Angenommen jemand steckt einen fremden Haustürschlüssel in Ihren Briefkasten mit dem Hinweis: „Ich weiß, wo er passt – zahl, sonst kommt bald Besuch.“ Genau dieses Geschäftsmodell hat sich im Internet etabliert. Kriminelle kaufen und verkaufen Zugänge zu Firmen‑IT wie billige Wohnungsschlüssel. Der Preis liegt meist gerade einmal zwischen 500 und 2.000 US‑Dollar – unabhängig davon, ob hinter der Tür Goldbarren, Kundenlisten oder nur Aktenordner warten. Schon dieser niedrige Einkaufswert macht jede Organisation interessant.
In den vergangenen Tagen sahen wir, wie sich dieser Mechanismus in Echtzeit auswirkt. Beim Autovermieter Hertz erbeuteten Hacker über Sicherheitslücken bei einem Zulieferer (Cleo) Namen, Kreditkartendaten und Führerscheinnummern von Kunden. Hertz selbst war technisch gar nicht kompromittiert – doch der Dienstleister hielt den „Haustürschlüssel“ zum Datentresor. Wenige Tage vorher stopfte Microsoft eine Lücke, über die Angreifer sich in Windows binnen Sekunden als Administrator anmelden konnten; allein eine veraltete Firmen‑Laptopversion hätte gereicht, um Erpressersoftware einzuschleusen. Fast parallel veröffentlichte Apple ein Notfall‑Update, weil zwei bislang unbekannte Fehler auf iPhones und Macs gezielt von Profis ausgenutzt wurden.
Diese drei Beispiele haben eine Gemeinsamkeit: Für den ersten Schritt genügte jeweils ein einzelner, frisch entdeckter Zugang. Danach greifen ausgereifte Banden zu, die arbeitsteilig wie Start‑ups vorgehen. Chat‑Protokolle der Ransomware‑Gruppe Black Basta zeigen Bonuszahlungen für Zugangslieferanten und klare Zeitziele: Von „Tür auf“ bis „alles verschlüsselt“ sollen höchstens 48 Stunden vergehen. Für Verteidiger wird das Zeitfenster sogar noch enger. Laut dem „Crowdstrike Global Threat Report 2025“ lag die schnellste nachgewiesene Ausbreitung innerhalb eines Firmennetzes bei nur 51 Sekunden; 79 Prozent der Angriffe kamen ganz ohne Schadsoftware aus, einzig über gültige, gestohlene Passwörter und Benutzernamen.
Damit rückt ein zweiter Irrtum ins Licht: „Wir patchen doch monatlich, das reicht.“ Tut es nicht. Wenn die Einbrecher bereits auf dem Flur stehen, zählt jede Minute. Seit dem 17. Januar 2025 verschärft zudem das EU‑Regelwerk „Dora“ die Anforderungen – besonders für Banken, Versicherer und andere Finanzhäuser. Es verlangt lückenlose Listen aller IT‑Dienstleister, regelmäßige Stresstests und vor allem kurze Reaktionszeiten auf Schwachstellen.
Was also tun, wenn ein einziger Schlüssel so gefährlich ist? Vier pragmatische Ansätze helfen.
Täglich aktualisieren statt monatlich warten: Vor allem kritische Sicherheitsupdates automatisch nachts einspielen. Aktivieren Sie diese Funktion überall – Computer, Handys, Router, Dienste: Patchmanagement sollte jeder CEO bereits gehört haben. Wer innerhalb von 24 Stunden nach Bekanntwerden einer Schwachstelle dichtmacht, lässt Erpresser oft ins Leere laufen.
Lieferanten wie Kollegen behandeln: Fragen Sie Ihren Cloud‑Anbieter oder die externe Buchhaltung nicht nur nach ISO‑Zertifikaten, sondern nach konkreten Kennzahlen: Wie schnell spielen Sie Sicherheitsupdates ein? Wie trennen Sie Ihr Netz von meinem? Hinterlegen Sie vertragliche Sanktionen.
Zugänge doppelt verriegeln „2FA“: Eine zweite Bestätigung per App oder Hardware‑Token (Mehrfaktorauthentifizierung) macht gestohlene Passwörter wertlos. Mindestens 2FA sollte in jedem Unternehmen infrastrukturweit Standard sein.
Sichtbarkeit schaffen: Selbst das beste Schloss hilft wenig, wenn niemand merkt, dass es knackte. Setzen Sie auf Systeme, die ungewöhnliche Anmeldungen sofort melden – Honeypot-Frühwarnsysteme reagieren auch auf Verbreitung von Angreifern im Netz, die kein Virusverhalten darstellen, genauso greifen Angreifer an. Bislang erfolgreich. Legen Sie klar fest, wer nachts reagiert und welche Geräte im Zweifel sofort isoliert werden. Zielgröße aus meiner Praxis: verdächtige Aktivitäten innerhalb von zehn Minuten erkennen und eindämmen.
Diese Maßnahmen klingen unspektakulär, doch sie drehen das Angreifer‑Kalkül um. Ein Krimineller, der 2.000 Dollar für einen Zugang zahlt, kalkuliert mit vielen schnellen Erfolgen. Wenn Ihr Unternehmen nach einem Alarm binnen Minuten Passwörter ändert, Netze trennt und Lieferanten informiert, wird der Schlüssel unbrauchbar, bevor er eingesetzt wird.
All das erfordert keine Expertenausbildung, sondern vor allem Organisation und Konsequenz. Erinnern Sie Ihr Team an schnelle, automatische Notfall-Updates, schaffen Sie klare Prozesse für Notfälle und reden Sie mit Ihren Dienstleistern, als hielten sie den Ersatzschlüssel für Ihr Büro. Denn im Cyberuntergrund wartet längst jemand, der ihn kaufen will – es liegt an Ihnen, ob die Tür danach noch aufgeht.
Thilo Noack ist seit über 25 Jahren im Bereich Datenschutz sowie der IT- und Informationssicherheit tätig. Im Rahmen seiner beratenden Tätigkeit betreut er international mehr als 250 Unternehmen und Konzerne aus verschiedensten Branchen. Seine Arbeit konzentriert sich auf die praxisnahe Umsetzung gesetzlicher Anforderungen, den Aufbau von Managementsystemen sowie die Begleitung komplexer IT- und Compliance-Projekte. (www.linkedin.com/in/datenschutzbeauftragter)
