Eine Firewall ohne aktuelles Sicherheitsupdate — mehr brauchte es nicht.  Angreifer scannen das Internet automatisiert nach genau solchen Lücken, ganz ohne konkretes Ziel.  Die nötigen Werkzeuge? Standard, frei verfügbar im Internet und mutmaßlich ein starker Kaffee.  Der Aufwand? Minimal. In diesem Fall vergingen zwischen Erstzugriff  und vollständiger Verschlüsselung aller Windows-Systeme keine vier Stunden.

Warum es dazu kam: 
Kein Patchmanagement, keine klare Zuständigkeit.  Das Update existierte seit Monaten — es hat nur niemand eingespielt.

Die Folgen: 
Sechsstelliger Schaden durch Betriebsausfall und Wiederaufbau.  Dazu die Veröffentlichung vertraulicher Unternehmensdaten im Darknet,  meldepflichtige Datenschutzverstöße und drohende Schadensersatzforderungen.  Für die Geschäftsführung besonders relevant:  Nach NIS-2 und DSGVO kann bei fehlenden Schutzmaßnahmen eine persönliche Haftung greifen.

Was es gebraucht hätte: 
Einen festen Prozess für Sicherheitsupdates und regelmäßige Schwachstellenscans.  Kein Hexenwerk — aber jemand muss es tun.

Ein Mitarbeiter nutzt dasselbe Passwort für ein Online-Portal und sein Firmen-E-Mail-Konto.  Das Portal wird gehackt, die Zugangsdaten landen in einem Forum für Cyberkriminelle —  kaufbar für einen zwei- bis dreistelligen Betrag. Der Angreifer loggt sich in den E-Mail-Account ein,  liest mit, wartet auf den richtigen Moment.  Dann tauscht er in einer ausgehenden Rechnung die IBAN im PDF-Anhang aus.  Die Überweisung geht raus — fünfstellig, an das Konto des Angreifers. 

Warum es dazu kam: 
Keine Richtlinie für Passwortsicherheit, keine Zwei-Faktor-Authentifizierung auf dem E-Mail-Konto.  Passwort-Wiederverwendung ist einer der häufigsten Angriffswege — und einer der am leichtesten vermeidbaren. 

Die Folgen: 
Sechsstelliger Gesamtschaden durch die fehlgeleitete Zahlung, forensische Untersuchung  und einen Rechtsstreit mit dem Lieferanten,  der die Ware verständlicherweise nicht ohne Zahlungseingang liefern wollte.  Dazu der interne Vertrauensverlust und die Frage, welche E-Mails der Angreifer noch mitgelesen hat.

Was es gebraucht hätte: 
Zwei-Faktor-Authentifizierung für alle geschäftskritischen Zugänge und eine klare Passwortrichtlinie —  idealerweise mit einem Passwort-Manager.

Kosten dafür: 
Ein Bruchteil des entstandenen Schadens.

Statt Firewalls zu knacken, wird hier der Mensch gehackt.  Vor dem Bürogebäude liegt ein hochwertiger USB-Stick —  handschriftlich beschriftet mit „Gehaltsabrechnungen Q4 – Privat!".  Neugier und Hilfsbereitschaft siegen: „Nur kurz schauen, wem er gehört."  Der Stick landet im Firmenrechner, ein Keylogger installiert sich im Hintergrund —  noch bevor der erste Ordner geöffnet wird.  Ab diesem Moment liest der Angreifer jedes Passwort, jede Eingabe mit.

Warum es funktioniert: 
Social Engineering zielt nicht auf Technik, sondern auf menschliches Verhalten.  Die Kombination aus Hilfsbereitschaft und Neugier ist so zuverlässig,  dass dieser Angriffsweg seit Jahren zu den erfolgreichsten überhaupt zählt.  Es braucht keine IT-Kenntnisse beim Opfer — nur einen kurzen Moment der Unachtsamkeit.

Die Folgen: 
Ein Keylogger gibt dem Angreifer Zugriff auf alles, was am Rechner eingegeben wird — E-Mail-Zugänge, interne Systeme, Kundendaten. Der Schaden hängt davon ab, wie lange es unbemerkt bleibt. Oft Wochen.

Was es gebraucht hätte: 
Organisatorisch: Regelmäßige Security-Awareness-Schulungen, damit Mitarbeiter solche Szenarien erkennen.
Technisch: USB-Ports für unbekannte Geräte sperren. Die wichtigste Regel ist einfach — fremde USB-Sticks gehören nicht in Firmenrechner. Nie.

Phishing nutzt gefälschte Nachrichten, um Anmeldedaten oder Geld zu stehlen — und trifft besonders dann, wenn die Nachricht in den Alltag passt. Ein Mitarbeiter erwartet ein Paket. Mittags kommt eine SMS: „Ihre Sendung konnte nicht zugestellt werden — 1,40 € Zollgebühren offen. Bitte hier nachzahlen, sonst geht das Paket zurück." Der Link führt zu einer perfekt kopierten Seite eines Paketdienstes. Der Betrag ist minimal, das Paket wird tatsächlich erwartet — die Kreditkartendaten sind schnell eingegeben. Zehn Minuten später wird das Kartenlimit im Ausland voll ausgeschöpft.

Warum es funktioniert: 
Fachleute nennen es „Contextual Fit" — die Nachricht trifft genau in einem Moment ein, in dem eine solche Benachrichtigung plausibel erscheint. (Funfact: Das ist der Dauerwunsch des Marketings) Zeitdruck und ein harmloser Betrag senken die Hemmschwelle zusätzlich. Im geschäftlichen Umfeld funktioniert das Prinzip identisch: gefälschte Rechnungen, angebliche Zugangssperren oder vermeintliche Nachrichten der Geschäftsführung.

Die Folgen: 
Im privaten Fall ein leergeräumtes Kreditkartenkonto. Im Unternehmenskontext kann ein einziger Klick Zugangsdaten zu geschäftskritischen Systemen preisgeben — mit Folgeschäden, die weit über den ursprünglichen Phishing-Angriff hinausgehen.

Was es gebraucht hätte: 
Technisch: E-Mail- und SMS-Filter, die bekannte Phishing-Muster erkennen. 
Organisatorisch: regelmäßige Awareness-Schulungen mit realistischen Beispielen — denn Phishing lässt sich nur begrenzt durch Technik abfangen. Der wichtigste Schutz bleibt ein geschultes Auge.

Ransomware verschlüsselt Unternehmensdaten und fordert Lösegeld — und der Einstieg ist oft erschreckend banal. Eine E-Mail an die Personalabteilung: „Bewerbung als Senior Manager – Max Mustermann". Im Anhang eine Datei: Lebenslauf.pdf.exe. Windows blendet die Endung .exe standardmäßig aus — zu sehen ist nur ein scheinbar harmloses PDF. Ein Doppelklick, nichts passiert. „Datei kaputt", denkt man, und arbeitet weiter. Im Hintergrund werden bereits alle erreichbaren Firmendaten verschlüsselt. Eine Stunde später erscheint die Lösegeldforderung auf allen Bildschirmen.

Warum es funktioniert: 
Das Öffnen von Bewerbungsunterlagen gehört in der Personalabteilung zum Tagesgeschäft. Genau das macht diesen Angriffsweg so effektiv — die betroffene Person tut nichts Ungewöhnliches. Die Wachsamkeit ist bei Routineaufgaben naturgemäß niedrig.

Die Folgen: 
Verschlüsselte Systeme, Betriebsstillstand, oft über Tage oder Wochen. Dazu die Entscheidung: Lösegeld zahlen ohne Garantie auf Entschlüsselung — oder alles neu aufbauen. In beiden Fällen bewegt sich der Schaden schnell im sechs- bis siebenstelligen Bereich. Hinzu kommen meldepflichtige Datenschutzverstöße, wenn personenbezogene Daten betroffen sind.

Was es gebraucht hätte: 
Technisch: E-Mail-Gateway mit Anhangsprüfung, Ausführungsschutz für unbekannte Dateitypen und sichtbare Dateiendungen als Gruppenrichtlinie.
Organisatorisch: ein klarer Prozess für den Umgang mit Bewerbungen — idealerweise über ein separates Portal statt per E-Mail-Anhang.

Beim Spoofing wird eine Identität vorgetäuscht — eine E-Mail-Adresse, eine IP oder eine Telefonnummer. Das Telefon klingelt, im Display erscheint die interne Nummer der IT-Abteilung. Ein freundlicher Kollege meldet sich: „Wir sehen einen ungewöhnlichen Login-Versuch auf Ihrem Account. Wir müssen kurz Ihr Passwort zurücksetzen — ich schicke Ihnen einen Bestätigungscode per SMS, können Sie mir den eben durchgeben?" Die Nummer stimmt, die Situation klingt plausibel, der Code wird vorgelesen. In diesem Moment autorisiert das Opfer den Angreifer, das Passwort zu ändern und die Zwei-Faktor-Authentifizierung zu übernehmen.

Warum es funktioniert: 
Telefonnummern im Display lassen sich mit einfachen Mitteln fälschen. Das Vertrauen in die technische Anzeige überwiegt fast immer das Bauchgefühl. Und ein Anruf erzeugt Handlungsdruck — anders als bei einer E-Mail bleibt kaum Zeit zum Nachdenken.

Die Folgen: 
Der Angreifer hat vollständigen Zugriff auf den Account — inklusive E-Mails, Cloud-Speicher und angebundene Systeme. Die Zwei-Faktor-Authentifizierung, die genau das verhindern sollte, wurde vom Opfer selbst ausgehebelt. Oft fällt der Zugriff erst auf, wenn bereits Daten abgeflossen oder Aktionen im Namen des Mitarbeiters durchgeführt wurden.

Was es gebraucht hätte: 
Eine klare interne Regel: Die IT-Abteilung fragt niemals telefonisch nach Passwörtern oder Bestätigungscodes. Wenn diese Regel bekannt ist, wird jeder solche Anruf sofort zum Warnsignal — unabhängig davon, welche Nummer im Display steht.