Vorsicht Fake-Chefs: Identitätsmissbrauch in der Wirtschaft

Die Cyber-Profis von Cem Karakaya und Tina Groll

Randomhouse

Die Cyber-Profis von Cem Karakaya

Identitätsdiebstahl kommt immer öfter vor. Neben Identitätsmissbrauch, bei dem Betrüger vor allem die Daten von Verbrauchern für Warenkreditbetrug nutzen, gibt es noch viele andere Möglichkeiten, wie man mit gefälschten Identitäten Schaden anrichten kann. Gewiefte Profis halten sich gar nicht erst mit Kleinkram und gewöhnlichen Verbrauchern auf, sondern erpressen gleich Millionen von Unternehmen. Ein Auszug aus dem neuen Buch “Die Cyper-Profis: Lassen Sie Ihre Identität nicht unbeaufsichtigt” von Chefin-Bloggerin Tina Groll und dem Ex-Interpol-Agenten und Cybercrime-Experten Cem Karakaya, das gerade im Ariston-Verlag erschienen ist.

Bereits jede vierte Straftat im Bereich der Wirtschaftskriminalität fällt unter Cybercrime. Das hat eine Studie des Beratungsunternehmen PwC ergebeni. Jährlich soll der finanzielle Schaden durch Datenklau und Manipulation laut Branchenverband Bitkom bei 445 Milliarden US-Dollar liegenii.

Die Kriminellen haben es auf Unternehmen abgesehen, nicht nur um hohe Summen zu erpressen. Sie werden werden auch von der Konkurrenz angeheuert, um Chaos innerhalb einer Firma zu verbreiten oder um Wirtschaftsspionage zu betreiben. Und manchmal spielen auch politische oder terroristische Motive eine Rolle – beispielsweise, wenn die Täter es auf die kritische Infrastruktur abgesehen haben, also Wasserwerke, Stromkonzerne, Atomkraftwerke, Rüstungsbetriebe oder Krankenhäuser angreifen oder militärische Bereiche betroffen sind.

Die Angriffe können sehr unterschiedlich sein. Mal werden Sicherheitskopien und Sicherheitsnetze zerstört, um eine Wiederherstellung von Daten nach einem Angriff zu verhindern und möglichst viel Macht als Erpresser zu haben. Oft machen Unternehmen es den Tätern einfach, weil immer mehr wichtige betriebliche Abläufe outgesourct und online abgewickelt werden. Das geht aus dem Midyear Cybersecurity Report des IT-Unternehmens Cisco hervoriii. Demnach stehen bei den Kriminellen derzeit vier verschiedene Angriffsmethoden hoch im Kursiv: Da wären sogenannte Destruction-of-Service-Attacken (DeOS), bei denen wichtige Backups zerstört werden. Damit das Geschäft weiter laufen kann, müssen die erpressten Firmen dann meist den Forderungen der Täter nachgeben. Beliebt sind zweitens Angriffe mit dateiloser Malware, also einer Software, die nicht auf der Festplatte sondern nur in einem flüchtigen Speicher vorhanden und damit schwer zu entdecken ist. Gerade der Mittelstand ist so einem Angriff oft hilflos ausgeliefert, denn kleine und mittlere Unternehmen haben nicht so viele Mittel, um in sehr spezielle IT-Sicherheit zu investieren. Drittens nutzen die Täter gern sogenannte Ransomware-as-a-Service-Angriffev. Früher mussten die Kriminellen ihre Erpressungssoftware nämlich noch selber schreiben und in die Systeme ihrer Opfer einschleusen. Heute gibt es die sogenannten As-a-Service-Modelle, bei denen die Täter sich das Meiste einfach als Dienstleistung bei entsprechend spezialisierten und ebenfalls kriminellen Anbietern einkaufen. Ihnen muss man vielleicht noch ein paar Mailadressen beisteuern, schon führt der Anbieter den eigentlichen Angriff aus und bekommt dafür einen bestimmten Prozent des Lösegelds als Gebühr. Beliebt sind viertens auch sogenannte Business-E-Mail-Compromise-Angriffe (BEC), bei denen die Mitarbeiter dazu angeregt werden, durch meist offiziell aussehende aber gefälschte E-Mails Gelder zu transferieren. Allein zwischen Oktober 2013 und Dezember 2016 sollen mit BEC-Angriffen insgesamt 5,3 Milliarden US-Dollar gestohlen worden sein. Fazit: Tatsächlich nutzen die Täter meist nicht etwa Schwachstellen in der IT aus sondern die Schwachstellen in der menschlichen Firewall: Social Engineering ist eine der erfolgreichsten Vorgehensweisen.

Der Begriff meint, auf zwischenmenschlicher Ebene Personen so zu beeinflussen, dass sie vertrauliche Informationen preisgeben oder zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln bewegt werden. Mit etwas schauspielerischem Talent und sozialen Fähigkeiten bekommt man die meisten Menschen nämlich sehr schnell dazu, hochsensible Daten preiszugeben oder fragwürdige Dinge zu tun – wie etwa im folgenden Fall. Und oft machen es Mitarbeiter und Firmen den Kriminellen noch besonders einfach: Mit Passwörtern, die leicht zu knacken sind, privaten Programmen, die Beschäftigte am Arbeitsplatz verwenden oder einfach einem schlampigen Umgang mit Daten.

Cem Karakaya erzählt aus der Polizeiarbeit: Gefakte Chefs

Sandra Müller sitzt auch an diesem Tag an den komplexen Exceltabellen. Die Buchhalterin ist für die Überweisungen eines größeren mittelständischen Unternehmens zuständig. Seit 15 Jahren ist die 42-Jährige für den Betrieb tätig – erst in der Firmenzentrale in Berlin, wo sie als Assistenz der Geschäftsführung arbeitete. Später wechselte sie der Liebe wegen in die Zweigstelle nach München, wo sie seither einen Job als Buchhalterin hat. Ihr Ehemann war beruflich an die bayerische Landeshauptstadt gebunden. Und nach der Geburt ihrer zwei Kinder war die Stelle in München ohnehin besser mit der Familie zu vereinbaren als der Assistenzjob in Berlin.

An diesem Tag trennen sie nur noch eine halbe Stunde Arbeit vom Feierabend – in Gedanken ist Müller schon zu Hause. Denn für den Abend hat ihr Mann etwas ganz Besonderes geplant, schließlich ist ihr zehnter Hochzeitstag. Die beiden Söhne hat das Paar bei den Großeltern untergebracht, endlich mal wieder ungestörte Zweisamkeit.

Plötzlich klingelt das Telefon. Der Apparat zeigt die Nummer vom Vorstandsvorsitzenden in Berlin an. Müller bekommt einen kleinen Schreck. Der CEO ruft sie nur in Ausnahmefällen an, auch wenn sie damals in Berlin ein gutes Verhältnis mit ihm hatte. Schnell nimmt sie den Hörer ab. Noch ehe sie sich meldet, sagt der Vorstandsvorsitzende: „Ich grüße Sie, Frau Müller. Ich hoffe, es geht Ihnen gut.“ Sandra Müller atmet tief durch. Offenbar ist der Oberchef gut gelaunt. Jedenfalls klingt seine Stimme lebendig – fast viel jünger als sonst. Aber sie hat ihn auch lange nicht mehr gesprochen. „Hallo Herr Wagner. Danke der Nachfrage. Mir geht es gut, ich hoffe Ihnen auch. Heute ist ja hier in München so ein schöner Spätsommertag.“ – „Bei uns in Berlin auch. Eigentlich zu schön, um zu arbeiten. Aber es gibt einiges zu tun. Um ehrlich zu sein, sind wir gerade etwas unter Druck. Und darum rufe ich auch bei Ihnen persönlich an. Wie läuft es denn in unserer Zweigstelle in München? Ich möchte aber nicht, dass Sie Ihren Chef verpetzen.“ Der CEO lacht. – „Es ist alles gut, Herr Wagner. Es gibt nicht zu petzen“, antwortet die Buchhalterin und lacht ebenfalls. „Liebe Frau Müller, Sie waren ja vor vielen Jahren eine verlässliche Kraft. Ich schätze Sie sehr. Eigentlich waren Sie die beste Assistentin, die ich hatte“, sagt Wagner. Wow, dass er sich an sie noch erinnert! Bei so viel Lob fühlt sich Sandra Müller geschmeichelt. Dann sagt der CEO: „Und daher sind Sie jetzt auch die Person, an die ich mich wende. Zuerst muss ich Sie aber höflich darum bitten, dass Sie absolutes Stillschweigen über die folgende Angelegenheit bewahren! Was ich Ihnen erzählen will, weiß nicht einmal Ihr Vorgesetzter und auch sonst kein Mitarbeiter bei Ihnen in München.“ – Die Buchhalterin fragt sich, was wohl so wichtig sein könnte. Ein wenig komisch ist diese Geheimniskrämerei allerdings schon. Warum sollte Wagner ihr etwas erzählen und ihrem Vorgesetzten nicht? Gleichzeitig fühlt sie sich geschmeichelt, dass der Vorstandschef ausgerechnet sie ins Vertrauen zieht. „Herr Wagner, Sie wissen doch, dass Sie mir vertrauen können. Was darf ich für Sie tun?“ – „Das freut mich sehr, Frau Müller. Folgendes: Wir haben vor, eine Firma zu kaufen, damit wir unseren Aufgabenbereich erweitern können. Die Verkaufsverhandlungen sind aber noch in einem sensiblen Stadium und sollen derzeit noch nicht bekannt gegeben werden. Die Konkurrenz schläft nicht, Sie verstehen…“ – „Natürlich, Herr Wagner. Und was soll ich jetzt tun?“, will Müller wissen und fragt sich, um welches Unternehmen es wohl gehen könnte und was dieser Schritt für ihren Arbeitgeber insgesamt bedeutet. – „Wir versuchen, von jeder Zweigstelle einen bestimmten Betrag zusammenzustellen und aus München brauchen wir drei Millionen Euro“, antwortet der Vorstandsvorsitzende. Müller atmet tief durch. Für so eine hohe Summe hat sie keine Prokura. Solche Beträge sind auf jeden Fall Sache ihres Vorgesetzten. „Herr Wagner, Sie wissen doch, dass ich für alle Summen über 100.000 Euro eine Genehmigung von meinem Chef, also Herrn Rosthaupt, benötige. Das übersteigt…“ – Wagner fällt ihr ins Wort: „Frau Müller, selbstverständlich weiß ich das. Diese Regelung habe ich selbst erlassen. Das Problem ist, dass die Zeit etwas drängt. Mit Herrn Rosthaupt spreche ich morgen als allererstes, heute hat er doch einen freien Tag. Und Sie wissen doch, dass ich meine Mitarbeiter nicht an ihren freien Tagen belästigen möchte – auch nicht die Führungskräfte. Und bis ich Herrn Rosthaupt erreicht und ihm alles erzählt habe, dauert es sehr lange – und Sie müssten deswegen auch noch länger arbeiten…“ Länger arbeiten? Aber das geht an diesem Tag wirklich nicht. Sandra Müller bekommt einen kleinen Schrecken. Ihr Mann hatte sie extra gebeten, an diesem Tag pünktlich zu sein. Herr Wagner fährt indes fort: „Ich komme morgen früh ohnehin persönlich nach München, um mit Herrn Rosthaupt unter vier Augen in der Sache zu sprechen. Wissen Sie, ich habe vor, ihn zum Geschäftsführer der neuen Firma zu machen. Waren Sie schon mal im Amsterdam?“ – Das sind jetzt wirklich interessante Neuigkeiten! „Die neue Firma ist in Amsterdam?“, fragt Müller neugierig. – „Ja, zumindest würde der Firmensitz dort sein. Das heißt, dass Herr Rosthaupt von München nach Amsterdam wechseln würde. So weit ich weiß, ist er ohnehin ein großer Niederlande-Fan. Seine Lebensgefährtin stammt doch aus Rotterdam… Allerdings haben wir dann eine Vakanz in der Leitung der Münchner Zweigstelle“, plaudert Wagner munter weiter und fährt fort: „Und hier müssten wir eigentlich auch etwas für unsere Frauenquote bei den Führungspositionen tun. Frau Müller – ich denke, darüber sollten wir zwei morgen auch ins Gespräch einsteigen. Sie bringen jede Menge Erfahrung mit und eigentlich wären Sie die Richtige, um Herrn Rosthaupt bei der Zweigstellenleitung nachzufolgen. Und wenn ich das richtig überblicke, sind Ihre Kinder mittlerweile auch schon in der Schule und Sie dürften wieder mehr Zeit für die Karriere haben.“ Wow! Sandra Müller wird schwindelig. „Herr Wagner…, ich weiß gar nicht, was ich sagen soll“, sagt die Buchhalterin schließlich. „Sagen Sie jetzt erst einmal gar nichts. Ich bin morgen dann ja bei Ihnen in München. Ich werde voraussichtlich einen der ersten Flieger nehmen. Und das wäre jetzt meine zweite Bitte an Sie, weil meine Sekretärin heute schon früher in den Feierabend gegangen ist: Könnten Sie bitte meinen Flug buchen? Hinflug gerne ab 6 Uhr ab Tegel, Rückflug erst am Abend nach 21 Uhr. Denn ich würde Herrn Rosthaupt und Sie morgen noch gern zum Abendessen einladen.“ Auch noch ein Abendessen mit dem Vorstandsvorsitzenden? „Herr Wagner, das wäre mir eine ganz besondere Ehre“, sagt Müller. – „Prima, das freut mich“, antwortet der Chef. – „Dann geben Sie mir doch die Kontodaten für den Firmenkauf und ich veranlasse jetzt noch die Überweisung sofort. Wohin soll das Geld gehen?“ – „Nach Russland. Es handelt sich um eine russische Firma. Frau Müller, dass Sie das jetzt noch in die Wege leiten, rechne ich Ihnen hoch an!“, antwortet der CEO. Die Buchhalterin grinst. „Darf ich für Sie noch eine Abholung vom Flughafen organisieren?“, fragte sie noch. – „Ach, das ist nicht nötig. Ich werde ein Taxi nehmen und Herrn Rosthaupt überraschen. Und jetzt noch einmal danke und einen schönen Feierabend Ihnen!“ – „Danke, Herr Wagner. Den wünsche ich Ihnen auch.“ – „Na, wir werden hier noch einiges mit der Kaufabwicklung zu tun haben. Aber die Arbeit wird sich lohnen!“ Damit legt der Vorstandschef auf.

Sandra Müller führt rasch die Überweisung in Höhe von drei Millionen Euro nach Russland aus und verfasst noch eine E-Mail an Herrn Wagner, dass sie den Geldtransfer erledigt habe und sich sehr auf seinen morgigen Besuch und auf das Abendessen freue. Dann fährt sie ihren Rechner herunter und verlässt das Büro. Den ganzen Rückweg über sitzt sie mit einem zufriedenen Lächeln in der Münchner U-Bahn. Daheim angekommen wartet ihr Mann bereits auf sie. Sofort muss sie ihm von den guten Neuigkeiten erzählen. Auch er strahlt: „Na, dann haben wir ja heute zwei Dinge zu feiern!“, sagt er und geleitet seine Frau ins Esszimmer. Hier hat er ein Candle-Light-Dinner vorbereitet, das er selbst zubereitet hat. „Ich habe den ganzen Nachmittag gekocht! Und sogar das Schlachtfeld in der Küche schon wieder beseitigt“, erzählt er und lacht. Der Tisch sieht toll aus – sogar einen riesigen Kerzenständer und Tischdeko fast wie bei ihrer Hochzeit hat er besorgt. Plötzlich piepst das Handy von Sandra Müller – eine JobE-Mail ist eingetroffen. „Bitte nicht heute Abend. Jetzt gibt es mal nur dich und mich“, sagt ihr Mann und will ihr das Smartphone aus der Hand nehmen. – „Und was ist, wenn mit den Kindern irgendwas ist?“, fragt Sandra Müller zurück. – „Dann kümmern sich meine Eltern darum. Und notfalls haben sie ja unsere Festnetznummer, Schatz.“ Die Buchhalterin seufzt. „Also gut. Es fehlt aber noch der Wein“, sagt sie mit einem Blick auf den Tisch. – „Oh nein, es gibt einen Aperitif, den ich selbst kredenzt habe. Lass Dich überraschen. Ich hole nur noch die Gläser aus der Küche“, antwortet ihr Mann und verlässt das Esszimmer. Sandra Müller lächelt. Was für ein Tag. Die tollen Aussichten in der Firma und dann dieser tolle Mann, den sie vor zehn Jahren geheiratet hat. Manchmal meint das Leben es einfach gut mit einem, denkt sie, da piepst ihr Handy schon wieder. Ich sollte jetzt wirklich dieses Smartphone abstellen, geht es ihr durch den Kopf und sie nimmt nun doch das Telefon in die Hand. Das zeigt per Push-Mitteilung eine E-Mail von Herrn Wagner. „Was für eine Überweisung? Und welches Abendessen? Bitte rufen Sie mich dringend zurück!“, schreibt er. Sandra Müller fühlt sich wie vom Schlag getroffen. Warum schreibt der Vorstand ihr jetzt so eine E-Mail? Ein Schock durchfährt sie. Tatsächlich kam ihr die Stimme des Chefs seltsam jung vor. Und alles etwas zu perfekt. Aber: Wenn nicht der CEO höchstselbst sie heute am frühen Abend angerufen hat – wer war es sonst? Wer nur könnte sie denn sonst zum Transfer einer Summe von drei Millionen Euro nach Russland veranlasst haben?

Wenn Betrüger sich täuschend echt für den Chef ausgeben, nennt man das Fake-President- oder Fake-Chef-Attacke, auch der Begriff CEO-Fraud ist gängig. Bei einer sogenannten Fake-President-Attacke täuschen Betrüger vor, der Vorstand eines Unternehmens zu sein und wenden sich an Mitarbeiter, die Zahlungsverkehrsberechtigungen besitzen oder Stammdaten in der Finanzbuchhaltung ändern können. Das Ziel: Die Mitarbeiter sollen Transaktionen oft in Millionenhöhe auslösen. In der Regel werden die betroffenen Beschäftigten dabei massiv unter Druck gesetzt. Wer meint, das müsse doch sofort auffallen, der irrt sich. Denn gerade in größeren Unternehmen haben viele nur wenig Kontakt mit dem Spitzenmanagement und wie im Beispiel von Frau Müller sind die Attacken sehr gut vorbereitet. Die Täter wissen Details über Firmenabläufe und oft auch Privates aus dem Leben der Mitarbeiter.

Ähnlich funktionieren auch sogenannte Payment-Diversion-Fälle, bei denen häufig mehrere Tausend bis Hunderttausend Euro erbeutet werden. Sie sind so etwas wie die Weiterentwicklung der Fake-President-Masche und zielen auf die Zahlungsströme zwischen Geschäftspartnern ab, mit denen ein Unternehmen seit Jahren zusammenarbeitet. Payment Diversion Fraud heißt auf Deutsch, dass Zahlungströme umgeleitet werden. Sie fangen meist genauso wie CEO-Frauds an: Die Betrüger geben sich in diesen Fällen als Geschäftspartner oder Lieferanten des Unternehmens aus und geben beispielweise vor, dass für eine bestimmte Ware oder Dienstleitung auf ein neues Konto angewiesen werden müsste. Mit einer gefälschten Mitteilung wird das Unternehmen dann informiert, dass sich die bisherige Bankverbindung geändert haben soll und künftig eben eine neue genutzt werden müsse. Meist fällt die Tat erst auf, wenn der echte Geschäftspartner Rechnungen und Mahnungen schickt. Besonders oft betroffen sind mittelständische Unternehmen, die Betrugssummen liegen oft im fünf- und sechsstelligen Bereich.vi

Betrugsfälle in der Wirtschaft treten immer häufiger auf und das weltweit. Hierzulande wurde 2016 der Fall des Autozulieferers und MDAX-Unternehmens Leoni in der Presse bekannt: Die Betrüger ergaunerten rund 40 Millionen Euro, die Aktie fiel noch binnen Stunden nach Bekanntwerden der Attacke um neun Prozentvii. Zum Glück kam das Unternehmen durch die Tat nicht in ernsthafte Schwierigkeiten. In anderen Fällen kann das Ausmaß eines solchen Angriffs schnell existenzgefährdend für eine Firma werden. Manche mussten deshalb schon Konkurs anmelden, nachdem Betrüger sie mit dieser Masche bis zum Bankrott geplündert hatten.

Erschreckend ist, dass sich die Täter oft gar nicht so sehr anstrengen müssen, wie man vielleicht zunächst vermuten würde. Für einen CEO-Fraud brauchen sie keine speziellen Hackerkenntnissen. Zwar ist für einen erfolgreichen Angriff eine intensive Vorbereitung nötig, aber die allermeisten Informationen dazu stehen in ganz legalen, öffentlich zugänglichen Quellen: wirtschaftliche Kennzahlen und mögliche Investments, Wachstums- und Geschäftsfelder, eine Übersicht der wichtigsten Geschäftspartner, die Ansprechpartner, ihre Funktionen und Tätigkeiten, ihre Erreichbarkeiten per E-Mail und Telefon – alles das steht meist soweiso auf der Firmenwebsite. Und oft liefern die Unternehmen sogar noch eine Kurzvita der Entscheiderinnen und Entscheider mit dazu. Mehr Infos findet man in Wirtschaftsberichten, Gewinn- und Verlustrechnungen stehen ohnehin einsehbar für jeden im E-Bundesanzeiger.

Auch ein Hintergrundcheck im Handelsregister ist für die Täter einfach. Relevante Informationen sind meist auch in Werbebroschüren zu finden – und einen wahren Fundus mitunter sogar an privaten Informationen über Mitarbeiter und Führungskräfte bieten die Karriereseite der Unternehmen sowie ihre Socialmedia-Auftritte. Denn viele Arbeitgeber veröffentlichen mittlerweile Videos und Interviews mit ihren Beschäftigten, in denen beispielsweise dargestellt wird, wie es ist, bei diesem Unternehmen zu arbeiten oder wie die bisherige Karriere verlaufen ist. Und bei ihrem Versuch, die menschliche Seite einer Firma zu zeigen, werden vielfach auch recht private Informationen von Beschäftigten und Führungskräften veröffentlicht. Die automatische Antwort, in denen Mitarbeiter ihre genauen Abwesenheiten und oft auch den Grund ihrer Abwesenheit mitteilen, verraten sehr viel.

Brauchen die Täter noch mehr ausführliche Informationen, verschicken sie sogenannte Phisingmails. Beliebt sind angebliche Bewerbungen per E-Mail. Selbst geschulte Mitarbeiterinnen und Mitarbeiter aus den Personalabteilungen fallen darauf rein und klicken auf solche Links in BewerbungsE-Mails, die dann auf eine verseuchte Internetseite des angeblichen Kandidatens führt – schon hat sich der Personaler einen Trojaner eingefangen. Leider auch sehr gängig: Eine als von einem Kollegen getarnte E-Mail mit lustigen Bildchen. Gängig sind witzige Bilder oder Gifs von Tieren, hinter denen sich ebenfalls ein Trojaner versteckt. Meist werden solche AngriffsE-Mails mit der Hoffnung verschickt, das Opfer werde die vermeintlich lustige Nachricht an weitere Kollegen versenden. Die Rechnung geht in den vielen Fällen auf. Schnell sind entweder mehrere Rechner oder das ganze Firmennetzwerk betroffen.

Denn in die Bilderdatei ist ein Code eingepflanzt. Dieser übernimmt entweder das gesamte Adressbuch vom Rechner und schickt diese Daten im Hintergrund an die Täter. Oder durch den Code wird generell Zugriff auf den ganzen Rechner des Opfers erlangt. Dann sind die Kriminellen in der Lage, alle Logindaten und Passwörter abzufischen oder die Daten auf dem infizierten Computer zu verschlüsseln. Verschlüsselungstrojaner werden diese Programme genannt, sogenannte Ransomware. Erpresser verlangen für die Entschlüsselung dann ein Lösegeld.

Ein gutes Beispiel für so einen Verschlüsselungsangriff war im Frühjahr 2017 etwa das Schadprogramm Wannacry, das Windows-Betriebssysteme befiel, denen ein wichtiges Update fehlte.viii Betroffen waren nicht nur Großkonzerne wie die spanische Telefonica oder die Deutsche Bahn sondern auch Teile des britischen Gesundheitssystems. Laut einer Untersuchung der Unternehmensberatung Roland Berger sollen auch schon zwei Drittel aller deutschen Krankenhäuser Opfer einer Cyberattacke geworden seinix. Wie aus einer Studie des Bundesamt für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2016 hervorgeht, war in Deutschland bereits jedes dritte Unternehmen von einem Angriff mit Ransomware betroffenx. Drei Viertel der Infektionen waren auf E-Mail-Anhänge zurückzuführen. Die Auswirkungen des Ransomware-Befalls waren zum Teil erheblich: Während 70 Prozent der betroffenen Unternehmen angaben, dass einzelne Arbeitsplatzrechner befallen waren, kam es in jeder fünften der betroffenen Firmen zu einem erheblichen Ausfall von Teilen der IT-Infrastruktur. Und immerhin elf Prozent der Betroffenen erlitten einen Verlust wichtiger Daten.

Laut dem Software-Anbieter Malwarebytes haben mittlerweile rund 70 Prozent aller Angriffe das Ziel, Schadsoftware zu verbreiten. Interessanterweise sind es noch nicht einmal Kriminelle selbst, die in jedem Fall E-Mails mit verseuchten Anhängen an die Firma schicken. In mehr als jedem zweiten Fall sind es nämlich die eigenen Mitarbeiterinnen oder Mitarbeiter. Und das funktioniert wie folgt: Die Beschäftigten bekommen zu Hause an die private Mailadresse eine verdächtige E-Mail mit einem Anhang, der sie skeptisch macht. Und weil man sich nicht traut, den Anhang zu öffnen, aber die Neugierde doch so groß ist, werden diese E-Mails einfach an die JobMailadresse weitergeleitet. Viele Arbeitnehmer glauben nämlich, dass die IT-Sicherheitsmaßnahmen in der Firma besser seien als die eigenen am heimischen Rechner. Leider stimmt das oft gar nicht.

Teilweise sind die Sicherheitslücken in Unternehmen noch größer als zu Hause, das zeigen Studien etwa von Unternehmensberatungen wie PWC oder KPMG. Einer Befragung des Meinungsforschungsinstituts YouGov aus dem Jahr 2017 zufolge fühlt sich zudem nur jeder Fünfte gut über die Folgen von Cyberattacken auf Unternehmen und deren Auswirkungen auf Kunden informiert. Viele haben den Eindruck, dass es immer neue Attacken, aber keine sinnvollen Gegenmaßnahmen gibt. Für die Unternehmen problematisch: Ist eine Firma einmal zum Opfer geworden, sinkt das Vertrauen der Kunden in das Unternehmen erheblich. Mehr als jeder Zweite würde der YouGov-Studie zufolge einer Firma, die Opfer von Cyberkriminalität wurde, weniger Vertrauen schenken – das gilt vor allem für solche Firmen, die in der Finanz- oder Versicherungsbranche aktiv sind oder die selbst mit sensiblen Daten der Kunden agieren. Und immerhin mehr als jeder Dritte würde nach einem Angriff die Marke oder das Produkt wechseln.xi Kein Wunder, dass viele Unternehmen versuchen zu verheimlichen, dass sie Opfer einer Attacke geworden sind. Doch genau das ist die falsche Taktik, sagen Experten wie etwa Europols Cybercrime-Chef Steven Wilsonxii. Auch wenn kleinere und mittlere Unternehmen oft anfälliger für Attacken seien, treffe es auch viele große Firmen. In einem Interview mit der Wirtschaftswoche sagt der Experte: „Wir haben Fälle gesehen, in denen sie den Zugriff auf ihre gesamte Kundendatenbank verloren haben. Dann kann ein Angriff dazu führen, dass die Geschäftsgrundlage zerstört wird und das Unternehmen schließen muss. Die Großbanken wurden in den vergangenen Jahren immer wieder angegriffen. Oft gehen Schäden dann in die Millionen.“ Und weiter: „Wir haben in der Vergangenheit leider erlebt, dass Unternehmen versucht haben, Angriffe geheim zu halten. Aber ich denke, dass auch Vorstandschefs erkannt haben, dass Vertuschungsversuche nur auf sie persönlich zurückfallen und sie den Job kosten können. Die internationalen Großbanken, mit denen ich arbeite, haben angefangen eine Kultur zu entwickeln, die offen mit solchen Angriffen umgeht. Diese Transparenz, sowohl gegenüber Kunden, Wettbewerbern und den Ermittlungsbehörden, ist der Schlüssel, um die Angriffe angemessen bekämpfen zu können.“ Cybercrime sei zu einem globalen Geschäft geworden, das „es fast jedem ermöglicht, einzusteigen und mitzumischen.“Vor ein paar Jahren waren noch etliche Spezialisten nötig, heute ließe sich alles outsourcen – also im Darknet Hacker zusammensuchen, die einen ganzen Angriff von der Programmierung bis zum Abheben des erpressten Geldes am Automaten möglich machten.

Was also können Unternehmen tun, um sich zu schützen? Weil vor allem die Mitarbeiterinnen und Mitarbeiter selbst das Einfallstor für Angriffe sind, wie aus der IT Security Risks Survey 2017 hervorgeht, sollten Unternehmen ihre Beschäftigten mit Schulungen auf die Gefahren aufmerksam machenxiii. Heute sind dem Report zufolge in jedem zweiten Fall einer Attacke die Mitarbeiter für einen Sicherheitsvorfall verantwortlich, in 40 Prozent der Fällen versuchen die Beschäftigten erst, den Vorfall zu verheimlichen. Das liegt auch daran, dass in vielen Unternehmen kaum oder keine Schulungen und Präventionsmaßnahmen stattfinden und strenge oder unklare Vorschriften bei Sicherheitsverletzungen bestehen. Und wenn die Mitarbeiter Strafen und Sanktionen bei einem Fehler befürchten müssen, ist es nur verständlich, dass sie den Fehler lieber vertuschen als bei der Aufklärung mitzuwirken. Sinnvoller wäre es, Mitarbeiter verlässlich zu schulen.

Das ist auch die Empfehlung einer Kapersky-Sicherheitsstudie. Die Experten fanden auch hier heraus, dass Hacker gezielt die menschliche Schwachstelle mit Phishing und Social Engineering nutzen, um einen Angriff durchzuführen, daher sollen Unternehmen aufhören, einfach Schuldige zu bestrafen und lieber Geld in Schulungen investieren. Aber natürlich müssen auch alle nötigen Sicherheitsmaßnahmen ergriffen werden. Dazu gehören sichere Passwörter, eine sichere IT-Infrastruktur, Antiviren-Programme auf allen Rechnern und eine sichere Firewall mit regelmäßigen Updates als Standard.

Im bayerischen Fürstenfeldbruck gibt es seit einiger Zeit ein Cyber Simulation Center der Elektroniksystem- und Logistik GmbH (ESG). Hier können Unternehmen, Organisationen und sogar die Bundeswehr ihre IT-Experten darauf schulen lassen, Eindringlinge im Firmennetzwerk frühzeitig zu entdeckenxiv. Angebote wie dieses werden stark nachgefragt.

Allerdings nützen auch die tollsten Schulungen nichts, wenn Unternehmen Sicherheitswarnungen nicht ernst nehmen. Dem Cisco-Sicherheitsreport zufolge gehen bisher nur zwei Drittel der befragten Firmen Sicherheitswarnungen wie Berichten in den Nachrichten überhaupt nach. In bestimmten Branchen (wie Gesundheit und Transport, Finanzen oder Gesundheitswesen) liegt diese Zahl mit 50 Prozent sogar noch darunter. Warum? Die IT-Abteilungen sind personell gerade im Mittelstand und bei kleineren Unternehmen schlecht ausgestattet. Die Firmen kommen da gerade zum Alltagsgeschäft, aber nicht dazu, jede Meldung aus der Fachpresse über etwaige Sicherheitslücken zu verfolgen – geschweige denn, ad hoc zu schließen.

Freilich, Sicherheit kostet – aber Opfer zu werden, eben auch. Allein durch WannaCry hätten laut dem britischen Versicherer Lloyd’s mehr als 60 Milliarden Euro Schaden entstehen können. Damit wäre der Verschlüsselungstrojaner so teuer geworden wie der Hurrikan Sandy im Jahr 2012xv. Wie eine IBM-Studie zeigt, zahlen rund 70 Prozent der Unternehmen, die von Ransomware betroffen waren, das geforderte Lösegeld. Im Schnitt gehen mehr als 10.000 US-Dollar pro Attacke an die Täter, in jedem fünften Fall sind es sogar mehr als 40.000 US-Dollarxvi. Da ist es oft günstiger, Geld für Sicherheitsschulungen auszugeben.

Ein solches Training hätte vielleicht auch Sandra Müller aus unserem Beispiel davor bewahrt, leichtgläubig auf den Fake-Geschäftsführer hereinzufallen. Allerdings hatten die Täter in diesem geschilderten Fall noch eine besondere Technik eingesetzt: Call-ID-Spoofing. Schließlich hatte die Buchhalterin die Nummer des Vorstandsvorsitzenden auf ihrem Display gesehen und glaubte somit, dass der Chef höchstselbst von seinem Apparat in Berlin anrufe und eben nicht ein Krimineller, der beispielsweise von Russland aus agierte.

Tatsächlich wurde ihr auch die Nummer des Chefs aus Berlin angezeigt. Denn mit Call-ID-Spoofing ist es möglich, jede beliebige Nummer auf dem Display darstellen zu lassen. Der wahre Anrufer simuliert mit Hilfe dieser Technik die gewünschte Nummer und gerade das macht es so schwer, einen Angriff schnell zu erkennen.

Call-ID-Spoofing wird oft bei einem CEO-Fraud verwendet. Manchmal kommt es auch vor, dass Ware verschickt werden soll. Dann geben sich die Täter mittels Call-ID-Spoofing für einen Geschäftspartner aus, der eine große Bestellung ordert. Oft ergaunern die Kriminellen so Ware im Wert von mehreren hunderttausend Euro.

Die Geschichte von Sandra Müller hatte schließlich ein kleines Happy-End: Als die Buchhalterin den schrecklichen Irrtum bemerkt und mit dem Vorstandsvorsitzenden über den Vorgang spricht, ist es bereits zu spät: Das Geld ist transferiert, der Schaden angerichtet – und statt einer Beförderung stimmt die Buchhalterin im gegenseitigen Einvernehmen der Auflösung ihres Arbeitsverhältnisses zu. Zu groß sind Scham und Vertrauensverlust. Die Münchnerin findet allerdings rasch einen neuen Job bei einer anderen Firma und ist seitdem extrem vorsichtig. Ohne Rückversicherung weist sie keine hohen Summen mehr an.

Eine Grundregel, um sich vor einer Fake-Chef-Attacke zu schützen, ist daher ganz simpel: Man muss sich eine Dienstanweisung noch einmal vom Chef bestätigen lassen und den Entscheider oder die Entscheiderin beispielsweise einfach von einem anderen Gerät anrufen bzw. auf eine E-Mail nicht mit Reply-Funktion beantworten, sondern die Mailadresse selbst eintippen. Bei ihrem neuen Arbeitgeber hat Sandra Müller übrigens erfolgreich eine Sicherheitsschulung für alle Kolleginnen und Kollegen vorgeschlagen. Und an ihrem elften Hochzeitstag haben die Müllers dann die ausgefallene Feier des Vorjahres nachgeholt.

Cyberkriminalität äußert sich in der Wirtschaft aber nicht nur in Form von Erpressungen und spektakulären Hacks. Die Reputation und das Markenimage können auch mit einem gezielten Shitstorm beschädigt werden. Und auch in der politischen Kommunikation und öffentlichen Meinungsbildung ist die Provokation eines gezielten Shitstorms mittlerweile zu einem gängigen Mittel geworden, um den Ruf eines anderen zu beschädigen. Die Art, wie Skandale entstehen und sich verbreiten, hat sich durch das Netz grundlegend verändert und kann gesteuert werden – aus einem kleinen Aufreger kann so ein entfesselter Skandal mit langfristig negativen Folgen werdenxvii.

Das Buch ist im Ariston-Verlag erschienen und kostet 18 Euro.

Quellenangaben:

i

Vgl. https://www.pwc-wissen.de/pwc/de/shop/publikationen/Economic+crime+-+Global+Economic+Crime+Survey/?card=12954

ii

Vgl. http://www.sueddeutsche.de/muenchen/fuerstenfeldbruck/firmen-fuerchten-imageverlust-schaedling-aus-dem-cyberspace-1.3632495

iii

Vgl. https://www.cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html

iv

Vgl. http://www.faz.net/aktuell/wirtschaft/schaeden-in-milliardenhoehe-durch-Cyberangriffe-15164764.html

v

Vgl. http://www.searchsecurity.de/meinung/Ransomware-as-a-Service-Erpressersoftware-als-Dienstleistung

viVgl. https://www.experten.de/2016/08/31/betrugsmasche-zahlungsverkehr/

vii

Vgl. http://www.capital.de/themen/betrueger-erbeuten-40-mio-euro-von-leoni.html

viii

Vgl. https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html

ix

Vgl. https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjTmp2nodnVAhXBLlAKHZleADcQFggrMAE&url=https%3A%2F%2Fwww.rolandberger.com%2Fpublications%2Fpublication_pdf%2Froland_berger_krankenhausstudie_2017.pdf&usg=AFQjCNHFDs6Q_VlytlzSGc1qlv3ccpqLiA

x

Vgl. https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html

xi

Vgl. https://yougov.de/news/2017/08/03/cyber-attacken-hochriskante-lage-fur-unternehmen/

xii

Vgl. http://www.wiwo.de/unternehmen/it/steven-wilson-ohne-cyber-sicherheit-wird-es-bald-wirklich-ungemuetlich/19999260-all.html

xiii

Vgl. https://www.kaspersky.com/blog/the-human-factor-in-it-security/

xiv

Vgl. http://www.sueddeutsche.de/muenchen/fuerstenfeldbruck/firmen-fuerchten-imageverlust-schaedling-aus-dem-cyberspace-1.3632495

xv

Vgl. http://www.focus.de/digital/computer/hacker-angriffe-cyber-attacken-koennen-so-teuer-werden-wie-hurrikan-sandy_id_7366763.html

xvi

Vgl. http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/sicherheit-im-internet-der-naechste-angriff-kommt-15081210.html

xvii

Vgl. http://www.zeit.de/digital/internet/2012-04/rezension-poerksen-entfesselte-skandal

Passend zum Thema