Cyberangriff auf die Lohnabrechnung

Heute reden wir über Cyberangriffe auf die Lohnabrechnung. Deses Thema blenden viele gerne aus, obwohl es ziemlich brisant ist. Es klingt auf den ersten Blick ein bisschen nach Hollywood, ist aber harte Realität in deutschen Unternehmen. Was tun wir eigentlich, wenn plötzlich alle Abrechnungen verschwunden sind oder wenn Gehaltsdaten im Darknet auftauchen?

Genau deshalb haben wir mit David Schramm gesprochen. Er ist IT-Sicherheitsexperte mit viel Erfahrung in echten Krisenlagen. Er erklärt uns, warum die Payroll ein Lieblingsziel von Cyberkriminellen ist – und wie Unternehmen und Steuerberaterkanzleien diesen Gefahren wirkungsvoll begegnen können.

David, warum ist ausgerechnet die Lohnabrechnung so attraktiv für Cyberkriminelle?

Die Antwort ist hart, aber einfach. In der Payroll liegen die sensibelsten Daten überhaupt. Mit Gehältern, Kontodaten und vielen weiteren persönlichen Infos lässt sich jede Menge Schaden anrichten. Wer sich Zugriff darauf verschafft, kann erpressen, Identitäten klauen, Mandanten täuschen oder sogar Geldkonten manipulieren.

Die Payroll ist wie ein Generalschlüssel. Viele Unternehmen, Kanzleien oder Lohnbüros haben keine Ahnung, wie wertvoll diese Daten sind. Und leider wird es kriminellen Profis oftmals allzu einfach gemacht, diese sensiblen Daten abzugreifen.

Was macht die Branche denn in der Praxis so angreifbar?

Viele hängen irgendwo zwischen analog und digital fest. Auf der einen Seite arbeiten sie mit modernen Cloud-Lösungen, gleichzeitig kommen dann aber PDF-Belege per Mail rein. Manches läuft über sichere Portale, anderes völlig ungeschützt auf dem lokalen Rechner.

Die Technik ist im Prinzip oft sicher. Die größte Schwachstelle ist der Mensch und genau da setzen moderne Angriffe an. Phishing-Mails sind heute so gut gemacht, dass selbst geschulte Mitarbeiter keinen Unterschied mehr zu seriösen Mails von Mitarbeitern oder Mandanten merken. Keine Tippfehler, kein komischer Ton. Und dann kommen noch so genannte „Deepfakes“ dazu, also zum Beispiel Fälschungen von Gesichtern oder Stimmen von Personen, die täuschend echt wirken.

Das klingt ziemlich beängstigend. Muss man eigentlich ein echter IT-Profi sein, um so einen Angriff durchzuziehen?

Im Gegenteil! Cyberkriminalität ist längst ein Businessmodell. Es gibt Erpressungs-Software quasi im Baukastensystem mit Anleitung, Support und sogar Erfolgsbeteiligung. Die Übeltäter brauchen keine tiefen IT-Kenntnisse mehr, KI schreibt täuschend echte Mails. Und wenn Kriminelle einmal an Daten wie Telefonnummern oder E-Mail-Adressen aus der Lohnabrechnung gekommen sind, können sie daraus Dutzende weitere Angriffe starten oder die Daten verkaufen.

Aber schützt Sicherheitssoftware da nicht ausreichend?

Das Ganze ist immer ein Katz- und Mausspiel mit den bösartigen Hackern. Die Antivirenhersteller müssen permanent neue Angriffe oder Varianten von Attacken erkennen können und aufrüsten. Sie hinken dem Angreifer meistens hinterher. Außerdem hilft auch das beste Programm nichts, wenn die Daten exportiert oder lokal gespeichert werden. Das ist wie mit einem Tresor. Der kann noch so sicher sein, ist aber völlig nutzlos, wenn der Schlüssel schön sichtbar darauf liegt. Die Schwachstellen liegen im Alltag, dort werden Zeitdruck oder Unwissenheit zur Gefahr.

Hast du ein konkretes Beispiel für so einen Angriff?

Ein Fall vom letzten Jahr war besonders heftig: Ein externer IT-Dienstleister wurde gehackt und die Angreifer hatten damit Zugriff auf die Lohnsoftware eines mittelständischen Unternehmens. In der Folge war die komplette Abrechnung lahmgelegt, alle Daten wurden verschlüsselt, nichts ging mehr. Das Unternehmen selbst war eigentlich gut geschützt, aber der Angriff kam über die Dienstleisterkette. Es reicht also nicht, nur auf sich selbst zu achten. Man muss auch wissen, wie sicher die Partner unterwegs sind.

Was sind aus deiner Sicht aktuell die größten Bedrohungen?

Ganz oben steht Ransomware. Diese Angriffe zielen darauf ab, Systeme zu verschlüsseln und Lösegeld zu erpressen. Besonders gefährlich sind Varianten mit sogenannter „Double Extortion“: Dabei werden nicht nur Daten verschlüsselt, sondern zusätzlich vertrauliche Informationen kopiert und mit einer Veröffentlichung gedroht.

Eine zweite große Gefahr sind sogenannte „Credential Stealer“. Das sind Schadprogramme, die auf den Rechnern gespeicherte Zugangsdaten auslesen wie beispielsweise Passwörter, Zertifikate oder Cookies. Damit können Angreifer unbemerkt in Systeme eindringen und sich dort dauerhaft festsetzen.

Zunehmend gefährlich sind auch Angriffe über die sogenannte Lieferkette, also über externe Dienstleister oder Software-Komponenten. Viele Unternehmen nutzen heute Programme oder Module, die von Dritten stammen. Wenn einer dieser Anbieter oder eine eingebundene Bibliothek manipuliert wird, kann Schadcode über diesen Weg unbemerkt in die eigene Umgebung gelangen. Solche „Supply-Chain-Angriffe“ sind besonders tückisch, weil sie selbst gut geschützte Systeme über vertrauenswürdige Quellen treffen können.

Und schließlich spielt auch Künstliche Intelligenz eine immer größere Rolle. KI-Tools ermöglichen es selbst weniger erfahrenen Tätern, eigene Schadsoftware zu entwickeln oder täuschend echte Phishing-Mails zu erstellen. Dadurch wird Cyberkriminalität insgesamt professioneller, schneller und für viele deutlich einfacher zugänglich.

Und wenn es wirklich zum Datenverlust kommt, was kann man dann machen?

Im schlimmsten Fall ist das Vertrauen der Mitarbeiter, Kunden bzw. Mandanten futsch – und das wiegt meist schwerer als jeder technische Schaden. Viele versuchen den Vorfall kleinzureden oder zu verschweigen, aber das geht fast immer nach hinten los. Dazu kommen hohe Kosten für Wiederherstellung, mögliche Bußgelder und manchmal sogar Lösegeldforderungen.

Noch gravierender wird es, wenn Daten nicht nur verschlüsselt, sondern auch exfiltriert und dann veröffentlicht werden, das ist leider inzwischen fast schon Standard. Dann helfen auch die besten Sicherungskopien nichts mehr.

Wie können sich Unternehmen, Payroll-Teams und Steuerkanzleien schützen, am besten präventiv?

Da gibt es aus meiner Sicht drei goldene Empfehlungen:

Erstens: Schulungen für alle, wirklich alle Beschäftigten. Jeder muss wissen, wie Phishing aussieht und was man im Zweifel tun sollte.

Zweitens: Prozesse prüfen. Wo liegen die Daten? Wie werden sie übertragen? Gibt es eine saubere Trennung zwischen sensiblen Infos und anderen Bereichen?

Drittens: Einen klaren Notfallplan. Wer ruft wen an, wenn etwas passiert? Welche Systeme müssen zuerst heruntergefahren werden? Wer ist wofür verantwortlich? Diese Fragen müssen vorher beantwortet sein – nicht erst, wenn’s brennt.

Und was sagst du denen, die denken: Uns passiert sowas eh nicht?

Das sagen alle, bis es sie trifft. Ich sage dann oft: Speichert einfach meine Nummer. Vielleicht braucht ihr sie nie. Aber wenn doch, zählt jede Sekunde. Und glaubt mir: Kein System ist zu klein oder zu unwichtig, um Ziel solcher Angriffe zu werden. Das erlebe ich leider immer und immer wieder.

Wer ist David Schramm?

David Schramm ist Gründer und Geschäftsführer von Zero-X-Data, einem auf Cyberabwehr spezialisierten IT-Sicherheitsunternehmen. Sein Fokus liegt auf besonders sensiblen Bereichen wie Payroll, Steuerberatung und HR. David Schramm nutzt keine Standardchecklisten, sondern kreative, oft unkonventionelle Methoden. Er testet Systeme so, wie echte Angreifer es tun würden. Neben seiner technischen Expertise legt er großen Wert auf Awareness und Schulung in Unternehmen.

Homepage: https://0xda7a.com/de/

LinkedIn: https://www.linkedin.com/in/daschr/