Aus Fake Cybersecurity-Firma wird eine echte Cyberbedrohung

Von Javvad Malik, Lead Security Awareness Advocate bei KnowBe4

Immer öfter tauchen auf Plattformen wie LinkedIn angebliche Cybersecurity-Unternehmen auf, die mit attraktiven Stellenangeboten um Fachkräfte werben. Doch hinter der glänzenden Fassade verbirgt sich manchmal etwas ganz anderes – wie im Fall von Bastion Secure. Was wie ein vielversprechender Arbeitgeber aussah, entpuppte sich als raffinierte Tarnung für das berüchtigte Cybercrime-Kollektiv FIN7.

Bereits 2021 lockte „Bastion Secure“ mit Remote-Jobs, guter Bezahlung und spannenden Projekten. Was Bewerber nicht ahnten: Sie wurden rekrutiert, um ungewollt bei kriminellen Angriffen mitzuarbeiten. Die Firma war frei erfunden – doch sie wirkte echt. Website, LinkedIn-Profile, Vorstellungsgespräche, Schulungsunterlagen, sogar NDAs: alles schien professionell.

Der Trick war perfide: Die vermeintlichen „Mitarbeitenden“ glaubten, Penetrationstests durchzuführen – dabei kartierten sie in Wahrheit Netzwerke, suchten nach Schwachstellen und halfen bei der Verbreitung von Schadsoftware. Das Ganze war so gut inszeniert, dass selbst erfahrene Sicherheitsprofis keinen Verdacht schöpften.

Die Folgen waren enorm:

• 6.500 kompromittierte Kassensysteme
• Über 100 Millionen gestohlene Kreditkartendaten
• Ein geschätzter Schaden von über einer Milliarde US-Dollar
• Betroffene in 47 US-Bundesstaaten und zahlreichen weiteren Ländern

Was wir aus diesem Fall lernen können:

1. Ein professioneller Auftritt ist keine Garantie für Seriosität. Eine schicke Website und der souveräne Umgang mit Fachbegriffen können heute genauso gut Teil eines Täuschungsmanövers sein wie ein echter Qualitätsbeweis.
2. Sicherheitswissen kann missbraucht werden. Die Tools, Dokumentationen und Methoden, die in der Branche zum Alltag gehören, wurden hier gezielt gegen die eigene Community eingesetzt.
3. Menschen bleiben die größte Stärke – und Schwachstelle. Auch erfahrene Profis sind nicht unfehlbar. Gerade wenn ein Angebot vertrauenswürdig wirkt und alles „richtig“ gemacht scheint, ist die Versuchung groß.

Fazit:

Der Fall Bastion Secure ist ein Weckruf. FIN7 hat nicht nur IT-Systeme ausgenutzt, sondern das tief verwurzelte Vertrauen innerhalb unserer Branche. Und solche Fake-Unternehmen gibt es nicht nur einmal. Deshalb gilt: wachsam bleiben, Erfahrungen teilen, Netzwerke nutzen – und zweifelhafte Jobangebote melden. Denn wer Sicherheit ernst nimmt, schützt nicht nur Systeme, sondern auch Menschen.