Top-Priorität Sicherheit: Schnell mal eine Million überweisen

Ob brutal oder raffiniert, schnell oder wohlbedacht: Cyber-Gauner entwickeln laufend neue Methoden, die sich für sie auf alle Fälle lohnen. Bis zu 500 Milliarden Euro sollen die dunklen Internetgeschäfte die Welt jährlich kosten. Von den guten alten Denial-of-Service-Attacken, bei denen mit brutaler Rechenpower – meist durch zuvor gekaperte PCs und Server – die Firmen-IT mit Anfragen überflutet und lahmgelegt wird, falls etwa nicht brav ein Schutzgeld bezahlt wird, über sogenannte Ransomware, das sind kleine, feine Schadprogramme, die alle Firmendaten verschlüsseln, bis hin zu den wahren Meisterstücken des Cyber-Crimes, bei denen durch fleißiges und geduldiges Ausspionieren und einfühlsame persönliche Betreuung die wirklich großen Beträge abkassiert werden. Dazu gehört der für Finanzabteilungen besonders peinliche »Fake President Fraud«. Die in Oberösterreich beheimatete FACC AG hat dies rund 50 Millionen Euro gekostet – und die Finanzvorständin den Job.

50 Millionen weg

Die Verbrecher machen sich bei dieser raffinierten Methode durch Sicherheitslücken und persönliche Kontaktaufnahmen so weit mit dem Unternehmen und den wichtigen Führungskräften vertraut, dass sie schließlich die Finanzbuchhaltung genau zum richtigen Zeitpunkt davon überzeugen, große Beträge an fingierte Konten (etwa für eine möglichst geheim gehaltene Übernahme) zu überweisen. Im Fall der FACC war »nur« die FACC Operations GmbH betroffen, während die  IT-Infrastruktur, Datensicherheit, IP-Rechte sowie die operativen Bereiche des Unternehmens laut einer Aussendung von den kriminellen Aktivitäten verschont blieben. Wie der Millionen-Coup genau ablief, ist noch unbekannt. Derzeit wird noch ermittelt und eventuelle Schadenersatz- und Versicherungsansprüche geprüft. Aber Achtung: Bei Nachlässigkeiten zahlen Versicherungen nicht!

»Die Methode, sich als Chef auszugeben, ist sicher die dreisteste und funktioniert bei international tätigen Unternehmen sehr gut«, meint Dieter Steiner, CEO des deutschen Cloud- und Security-Unternehmens SSP Europe, das vor allem durch seine hochsichere Dateiaustauschplattform Secure Data Space bekannt ist. Auch einer seiner Kunden war davon schon einmal betroffen und hat zwei Millionen Euro nach Asien überwiesen. Ein »Chef« konnte die Finanzabteilung davon überzeugen. »Hier werden oft wirklich alle Tricks eingesetzt, Unternehmen oft monatelang überwacht, das E-Mail-Konto des CEOs gehackt und dann an einem passenden Tag, an dem etwa wirklich eine größere Aktion anstehen sollte, zugeschlagen«, so Steiner.

Die bestens organisierten Banden wissen durch ihre Spionage genau, wann wer wie oft an einem Standort ist, die Anrufer sind bestens informiert, instruiert und sprechen die entsprechenden Dialekte, um so schrittweise das Vertrauen zu erlangen. Wenn dann eine E-Mail vom richtigen Account mit der dringlichen Anweisung einlangt, eine Blitzüberweisung zu tätigen, um etwa eine Übernahme in trockene Tücher zu bringen, und der Finanzchef dieses Vorhaben auch noch bestätigt, ist die Chance groß, dass überwiesen wird. Die Chancen, je wieder einen Cent von der Summe zu sehen, sind hingegen extrem gering.

Aufklärung und Transparenz

Raffinierte Angriffe wie diese können oft auch sehr gute IT-Security-Systeme nicht verhindern. Hier sind auch viel Aufklärungsarbeit bei den Mitarbeitern, klare Regeln, Transparenz und auch ein Geschäftsklima, das es Mitarbeitern erlaubt, eigene Fehler und seltsame Dinge sofort zu melden, erforderlich. Denn die dunkle Gegenseite rüstet ständig auf. Täglich schwirren über 150.000 Viren im Internet herum, die mehr als eine Million Menschen in der EU zum Opfer von Cyber-Attacken werden lassen. Laut dem IT-Sicherheitsanbieter Kaspersky waren 58 Prozent der weltweiten Computer in Unternehmensnetzwerken im Jahr 2015 mindestens von einer Malware-Attacke betroffen.

Der größte Fehler ist laut den Sicherheitsspezialisten die Einstellung, die vor allem bei KMUs vorherrscht, dass ja noch nie was passiert sei und das eigene Unternehmen für die Gauner zu wenig interessant sei. Dabei richten sich laut dem »Sy­mantec Security Report 2015« rund ein Drittel der Angriffe gegen Unternehmen mit weniger als 250 Mitarbeitern. Hinter den meisten Cyber-Attacken, wie etwa bei den derzeit sehr beliebten Erpressungs- bzw. Verschlüsselungs-Trojanern (Ransomware), stecken oft vollautomatische Systeme, die einfach nach schlecht gesicherten Systemen Ausschau halten. Ein Klick auf eine falsche E-Mail oder gefälschte Website und schon nistet sich die Schadsoftware ins System ein, um gleich Schaden anzurichten oder sich schön langsam bis zu den Entscheidungsträgern mit hoher IT-Sicherheitsstufe hochzuarbeiten.

Kann jeden erwischen

Selbst das renommierte US-Sicherheitsunternehmen RSA, das auch einige Kunden im Rüstungsbereich wie Lockheed Martin betreut, wurde in einem der aufsehenerregendsten Cybercrime-Fälle  2011 durch eine perfekt gezielte Phishing-Mail zum Opfer. Was genau gestohlen worden ist, blieb geheim, aber es hat sich sicher um hochsensible Daten von rund 15.000 Kunden gehandelt. Beim Spear-Phishing werden gezielt Mitarbeiter ausgesucht, um sie dann mit Social-Engineering-Tricks zu locken, um etwa eine eigentlich als unsicher eingestufte Spam-Mail doch anzuklicken, da ja gelegentlich doch etwas durch die strengen Spam-Regeln aussortiert wird oder die Mails interessant klingen.

Laut einer Studie von Verizon klicken 23 Prozent der Mitarbeiter E-Mails mit interessant klingenden Anhängen wie »Planung2015.xls« oder »Gehaltsliste.xls« an, elf Prozent öffnen auch die Anhänge. Damit ist das Tor für Attacken geöffnet. Kombiniert mit immer wieder neu gefundenen Sicherheitslücken in Programmen – hier ein Fehler im Excel – und Tools aus dem Dark Internet nimmt das Schicksal seinen Lauf. Langsam arbeiten sich die Cyber-Gauner im Netzwerk nach oben, knacken die Passwörter der IT-Administratoren und spionieren privilegierte Benutzer mit Keyboard-Locker, die jeden Tastenanschlag aufzeichnen, und Kameras aus. Wenn es genug Informationen gibt, schlagen die Täter zum perfekten Zeitpunkt zu, manipulieren den Zahlungsverkehr oder übernehmen sogar Bankomaten, die dann freudig Geld ausspucken.

Große Dunkelziffer

Genaue Zahlen, wie oft und stark Unternehmen von Cyber-Attacken geschädigt worden sind, gibt es nur begrenzt. Im Normalfall kehren Unternehmen Cyber-Einbrüche und sonstige Sicherheitsvorfälle lieber unter dem Teppich, um nicht auch noch ihren guten Ruf zu schädigen.  Laut der Statistik im Bericht über die »Internet-Sicherheit in Öster­reich 2015« von CERT.at,  dem österreichischen nationalen Computer Emergency Response Team, langten im Vorjahr 10.884 relevante Reports und 10.425 Meldungen von echten Sicherheitsvorfällen wie eben Phishing ein.

Die server-lähmenden Distributed-Denial-of-Service Attacken nehmen ebenso stark zu wie die Erpressungs-Trojaner. Zahlen sollte man hier laut den Sicherheitsexperten auf keinen Fall, da nur höchst selten der passende Schlüssel geliefert wird. Manchmal können aber hier Sicherheitsexperten die Daten retten. Einige Unternehmen wurden aber schon durch einen Verschlüsselungs­angriff ihrer Geschäftsgrundlage beraubt. Dabei gibt es hier längst durchaus kostengünstige Backup-Lösungen von IT-Security-Unternehmen, die, wenn nicht schon zuvor der Trojaner erkannt wurde, trotzdem die Daten noch vor einer Verschlüsselung retten.

Gefälschte Rechnungen

Besonders die heimische Industrie war in letzter Zeit vom »Spoofed Invoice Fraud« betroffen, bei dem Rechnungen von langjährigen internationalen Geschäftspartnern kurz nach dem Einlagen nochmals mit einer neuen Kontoverbindung geschickt werden. 2015 gab es laut CERT rund ein halbes Dutzend derartiger Angriffe auf Unternehmen, bei denen finanzielle Schäden im sechs- bis siebenstelligen Eurobereich verursacht wurden.

Wichtig ist also, immer wirklich zu wissen, woher die Original-E-Mails stammen, da für solche Aktionen gerne schlecht gesicherte Internet-Server gekapert werden. Wirksame Abwehrmaßnahmen sind ein Domain Monitoring der eigenen Firmennamen, Produkte & Webseiten sowie ein klares Security Management, genau definierte Sicherheitsprozesse (etwa bei außerordentlichen Zahlungen Vier-Augen-Prinzip, direkte Telefonkontakte zu den Vorgesetzten, um nachfragen zu können) sowie die Festlegung einer Incident Response & Kommunikationsstrategie. Die aktuellen Sicherheitsarchitekturen setzen neben modernen Virenscannern und Firewalls besonders auf proaktive Sicherheitssysteme (wie Advanced Persistent Threat Tools und Security Information & Event Management), die Datenströme überwachen und mit Big-Data-Tools auswerten, laufend über die neuesten Internet-Bedrohungen informiert sind und bei Auffälligkeiten sofort Alarm schlagen. Zahlreiche Security-Spezialisten und große IT-Konzerne wie SAP und Co bieten dies an.