Folge 1 – E-Mail gehackt?

Intro: „Escape“ der Cyberkrimi-Podcast zur Informationssicherheit.

Sarah: Post von der Uni? Sehr geehrte Frau Schneider-Mirek, leider müssen wir ihnen mitteilen, dass Sie die Prüfung nicht bestanden haben. Wiederholter Betrugsversuch. Exmatrikuliert? Ach, das darf doch nicht wahr sein!

Sarah: Scheiße! Was mache ich denn jetzt? Das wirst du mir büßen, Professor. Damit kommst du nicht davon. Jetzt kannst du dich auf was gefasst machen.

Leonie: Oh Mann, ich freue mich ja wirklich auf meinen Doktortitel. Aber der Weg dorthin ist doch irgendwie recht steinig.

Tom: Läuft nicht so gut mit der Diss?

Leonie: Nee, ich komme nicht so richtig weiter. Aber das ist wohl das Los der wissenschaftlichen Mitarbeitenden. Studis first und dann die eigene Arbeit. Ja, ich muss heute erst mal noch die Begleitübung für die Vorlesung fertig machen. Hä? Tom, hast du die Mail gesehen?

Tom: Nee, warte. Die von Professor Milan? Das ist ja seltsam. Warum sagt er denn so kurzfristig die Vorlesung ab? Eine Stunde vorher und ohne Begründung?

Leonie: Ja, vor allem habe ich gestern noch ewig an den Folien dafür gesessen, weil er noch was geändert haben wollte. Und wie gesagt, ich bereite gerade die Begleitübungen vor. Finde ich jetzt schon irgendwie ein bisschen blöd.

Tom: Vielleicht ist er auch einfach total gestresst und hat das spontan entschieden. Das Forschungsprojekt läuft jetzt bald aus und da hängen wir deutlich hinter dem Zeitplan. Langsam ist da richtig Druck auf dem Kessel und den Folgeantrag haben wir auch noch nicht gestellt.

Leonie: Krass, das wusste ich gar nicht, dass ihr da so im Stress seid. Oder er ist gehackt worden.

Tom: Ja, genau. Habe ich da nicht noch letztens einen Zettel mit Password an seinem Monitor kleben sehen?

Leonie: Oh Gott, hör bloß auf! Er hat bestimmt „Passwort“ als Passwort genommen, weil er meint, dass ist so schlecht, das traut ihm keiner zu. Und damit ist es wieder super safe, verstehste?

Tom: Ja, nee, ist klar. Dein Passwort ist bestimmt „12345“.

Leonie: Nee, ich habe „12345!“, damit ein Sonderzeichen drin vorkommt.

Tom: Ich bitte dich, das müsstest du doch besser wissen. Ein einziges Sonderzeichen. Lächerlich. Okay, pass auf. Ich denke mir immer einen Satz aus. Dann nehme ich nur die ersten Buchstaben jedes Wortes und lasse Zahlen und Satzzeichen, so wie sie sind. Oder ich schaue, dass noch Zeichen, wie zum Beispiel ein Dollarzeichen, drin sind.

Leonie: Wie wäre es mit „Es ist seltsam, dass der Professor seine Vorlesung um 11:00 abgesagt hat. Punkt. Lass uns mal rübergehen und nachfragen. Punkt.“

Tom: Okay. Ausrufezeichen.

Professor: Ja?

Leonie: Guten Morgen. Wir wollten nur mal nachfragen, warum Sie die Vorlesung so spontan abgesagt haben. Gibt es irgendwie Stress? Können wir helfen?

Professor: Wie abgesagt? Wer?

Tom: Sie haben doch eben eine Email geschickt. Die Vorlesung um 11:00 ist abgesagt.

Professor: Nein, habe ich nicht. Kommt doch mal her und schaut selbst. Hier meine gesendeten Emails. Moment. Was ist das denn?

Leonie: Die Email mit der Absage.

Professor: Ja, aber die habe ich nicht abgeschickt.

Professor: Was zum…?

Tom: Okay. Hat jemand Zugriff auf ihr Mailkonto oder könnte Ihr Passwort wissen?

Professor: Nein, ganz sicher nicht. Ich hänge das doch nicht an einen Post-It an meinem Monitor. Meine Passwörter sind alle in einem Passwort Manager.

Leonie: Vielleicht mal in der Bahn eingegeben und jemand hat über die Schulter geguckt?

Professor: Nein. Darauf achte ich. Und ich habe es heute früh noch geändert.

Tom: Aber wenn Sie die Mail nicht geschickt haben, dann muss ja jemand Ihr Passwort kennen. Moment, warum haben Sie denn Ihr Passwort heute Morgen geändert?

Professor: Wir sollen doch ab sofort alle drei Monate ganz offiziell unsere Uni-ID Passwörter ändern. Da kam doch heute Morgen schon ganz früh eine Aufforderung der Universitäts - IT.

Leonie: Wir haben nichts bekommen. Zeigen Sie mir mal.

Professor: Hier, mit offiziellem Absender. Aber jetzt, wo Sie es sagen: Der Link scheint mir verdächtig lang. Moment. Der führt ja auch gar nicht zur Uni Website.

Tom: Spare-Fishing!

Tom: Aber echt gut gemacht.

Professor: Verdammt. Wieso falle ausgerechnet ich auf so was herein? Das liegt nur am Stress mit unserem Forschungsprojekt.

Leonie: Okay, dann sollten wir jetzt schleunigst mal unseren Support anrufen und den Vorfall besprechen.

Professor: Ja, ich rufe den Support an! Dass mir das passiert ist. Ja. Albert Milan, hier. Ich habe ein Problem. Spear Fishing. Ich bräuchte mal ganz dringend jemanden hier in meinem Büro. Ja, in B6. Danke. Es kommt sofort jemand vom Vor Ort-Support.

Tom: Aber die Mail war wirklich gut gemacht. Im Stress wäre da jeder drauf reingefallen.

Professor: Danke. Aber ja, das Forschungsprojekt sitzt mir wirklich im Nacken. Lassen Sie uns später auf jeden Fall noch über den neuen Drittmittelantrag sprechen.

IT-Mensch: Guten Morgen. Wir haben glaube ich gerade telefoniert, oder? Dürfte ich mal an Ihren Laptop?

Professor: Ah. Das ging ja schnell. Ja, sehr gerne. Hier. Diese Mail habe ich heute Morgen bekommen und angeklickt.

IT-Mensch: Ja. Das ist ein Prachtexemplar von Spear Fishing. Schauen Sie mal, der Absender ist sehr authentisch auf den ersten Blick nicht von uns, also der echten Universitäts-IT, zu unterscheiden. Erst wenn Sie in der Email auf die komplette Adresse schauen, sehen Sie es. Hier. Der Angreifer hat das „n“ in Uni durch ein „m“ ersetzt. Also statt „uni-mannheim.de“ steht hier “umi-mannheim.de“. Auf den ersten Blick ist das nicht immer sofort erkennbar.

Professor: Stimmt, das habe ich im Stress nicht überprüft und die Anrede war auch persönlich.

IT-Mensch: Ja, ich würde sagen, da kennt sich jemand aus und wollte sie wirklich gezielt treffen. Das ist auch leider typisch für Spear Fishing, so eine persönliche Anrede zu nehmen. Aber auch die Betreffzeile ist vernünftig. Es gibt keine Rechtschreibfehler und so weiter.

Leonie: Wir haben schon gesehen, dass der Link auch etwas verdächtig ist und nicht auf den Uni Server führt.

IT-Mensch: Ja, das ist ein guter Hinweis. Wenn man mit der Maus drüber fährt, sieht man das. Aber nicht klicken, nur drüberfahren. Aber wenn man in Eile ist, kann das im Detail schon untergehen. Hier weiß jemand ganz genau, was er tut und dieser jemand kennt sich auch relativ gut mit den Uni-Prozessen aus, würde ich sagen. Sie sollten Ihr Passwort über unsere Passwort Website umgehend ändern, damit der Angreifer oder die Angreiferin keinen Zugriff mehr auf Ihr Konto hat. Um sicher zu gehen, dass keine Schadsoftware auf Ihrem Gerät ist, starten wir jetzt noch schnell einen Virenscan und sobald der durch ist, können wir dann auch noch mal das Ergebnis besprechen.

Professor: Okay, vielen Dank für Ihre schnelle Hilfe und dass Sie extra gekommen sind. Das werde ich sofort tun.

IT-Mensch: Ja, gern geschehen. Dafür sind wir da.

Professor: Dann sehe ich nach, ob vielleicht doch jemand zur Vorlesung erscheint. Vielleicht haben nicht alle die Email gesehen. Und Sie beide: Danke für Ihre Hilfe. Wer weiß, was noch passiert wäre, wenn Sie mir nicht sofort Bescheid gesagt hätten.

Leonie: Kein Problem. Das haben wir gern gemacht. Viel Erfolg bei der Vorlesung nachher.

Tom: Ich mach dann auch mal mit unserem Forschungsprojekt weiter.

Sarah: Wenn du glaubst, dass das alles war, dann bist du echt naiv. Jetzt geht es erst richtig los. Du wirst du noch wünschen, dich anders entschieden zu haben.

Outro: Escape der Cyberkrimi-Podcast zur Informationssicherheit.