angreifer Insider einschleusten, Mitarbeiter bestachen oder physisch in Gebäude eindrangen, um Cyberangriffe zu ermöglichen." Die Lehre ist so alt wie die Sicherheit selbst: Das schwächste Glied in jedem System ist nicht die Software, sondern der Mensch, der dem die Tür öffnet, der aussieht, als käme er zum Helfen.