Schön und verführerisch, wohlgestaltet und vielversprechend kam sie in die Welt, und kaum einer konnte ihr widerstehen. Nicht sofort, es dauerte eine Zeitlang, bis sie schließlich die vielzitierte Büchse öffnete und alle Plagen und Übel in die Welt entließ. Die moderne Analogie zu Pandora heißt Internet. Einst hoch gelobt entwickelt sich das Internet vom Medium der Zukunft in einen Fluch. Schlecht und schädlich und voller Gefahren für alle. Seit inzwischen mehreren Jahren vergeht fast kein Tag, an dem wir nicht über alle Kanäle mit Horrormeldungen über Betrügereien gefüttert und geängstigt werden. Da werden bei Unternehmen Millionenbeträge abgezockt (siehe Leoni AG = 40 Mio € + FACC = 50 Mio. €)1, Systeme von Krankenhäusern und ganze Stromnetze werden kompromittiert, um Institutionen und Unternehmen zu erpressen (siehe MAERSK = 250 Mio. € + Reckitt Benckiser = 110 Mio. €)2, Wahlen werden manipuliert, Daten von Kreditkarten werden gestohlen und die Eigentümer geschädigt, Mails werden abgefischt und deren Inhalte verändert, Telefonate werden abgehört, vertrauliche Daten von Menschen werden publik gemacht, im Deep Net (Darknet) kann man Waffen kaufen und Auftragskiller anheuern usw. Das alles ist schlimm und muss öffentlich gemacht werden.
Naturgemäß reagieren wir auf akute Bedrohungen. Schnell und instinktiv werden im Fall der Fälle Entscheidungen getroffen und Maßnahmen eingeleitet; dann leider oft genug in blindem Aktionismus. Latente Gefährdungen ignorieren wir dagegen gerne. Wir sind ja geschützt und glauben uns sicher und schlimme Dinge passieren sowieso den anderen. Ein böser Irrtum. Immer noch werden bei Unternehmen mittels der Masche Fake President große Summen erbeutet. Das ist Pech für die Unternehmen, Pech für die Aktionäre, Pech für die Versicherungen, und es ist fatal für die Mitarbeiter, wenn ein Unternehmen durch eine solche Attacke ins Straucheln gerät. Wenn das Kind erst mal im Brunnen liegt, hilft bestenfalls noch ein Handtuch. Lassen Sie uns deshalb lieber den Brunnen (die Büchse) verschließen.
Wir sind keine Computerfreaks und unser Wissen über Cyberkriminalität ist in den meisten Fällen mit der Bezeichnung Halbwissen sehr wohlwollend umschrieben. Nötig ist deshalb nicht allein die Warnung vor Gefahren, sondern Unterstützung bei deren Abwehr – am besten in Form von Handlungsanleitungen. Genau das ist die Aufgabe des BSI (Bundesamt für Sicherheit in der Informationstechnik). Die KRITIS (Betreiber kritischer Infrastrukturen) sind bereits aufgefordert, ihre Systeme innerhalb bestimmter Zeitfenster zu sichern. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) als zuständige Behörde wacht darüber, dass dieser Verpflichtung auch nachgekommen wird. Das bedeutet zwar ein Stück zusätzlicher Bürokratie, aber die ist dringend angeraten. 40 Millionen zu verlieren, wie bei Leoni geschehen, ist richtig bitter, aber das Leben für alle geht weiter. Werden in Krankenhäusern Patientenakten gelöscht oder die Strom- und Wasserversorgung nachhaltig gestört, ist das eine ganz andere Qualität.
Sicherheit herzustellen ist keine einmalige Aktion, sondern ein fortwährender Prozess. Betroffen ist immer die gesamte Organisation und nicht nur eine Person oder Abteilung wie z.B. „die IT“. Die Angriffe erfolgen über unterschiedliche Wege und erfordern auch unterschiedliche Maßnahmen. Dem kann man nur mit einer konzertierten Aktion begegnen. Das BSI unterstützt und berät nicht nur KRITIS, sondern alle Unternehmen bei der Umsetzung.
Der Leitfaden Informationssicherheit gibt einen kompakten Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen Informationssicherheitsmaßnahmen. Er richtet sich an Fachverantwortliche und Administratoren in kleinen und mittelständischen Unternehmen sowie in Behörden.
Ergänzt wird der Leitfaden durch die IT-Grundschutzkataloge. Man darf sich nicht durch den bloßen Umfang der Werke, immerhin deutlich über 5000 Seiten, abschrecken lassen. Der Aufbau nach dem Baukastensystem ist sehr strukturiert und die Inhalte allesamt gut verständlich formuliert.
Die Litreca AG entwickelt und vertreibt Lösungen rund um das Finanzwesen. Im Rahmen dieser kleinen Reihe wollen wir uns nicht mit den Gefahren des Internets und der IT allgemein befassen, sondern unser Augenmerk auf Betrugsmaschen und insbesondere den Zahlungsverkehr richten. Welche Angriffsflächen gibt es? Wie agieren Betrüger und wie kann sich ein Unternehmen davor schützen.
Eine alte Dame erhält sehr spät abends einen Anruf von der Kripo. Man habe ein Betrügerpaar geschnappt, das offensichtlich Teil einer ganzen Bande sei. Im Fahrzeug der Kriminellen wurden unter anderem Unterlagen und Papiere die alte Dame betreffend gefunden. Ihr Name sei …, sie sei Witwe und wohne alleine, sie sei wohlhabend und habe sowohl Schmuck als auch Bargeld im Haus, sie habe das Girokonto mit der Nummer usw. Die Dame ist völlig verunsichert. Der Kripomann befragt sie und erfährt dabei, dass sie neben dem Girokonto bei der einen Bank ein Bankschließfach bei einer zweiten Bank hat. Er veranlasst sie gleich am nächsten Morgen ihre Habseligkeiten und das Geld vom Girokonto in das Bankschließfach zu bringen, nur da sei es sicher. Er und seine Kripokollegen würden sie begleiten damit nur ja nichts passiert… Am nächsten Morgen, nach einer schlaflosen Nacht geht sie tatsächlich zur Sparkasse. Die Dame hat großes Glück. Die aufmerksame Angestellte der Bank hinterfragt, warum die Kundin denn so plötzlich ihr gesamtes Bargeld abheben wolle. Der ganze Vorgang und auch das Verhalten der Kundin kommen ihr suspekt vor. Sie informiert den Filialleiter, der wiederum direkt die Polizei einschaltet. Die Kripo kommt sofort und es gelingt die Betrüger dingfest zu machen, die vor der Bank gewartet haben.
Die erweiterte Masche Fake President startet wie üblich: Die Kriminellen schreiben eine E-Mail an eine Buchhalterin und geben sich als falscher Chef aus. Sie soll veranlasst werden, eine Überweisung auf ein Auslandskonto zu tätigen, um etwa einen angeblich streng geheimen M&A-Deal zu finanzieren. Von diesem Zeitpunkt an weichen sie von dem klassischen Vorgehen ab. Es ruft ein weiterer Betrüger an, der sich als Mitarbeiter der IT-Sicherheit ausgibt. Man habe einen Fake-President-Angriff registriert, sagte dieser. Die Geschäftsleitung und die Kripo seien bereits informiert. Man habe sich gemeinsam entschieden, die Verbrecher überführen zu wollen. Die Buchhalterin sollte daher zum Schein mitspielen und auf die Forderungen der Betrüger eingehen, damit die Polizei die Täter erwischen könne. Die Bank sei ebenfalls eingeweiht, dem Unternehmen würde kein finanzieller Schaden entstehen. Es folgen weitere Anrufe von der Kripo mit der Bitte, Bescheid zu geben, sobald die Überweisung getätigt ist, man müsse den elektronischen Weg der Zahlung realtime verfolgen. Der Buchhalterin wird eine Sicherheit vorgegaukelt. Der zuvor aufgebaute Druck wird gemildert, Entscheidung und Verantwortung liegen nicht mehr bei ihr. Da sind jetzt die Spezialisten am Werk, Gott sei Dank. Die Buchhalterin fällt auf die neue Masche rein und überweist das Geld.
Gemein ist den beiden Fällen die Schwachstelle Mensch. Über die meisten von uns, genauso wie über Unternehmen, finden sich im Netz so viele Informationen, dass social engineering eine leichte Übung ist. Schwierig wird es für die Kriminellen nur dadurch, dass die Betrugsmaschen immer bekannter werden. Die Betrüger schlüpfen daher in andere Rollen, um mit ihren Manipulationen weiterhin erfolgreich zu sein. Man kann der alten Dame gar keinen Vorwurf machen. Die Polizei ruft an. Die Angst, die ihr zunächst durch die Schilderung gemacht wird, wird direkt gemildert. Wir sind die Guten, wir helfen ihnen, wir passen auf sie auf. Wem sollte man denn sonst vertrauen? Zum Glück war die Mitarbeiterin der Sparkasse misstrauisch und hat schnell geschaltet.
Aber wie steht es mit der Buchhalterin? Tatsächlich ist der aufgebaute Druck – Mail von einem hochgestellten Vorgesetzten, Verpflichtung zur Vertraulichkeit etc. – enorm. Der Vorgang ist so außergewöhnlich, dass sie sicher ein ungutes Gefühl oder sogar eine Vermutung hat, dass da etwas nicht stimmt. Aber was, wenn die Anweisung echt ist? Kann/darf/muss sie sich widersetzen; am Ende schadet sie vielleicht der Firma oder auch sich selbst? Da kommt der Anruf von den Sicherheitsleuten gerade recht…
Ein Rückruf bei der IT und es wäre kein Schaden entstanden. Aber ehe wir die Buchhalterin verurteilen… Verunsicherung und Zweifel sind bei beiden Frauen dieselben. Das ist keine Frage des Geschlechts und auch keine des Alters. Man kann von jemandem, der derart unter Druck steht, keine rationale Reaktion erwarten. Der Fehler ist in der Organisation zu suchen. Wenn es Vorgaben und Regularien gibt, halten sich die Menschen auch an diese. Es braucht also einen Maßnahmen- bzw. einen Verhaltenskatalog. Eine Anweisung vom CFO oder CEO direkt an eine Buchhalterin? Streng geheime M&A-Deals? Eine Verpflichtung zur Verschwiegenheit? Solche Dinge gehen gar nicht. Vom Unternehmen, vom CEO selbst müssen die Verhaltensregeln vorgegeben werden. Auf welche Aktion folgt welche Reaktion muss festgelegt und allen Mitarbeitern bekannt gemacht werden; einschließlich Strafen bei Nichteinhaltung. Man darf jeden Mitarbeiter in die Pflicht nehmen, solange er vorher darüber informiert wurde, welche Pflichten er denn hat.
Bei einem mittelständischen Unternehmen wurde der Exchange-Server geknackt. Ausgewählte Mails wurden zunächst umgeleitet und die angehängten Rechnungen manipuliert. In den Dokumenten wurden die Kontonummern geändert. Anschließend wurden die Mails wieder eingeschleust. In einem Fall änderte ein Kunde die Kontodaten in den Stammdaten des ERP-Systems entsprechend der Angaben auf der gefälschten Rechnung und überwies den Rechnungsbetrag von über 500.000 Euro auf das Konto der Betrüger. Das Geld war weg und konnte auch nicht wiederbeschafft werden. Den folgenden Rechtsstreit gewann der Lieferant, weil das Gericht die Änderung der Kontodaten ohne nochmalige Rückfrage als grob fahrlässig einstufte. Der Schaden beim Kunden war unmittelbar, da die Versicherung nur einen geringen Teil des Schadens übernahm. Der Schaden beim Lieferanten ist langfristig, da der Kunde die Geschäftsbeziehung abgebrochen hat.
Auch hier liegt nicht das Versagen von Mitarbeitern vor, sondern das der Organisation. Die Daten waren korrekt in das ERP-System übernommen worden. Die Buchhalter hätten den Schwindel auch bei Einhaltung eines 20-Augen-Prinzips nicht bemerken können. Einzig eine direkte Nachfrage beim Lieferanten hätte den Schaden verhindert. Dazu sind aber strikte Vorgaben nötig. Mehr als 4 Augen sind bei der Datenerfassung nicht notwendig, wohl aber eine Verifikation der ursprünglichen Anforderung. Hierzu müssen die Abläufe im Unternehmen angepasst werden. Keine Änderung von Stammdaten ohne vorherige Rückfrage. Das braucht Personal, das braucht Zeit und das kostet Geld.
Bei Unternehmen, die in der Vergangenheit bereits Opfer von Betrügern geworden sind, ist der Wille zur Investition in Sicherheit naturgemäß höher als bei denen, die bisher davongekommen sind. Das Herstellen von Sicherheit ist sehr aufwendig. Aufgrund der Komplexität der Systeme und der Vielfältigkeit der Gefahren (auch der Kreativität der Kriminellen geschuldet) ist das nur durch eine konzertierte Aktion zu erreichen. Geschäftsleitung, IT und Fachbereiche müssen eingebunden werden und Prozesse müssen auf den Prüfstand. Bei allen Beteiligten muss ein Bewusstsein für die Notwendigkeit geschaffen werden. Personelle Ressourcen und finanzielle Mittel müssen bereitgestellt werden. Das alles ist schwierig zu argumentieren. Während man den Invest ziemlich genau beziffern kann, zeichnet sich der Return durch das Ausbleiben des Schadensfalles aus und ist damit vollkommen unbestimmbar. Trotzdem…
Um bei dem Bild vom Anfang zu bleiben: Am Grunde der Büchse der Pandora ist die Hoffnung. Sich auf die zu verlassen scheint mir aber ziemlich fatal. Zu hoffen heißt ja in unserem Fall, darauf zu vertrauen und daran zu glauben, dass nichts passieren wird. Da bin ich lieber weniger schicksalsergeben und wehre mich aktiv.
Sie, liebe Leser, sind aufgefordert sich zu beteiligen, sodass eine rege Diskussion zum Thema entsteht, von der alle profitieren. Ist ihr Unternehmen bereits Opfer von Attacken geworden? Wie sind die Betrüger vorgegangen? Konnten sie die Angriffe abwehren? Ist es zu Schäden gekommen? Welche Maßnahmen haben sie eingeleitet? Wurden die Schäden von z.B. einer Versicherung reguliert?
Schreiben Sie uns gerne Ihre Erfahrungen und helfen Sie damit allen.
Einzelnachweise:
1 https://www.dertreasurer.de/news/risiko-management/leoni-arbeitet-fake-president-fall-auf-57521/
2 https://www.dertreasurer.de/news/risiko-management/kriminelle-ergaunern-mit-fake-president-53-milliarden-dollar-59331/
