Folge 4 – Tatort Büro

Intro: „Escape“ Der Cyberkrimi-Podcast zur Informationssicherheit

Sarah: Die Würfel sind gefallen, heute ist es Zeit für meinen finalen Schachzug! Das wird dir gar nicht gefallen, mein lieber Professor. Such dir schonmal eine Ecke, in die du dich verkriechen kannst! Dann bist du Schach Matt.

Leonie: Was war das gestern bitte für ein Tag? Erst dein Verschlüsselungstrojaner, dann dieser ominöse LinkedIn-Post von Professor Milan und mindestens 15 Anrufe von irgendwelchen Journalistinnen und Journalisten deswegen!

Tom: Ja, sowas habe ich auch noch nicht erlebt! Zum Glück hat die Pressestelle gut reagiert. Aber ein bisschen was bleibt sicher hängen. Es kommt halt gar nicht gut an, wenn ein Professor gehackt wird.

Leonie: Ja, der Arme. In seiner Haut möchte ich echt nicht stecken. Heute ist ja auch sein wichtiger Vortrag bei der jährlichen Fachgebietskonferenz mit den anderen Professorinnen und Professoren.

Leonie: Ah, guten Morgen Professor Milan. Wir haben gerade von Ihnen gesprochen. Müssen Sie nicht längst los?

Professor: Guten Morgen. Ja, ich bin etwas spät dran, aber ich musste noch meinen Laptop bei unserem Support hier im Haus abholen. Die haben einen Keylogger darauf gefunden. So konnte jemand mein LinkedIn-Passwort abgreifen und in meinem Namen Mails verschicken.

Tom: Oh, Mist. Da hat es wirklich jemand auf Sie abgesehen.

Professor: Ja, anscheinend. Wenn ich bloß wüsste, wer. Mir fällt niemand ein. Jedenfalls wollte ich nur kurz nochmal Danke sagen für Ihre Unterstützung gestern und den Hinweis, meinen Rechner vom Support untersuchen zu lassen. Wer weiß, was sonst noch passiert wäre …

Leonie: Gern geschehen.

Professor: Herr Giese, wir sprechen später oder morgen noch einmal wegen der Forschungsdaten. Sie müssen ja auch wieder darauf zugreifen können. Noch liegt die Festplatte allerdings verschlossen und mit Cryptomator verschlüsselt im Schrank im Sekretariat. Ich habe Frau Wörster gebeten, besonders wachsam zu sein.

Tom: Das ist wahrscheinlich eine gute Idee.

Professor: So, jetzt muss ich aber los.

Leonie: Viel Erfolg beim Vortrag!

Professor: Danke, bis später.

Tom: Ich glaube, dann gehe ich mal bei der Universitäts-IT vorbei. Mein Laptop müsste ja neu aufgesetzt sein.

Leonie: Ich komme mit. Lass uns auf einen Weg noch im Sekretariat vorbei und mal hören, wie es Frau Wörster gestern so ergangen ist.

Tom: Ok, dann mal los.

Leonie: Guten Morgen, Frau Wörster.

Sekretärin: Oh, hallo zusammen.

Tom: Hallo, wir wollten mal hören, wie es Ihnen geht. Das war ja ganz schön aufwühlend alles gestern.

Sekretärin: Hört bloß auf! Der blanke Horror. Ein Anruf nach dem nächsten …

Leonie: Professor Milan hat gesagt, unser Support hat einen Keylogger auf seinem Rechner gefunden. Die zeichnen jeden Tastenanschlag auf und senden alles an den Hacker oder die Hackerin. So konnte sich jemand in seinem Namen einloggen und bei LinkedIn posten.

Sekretärin: Ja, hat er erzählt. Wenn wir nur wüssten, wer das war.

Tom: Es müsste ja jemand an seinen Rechner gekommen sein. Auf eine Phishingmail ist er nach den Erfahrungen beim ersten Angriff sicher nicht mehr reingefallen.

Sekretärin: Nein, mit Sicherheit nicht. Apropos: Ich habe gestern dazu noch mit einer Kollegin aus dem Informationssicherheitsteam der Uni telefoniert. Wir haben für den ganzen Lehrstuhl eine Anti-Phishing-Schulung organisiert. Die Mail kommt später noch, tragen Sie es sich bitte in den Kalender ein.

Leonie: Super Idee!

Tom: Ja, finde ich auch. Eine Auffrischung schadet nie. Die Methoden entwickeln sich ja auch immer weiter.

Sekretärin: Genau deshalb. So, aber zurück zum Thema. Wer ist an Professor Milans Rechner gekommen? Also, seine Tür ist in der Regel abgeschlossen. Wer zu ihm möchte, muss an mir vorbei. Und er nimmt seinen Laptop ja auch immer mit, wenn er unterrichtet.

Leonie: Und es war wirklich niemand da? Irgendwelche Studis, die ihm eine Hausarbeit auf den Schreibtisch legen wollten? Ein Handwerker? Irgendwie sowas …?

Sekretärin: Nein niemand … Hmmm.

Sekretärin: Apropos. Ich prüfe lieber nochmal, ob der Schrank mit der Festplatte abgeschlossen ist.

Sekretärin: Aaah, nein! Mist!

Leonie: Oh nein, Frau Wörster, alles ok?!

Sekretärin: Ja, alles okay. Oh man, die schönen Pralinen! Da bin ich wohl irgendwo hängengeblieben und hab sie runtergeworfen. Die Packung ist aufgegangen und alle sind rausgefallen.

Tom: Wir helfen Ihnen schnell beim Aufsammeln.

Tom: Hmm, die sehen ja echt lecker aus … Aber hier vom Uni-Boden würde ich nichts mehr essen.

Sekretärin: Ja, aber schade ist es um die guten Pralinen, ich hatte erst eine genascht. Die hat mir Professor Milan geschenkt, weil er keine Zartbitterschokolade mag. Er hat sie selbst …

Leonie: Was?

Sekretärin: Das darf doch nicht wahr sein!

Tom: Was??

Sekretärin: Er hat sie selbst geschenkt bekommen. Und zwar von einer Dame, die gestern hier war. Das habe ich total vergessen, weil die so nett war und nur ganz kurz hier.

Tom: Welche Dame?

Sekretärin: Die von der Stadt Mannheim. Da hat Professor Milan doch kürzlich einen Vortrag auf einer Veranstaltung gehalten und sie wollte sich nochmal persönlich bedanken. Das war die Organisatorin.

Leonie: Und die kommt persönlich mit einer Packung Pralinen, unangekündigt, um sich zu bedanken?

Tom: Klingt komisch.

Sekretärin: Das hat sie gesagt. Und sie war ganz adrett angezogen und wirkte so seriös. Sie wollte ihm die Pralinen auf den Schreibtisch stellen und auf ihn warten. Aber dann hatte sie es plötzlich doch ganz eilig, weil ihr Kind krank geworden ist und aus der Kita abgeholt werden sollte. Ich habe mich noch gewundert, weil sie so jung wirkte für einen solchen Posten. Aber das heißt ja heutzutage gar nichts mehr.

Tom: Wie alt war sie denn?

Sekretärin: Ich schätze so Mitte, höchstens Ende 20.

Leonie: Das klingt immer komischer.

Tom: Können wir uns mal in Professor Milans Büro umsehen? Vielleicht finden wir einen Hinweis.

Sekretärin: Ok, ich komme mit.

Leonie: Den Laptop hat er wieder mitgenommen und einen Tower hat er nicht. Aber … HA! Schaut mal hier. In der Dockingstation. Da steckt ein USB-Stick!

Tom: Tatsache.

Sekretärin: Den habe ich hier noch nie gesehen. Der Professor benutzt sowieso ganz selten USB-Sticks.

Leonie: Dann muss der von dieser Dame sein! Ich glaube kaum, dass sie wirklich von der Stadt Mannheim war. Ich wette, das hat sie nur vorgetäuscht, um sich Zugriff auf sein Büro und damit seine Technik zu verschaffen! Ha, ein erster richtiger Hinweis!

Tom: Nicht anfassen, da sind doch sicher Fingerabdrücke drauf!

Leonie: Jetzt übertreib mal nicht, wir sind hier doch nicht bei CSI Mannheim!

Leonie: Frau Wörster, wie sah die Frau denn aus? Haben Sie sie schonmal irgendwo gesehen?

Sekretärin: Also sie kam mir schon irgendwie bekannt vor … Aber ich sehe hier täglich so viele Gesichter. Vielleicht hat sie mich auch einfach an eine Freundin meiner Tochter erinnert.

Tom: Ich schlage vor, dass wir erstmal den IT-Support anrufen und nachfragen, was wir jetzt mit dem Stick machen sollen. Dann wissen wir vielleicht schon mehr.

Leonie: Gute Idee. Ich ruf mal an und mache auf Lautsprecher.

IT-Support: IT-Support, Struck, guten Tag.

Leonie: Hallo, wir haben ein IT-Problem hier. Können sie uns vielleicht weiterhelfen?

IT-Support: Gerne, schießen Sie los.

Leonie: Sie haben doch sicher auch den Wirbel um Professor Milan gestern mitgekriegt.

IT-Support: Ja, das kann man wohl sagen. Da war ein Keylogger auf seinem Rechner.

Leonie: Ja und wir haben vielleicht herausgefunden, woher er kam.

IT-Support: OK?

Leonie: Ja, wir haben in seiner Docking-Station einen USB-Stick gefunden.

Leonie: Wir dachten, Sie könnten mal einen Blick drauf werfen. Vielleicht ist noch was drauf, was uns weiterhilft.

IT-Support: Das können wir hier vor Ort leider nicht. Den müssen die Kollegen drüben in L15 genauer untersuchen. Die haben da eine sogenannte Sandbox. Wissen Sie, was das ist?

Leonie: Klar, das ist eine Art sichere Testumgebung. Ein abgeschotteter Bereich, der nichts nach Außen lässt.

IT-Support: Genau. Sofern ein Keylogger auf dem Stick ist, kommt er in der Regel nicht weit. Aber weil auch so eine Sandbox Programmierfehler haben kann, verwenden wir sie nur auf einem separaten PC, der dafür ausgelegt ist. Dieser Rechner befindet sich nicht in unserem Uni-Netz. Ich gebe den Kollegen in L15 für Sie Bescheid und die melden sich dann bei Ihnen mit einem Termin.

Tom: Danke, aber ich muss da eh heute nochmal hin und meinen Laptop abholen. Dann machen wir uns mal auf den Weg zur Sandbox. Danke und tschüss.

Leonie: Tschüss.

IT-Support: Super, Viel Erfolg.

Tom: Ok, wir sind dann mal weg.

Sekretärin: Viel Erfolg. Ich halte hier die Stellung und lasse garantiert niemanden mehr rein!

Tom: Hallo.

Universitäts-IT: Ach, hallo. Ihr Laptop ist schon fertig.

Tom: Perfekt, danke. Wir haben aber noch ein anderes Anliegen.

Universitäts-IT: Gerne, wie kann ich weiterhelfen?

Leonie: Wir haben hier etwas für Ihre Sandbox.

Universitäts-IT: Oh, jetzt machen Sie mich neugierig. Zeigen Sie mal her, was ist denn das?

Tom: Hier, bitte. Ein USB-Stick, auf dem vermutlich ein Keylogger ist. Können Sie uns helfen und mal draufschauen?

Universitäts-IT: Klar, gerne. Die Dinger sehen ja immer so harmlos aus und können doch so viel Schaden anrichten … hm, ich öffne den am besten mal in der Sandbox.

Universitäts-IT: Also, mal sehen. Was haben wir denn da?

Leonie: Jetzt bin ich echt gespannt.

Universitäts-IT: Tatsache, hier. Da ist ein kleiner fieser Keylogger drauf. Der hat sich aber nicht besonders gut versteckt. Manche Schadsoftware kann sich so gut verstecken, dass man sie in einer Sandbox gar nicht findet. Aber hier war wohl kein Profi am Werk.

Tom: Ist denn sonst noch was drauf?

Universitäts-IT: Auf den ersten Blick nichts. Aber das muss nichts heißen, das haben wir gleich. Gelöscht ist nicht gleich gelöscht, das vergessen die meisten. Mit dem richtigen Tool kommen wir ganz schnell an die Daten, die irgendwann mal auf dem Stick gespeichert waren.

Leonie: Hoffentlich finden Sie was!

Universitäts-IT: Das Programm läuft noch, ein bisschen Geduld müssen wir noch haben. Ah, aber hier kommt schon was. Sieht aus wie ein Screenshot.

Tom: Wovon?

Universitäts-IT: Moment, ich öffne mal die Datei. Scheinbar von der Uniwebsite. Das ist die Ankündigung von Professor Milans Vortrag heute.

Leonie: Was hat das zu bedeuten?

Universitäts-IT: Moment, hier kommt noch mehr rein. Ein PDF. Eine Rechnung, aber irgendwie keine Empfängerdaten.

Tom: Ein Hinweis auf den Vortrag vom Professor und…

Universitäts-IT: Ah, Moment, das Tool findet noch weitere Daten. Ich glaube das sind Vorlesungsfolien. Ein Übungszettel … OK, und was ist das? Eine Übersicht über die Beschäftigten am Lehrstuhl mit deren Anwesenheitszeiten.

Leonie: Da war aber jemand richtig gut informiert.

Universitäts-IT: Ja. So, und hier kommt der letzte Schwung. Ein ganzer Ordner. „Bewerbung“ heißt der, aha. Inklusive Fotos, Lebenslauf und Anschreiben.

Leonie: Können Sie diese Dateien öffnen? Da müsste ja ein Name stehen!

Universitäts-IT: Ja klar, Moment.

Universitäts-IT: So, hier ist der Lebenslauf. Da haben wir wohl unsere Hackerin – sogar mit Foto.

Leonie: Ach du Scheisse!

Outro: „Escape“ Der Cyberkrimi-Podcast zur Informationssicherheit