Cybercrime wird immer arbeitsteiliger, internationaler und ist für die Täter hoch lukrativ. Andreas Dondera, Experte für Computerkriminalität im LKA in Hamburg, über neue Entwicklungen, alte Fehler und wann in jedem Unternehmen die Alarmglocken schrillen sollten. Übernahme aus einer aktuellen Studie der Kreditversicherung Euler Hermes.

 

 

 

Herr Dondera, steigt die Zahl der Cyber-Kriminellen?

Zumindest registrieren wir eine steigende Zahl von Cybercrime-Delikten. Weil sich ein Teil des gesellschaftlichen Lebens ins Internet verlagert hat, haben sich auch viele Straftaten dorthin verlagert. Und das Internet bietet Tätern die Möglichkeit, international zu agieren, ohne Grenzen überschreiten zu müssen.

 

Womit machen Cyber-Kriminelle im B-to-B-Segment das meiste Geld?

Wir haben aktuell zwei Schwerpunkte: Business E-Mail Compromise (Betrugsmethode, die gefälschte Geschäfts-E-Mails verwendet, um zum Beispiel an sensible Daten zu gelangen oder Finanztransaktionen zu veranlassen), zu denen auch Payment Diversion Fraud (die Umleitung von Zahlungsströmen) und Fake President (Betrugsart, bei der Hacker E-Mails mit Überweisungsanforderungen an speziell ausgespähte Mitarbeiter schicken – und das vorgeblich im Namen des Chefs) –  und Ransomware (Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder unterbinden).

 

Welche Trends gibt es bei diesen Delikten?

Die Betrüger werden immer professioneller. Als Ransomware-Delikte vor fünf Jahren aufkamen, waren sie eher schlicht gehalten, oft in Form einer Bewerber-Mail, die an alle möglichen Unternehmen ging. Meist waren nur lokale Rechner betroffen und vielleicht noch die Netzlaufwerke. Mittlerweile haben die Täter deutlich komplexere Ransomware entwickelt. Seit einigen Monaten geht der Trend außerdem dahin, die betroffenen Daten nicht nur zu verschlüsseln, sondern vorher abzugreifen. Das hat datenschutzrechtliche Konsequenzen für die Unternehmen, nicht nur was die Verfügbarkeit betrifft, sondern vor allem die Vertraulichkeit. Mit der Drohung, die erlangten Daten zu veröffentlichen, bauen die Täter somit neben der Verschlüsselung ein zweites Druckmittel auf.

 

Wie ist die Entwicklung bei Deepfake-Delikten?

Die Entwicklung bei der Technologie schreitet mit künstlicher Intelligenz stark voran, und es tauchen teilweise täuschend echte Deepfakes auf. In Frankreich haben Betrüger sogar ein ganzes Büro nachgestellt, sodass es im Video-Call aussah, als spräche man mit dem echten Geschäftsführer in seinem echten Büro. In Deutschland gab es vereinzelt auch Fälle, bei denen Geschäftsführer mit gefälschten Stimmprofilen ihre Hausbank angerufen haben. Die große Welle an Fällen ist bisher aber ausgeblieben.

 

Suchen sich die Täter ihre Angriffsziele überlegt aus, etwa weil sie mutmaßen, dass dort solche sensiblen Daten liegen oder Geld zu holen ist?

Die initialen Angriffe sind nach unseren Erkenntnissen immer noch eher zufällig. Die Täter scheinen einfach zu gucken, wo sie eine Sicherheitslücke finden. Erst nach dem Einstieg prüfen sie, wo sie eigentlich sind: Bei einem Handwerksbetrieb? In einem Krankenhaus? Oder einer Bank? Je nach Ort können die Täter dann entscheiden, wie sie weiter vorgehen.

 

Das heißt, dass alle Unternehmen gleichermaßen gefährdet sind?

Erstmal ja. Die Chance auf viel Geld ist für die Täter bei einem großen Unternehmen aber natürlich ungleich höher, und deswegen liegt deren Fokus schon dort, wo Geld ist. Vor fünf Jahren hatten wir noch sehr viele Fälle mit Schäden um die 3.000 bis 5.000 Euro. Heute belaufen sich die Schäden auf sechs- und auch siebenstellige Summen.

 

Was sind die größten Einfallstore in die Computersysteme von Unternehmen?

Der Mensch. Allerdings werden die Methoden der Täter auch immer ausgefeilter. Ihnen hilft die Menge an Kommunikation, die im Netz stattfindet. Fast 90 Prozent der Fälle, die bei uns eingehen, beruhen allerdings auf demselben Problem: Die Menschen erkennen falsche E-Mail-Adressen nicht. Ich hatte gerade einen Fall, in dem eine Mitarbeiterin wegen einer Zahlungsänderung misstrauisch geworden war und deshalb noch eine E-Mail geschickt hat, um sie zu überprüfen – sie hat diese Mail aber an den Fake-Account geschickt. Damit hat sie dem Betrüger leider genau in die Karten gespielt.

 

Gibt es Unternehmen, die lieber schweigend zahlen, um in der Öffentlichkeit nicht als Cybercrime-Opfer dazustehen?

Da wir das Dunkelfeld nicht kennen, kann ich keine Aussage dazu treffen. Wir hoffen aber, dass möglichst viele Unternehmen die Taten zur Anzeige bringen.

 

Haben Sie eine Chance, die Täter zu kriegen?

Das Deliktsfeld mit teils international agierenden Tätern bringt es einfach mit sich, dass es schwierig aufzuklären ist. Die Behörden arbeiten stetig daran, besser zu werden. Wo es erforderlich ist, soll länderübergreifender und internationaler Austausch für eine effektivere Bekämpfung der Cyberkriminellen sorgen. Außerdem hoffen wir auch, durch Präventionskonzepte die Aufmerksamkeit auf die verschiedenen Phänomene lenken und somit Sensibilität bei den Menschen schaffen zu können. Das Ziel ist, dass die Täter gar nicht erst zur eigentlichen Tatausführung gelangen.

 

Was können die Unternehmen tun?

Das A und O ist es, bei den Mitarbeitern Awareness (Bewusstsein für die Gefahrenlage) zu schaffen, und das am besten kontinuierlich. Die Menschen in den IT-Abteilungen sollten ständig beobachten, welche neuen Maschen es gibt und alle Bediensteten regelmäßig darüber informieren, auch Zeitarbeiter und externe Dienstleister. Unternehmen sollten zudem ein durchdachtes Back-up-Konzept und eine Checkliste für einen IT-Sicherheitsvorfall erstellen. Und sie sollten klare Regelungen schaffen, wie damit umzugehen ist, wenn Zahlungen oder Waren an bislang unbekannte Konten oder Adressen geschickt werden sollen.

 

Von welchen Schadenssummen reden Sie da?

Das kommt darauf an. Letztens hat ein Unternehmen gleich zwei Mal eine Zahlung geleistet aufgrund einer Mail mit gefälschten Kontodaten – dadurch kam es zu einer Umlenkung des Zahlungsverkehrs und zu einem Schaden von insgesamt 1,3 Millionen Euro. Viel häufiger bewegen sich die Schäden aber zwischen 30.000 und 100.000 Euro. Wir haben es aber auch schon gehabt, dass Waren umgeleitet oder fälschlicherweise bestellt wurden.

 

Wie geht das genau vor sich?

Die Täter wissen, dass die Firma XY bei der Firma Z immer Waren bestellt. Sie schicken eine Fake-Mail mit einer Bestellung und dem Hinweis, die Ware bitte nicht an die gewohnte Lieferadresse, sondern zum neuen Werk zu schicken. Wenn alles plausibel erscheint, wird die Ware geliefert und sie wird auch abgeholt. Der Betrug fällt erst auf, wenn die Zahlung für die Ware ausbleibt. Das Kind ist dann schon in den Brunnen gefallen.

 

Wie wird sich Cybercrime in Zukunft entwickeln?

Solange die Menschen immer wieder auf solche Sachen reinfallen, wird es weitergehen. Ransomware und Business E-Mail-Compromise sind nach wie vor sehr erfolgreich, diese beiden Phänomene werden uns wohl noch lange begleiten. Wobei zum Beispiel Payment Diversion Fraud viel einfacher zu verhindern wäre, wenn man einfach nur ein bisschen mehr aufpasst. Das ist bei Ransomware nicht so einfach. Und es gibt natürlich auch immer besondere Fälle, wie den von einem ehemaligen IT-Administrator, der sich sukzessive eine Hintertür in seine Firma geschaffen hatte und dort alles Mögliche kaputt gemacht hat.

 

Wer kein Opfer werden will, muss also hochgradig aufmerksam sein und es den Tätern so schwer wie möglich machen – korrekt?

Wenn Unternehmen ihre Sache gut machen und Mitarbeiter sensibilisieren, reduzieren sie das Risiko schon erheblich. Aber die Betrüger sind sehr kreativ, denen fällt ständig was Neues ein – auf solche Ideen würde man selbst erst mal gar nicht kommen.

 

Lesetipp wiwo.de: Ransom-Attacken auf Firmen – „Nie drüber reden!“

MediaSaturn, Medatixx, Modehaus Hirner – zahlreiche Firmen kämpfen gerade mit Hackerangriffen. Mit den richtigen Verhandlungstricks aber können Profis Lösegelder nach Cyberattacken teils drastisch reduzieren. https://www.wiwo.de/my/technologie/digitale-welt/cybersecurity-ransom-attacken-auf-firmen-nie-drueber-reden/26972514.html?ticket=ST-7221138-pj1r361lGP4KBpZ09cGD-cas01.example.org

 

 

 

Copyright: @Claudia Tödtmann. Alle Rechte vorbehalten.

Kontakt für Nutzungsrechte: claudia.toedtmann@wiwo.de

Alle inhaltlichen Rechte des Management-Blogs von Claudia Tödtmann liegen bei der Blog-Inhaberin. Jegliche Nutzung der Inhalte bedürfen der ausdrücklichen Genehmigung.