Millionenschaden durch Internetkriminalität

Gefälschte Mails vom Chef

Symbolfoto zum Thema Internetkriminalität: eine Hand vor einem Computer-Monitor
Der Vorgesetzte braucht schnell mal was - auf diese Weise stehlen Hacker von Unternehmen Millionen. © imago / epd / Annette Zoepf
Sandro Gaycken im Gespräch mit Ute Welty · 20.08.2016
Wenn der Boss per Mail um etwas bittet, fragen Angestellte meistens nicht lange nach. Mit dieser Masche haben Betrüger bereits Millionen Euro erbeutet. Sicherheitsfilter helfen hier leider kaum, sagt Internet-Experte Sandro Gaycken.
Jüngstes Opfer von Internetkriminalität ist der Automobil-Zulieferer Leoni in Nürnberg. Um 40 Millionen Euro sollen die Täter das Unternehmen betrogen haben. Mit gefälschten Dokumenten und Identitäten sowie elektronischen Kommunikationswegen sei das Geld auf Auslandskonten transferiert worden.

Gegen "Fake President"-Trick fast machtlos

Dass man Mails von einem fragwürdigen Absender besser löscht, das hat sich längst herumgesprochen. Deshalb setzten Cyber-Kriminelle immer öfter auf den so genannten "Fake President"-Trick. Und gegen den seien die Unternehmen nahezu machtlos, sagt Sandro Gaycken vom Digital Society Institute in Berlin.
In der Regel versuchten sich die Angreifer eine E-Mail-Adresse zu besorgen, die nach dem eigenen Konzern aussehe, sagte Gaycken im Deutschlandradio Kultur. Gleichzeitig brächten die Betrüger in Erfahrung, wer in der Geschäftsführung sitze und in welchen Prozessen sich das Unternehmen im Moment befinde. Angestellte erhielten dann Mails, in denen Vorgesetzte "mal ganz schnell" Zugangsdaten benötigten.

Lücke zwischen Unternehmensleitung und Arbeitsebene

In den meisten Unternehmen bestehe eine große Lücke zwischen Unternehmensleitung und Arbeitsebene, "so dass die selbst gar nicht groß nachfragen oder sich persönlich kennen und dann reagiert man meistens als Angestellter, indem man es einfach losschickt".
Da es sich um sehr weit entwickelte Betrugsmodelle handele, seien solche Vorgänge oft schwer zu bemerken, so Gaycken. Die E-Mails seien meist "sehr sehr glaubwürdig". Spezielle Filter böten hier kaum Sicherheit, denn die ließen sich nur einbauen, wenn man genau wisse, wer der Angreifer sei. Auch die Aufmerksamkeit von Mitarbeitern helfe hier nicht: "Das ist sinnlos. Man kann ja nicht jede E-Mail mit einem Telefonat begleiten."

Das Interview im Wortlaut:
Ute Welty: Sollten Sie Kabel im Auto haben, und davon gehe ich mal, besteht eine gute Chance, dass diese Kabel von Leoni kommen, denn das ist eines der großen Geschäftsfelder des Unternehmens mit Hauptsitz in Nürnberg, das weltweit operiert und auch im MDax gelistet ist. Leoni gehört zu den wenigen Firmen, die zugeben, dass sie Opfer der sogenannten "Fake President"-Masche geworden sind. Mit gefälschten E-Mails von angeblichen Chefs erbeuten Hacker so Millionen – 40 Millionen Euro sind es im Fall von Leoni. Ein Betrug, der auch bei einem solchen Konzern die Portokasse deutlich übersteigt. Mit diesen und anderen Fällen von Internetkriminalität kennt sich Sandro Gaycken bestens aus, Direktor des Digital Society Institutes in Berlin, das ist eine Einrichtung, wo große Unternehmen zu digitalen Fragen forschen lassen. Guten Morgen, Herr Gaycken!
Sandro Gaycken: Guten Morgen!
Sandro Gaycken, IT-Experte für Cyber Defence der der European School of Management and Technology in Berlin
Sandro Gaycken, IT-Experte für Cyber Defence der der European School of Management and Technology in Berlin© imago stock&people
Welty: Wie läuft diese Art des Betrugs "Fake President" üblicherweise ab?
Gaycken: Na da gibt es verschiedene Varianten. Im Grunde genommen versuchen die Angreifer sich irgendwie eine E-Mail-Absenderadresse zu besorgen, die sehr nach dem eigenen Konzern aussieht, guckt dann vorher, wer alles in der Unternehmensleitung sitzt, gucken normalerweise dann auch, was für Prozesse das Unternehmen gerade durchmacht, und dann schicken die eine E-Mail von jemandem aus der Unternehmensleitung aus einem scheinbar laufenden Prozess, wo dann drinsteht, ich brauche mal ganz schnell das und das, ich bin hier im Ausland auf dem Termin so und so, und schicke mir mal schnell die Zugangsdaten für dies und das oder die Geheimdaten für so und so. Normalerweise haben wir dann in den deutschen Unternehmen und in vielen anderen Unternehmen auch eine relativ hohe Lücke zwischen der Unternehmensleitung und der Arbeitsebene, sodass sie selbst gar nicht groß nachfragen oder sich persönlich kennen. Dann reagiert man meistens als Angestellter, indem man das einfach losschickt, und dann nutzen die Angreifer das, um das Unternehmen weiter anzugreifen, Geld abzuheben, Informationen zu verkaufen, solche Dinge.
Welty: Lässt sich beziffern, wie groß der Schaden ist, der bislang aufgrund der "Fake President"-Masche entstanden ist, wie oft jemand darauf hereingefallen ist?

"Die Betrugsmodelle sind schon relativ weit entwickelt"

Gaycken: Nee, überhaupt nicht. Das ist natürlich was, was den Unternehmen hochnotpeinlich ist, wenn es passiert, auch den Angestellten. Man muss es auch erst mal merken, woher dann so ein Angriff kommt. Der geht ja meistens dann auch ein paar Stufen weiter. Die Betrugsmodelle sind da schon relativ weit entwickelt, und das ist also erst mal schwer zu merken, und dann ist es halt natürlich auch sehr peinlich, das zuzugeben. Von daher haben wir da keine offiziellen Zahlen.
Welty: Eine gefälschte E-Mail nicht zu hinterfragen – Sie haben es gerade gesagt –, das ist nicht nur für den Mitarbeiter peinlich, sondern auch für das Unternehmen. Inwieweit spielt das den Betrügern in die Hände?
Gaycken: Das spielt den schon seit Jahren sehr gut in die Hände. Die haben da quasi eine große Spielwiese, wo sie relativ risikoarm operieren können. Das ist auch bei Cyberindustrie-Spionage nach wie vor ein großes Problem, dass eigentlich fast nichts zur Anzeige gebracht wird. Von daher können die natürlich völlig frei von Strafverfolgung agieren.
Welty: Auch wenn es sich so ganz einfach anhört, so ein Betrug setzt ja ein gewisses Handwerk voraus. Das muss vorbereitet werden. Ich muss ja wissen, an wen ich eine solche E-Mail beispielsweise schreibe und welche Strukturen im Hintergrund ich vorgeben muss. Was weiß man über die Täter bislang?
Gaycken: Nicht so viel. Es gibt natürlich verschiedene Tätergruppen inzwischen. Das ist also ein Feld, das sich auch in den letzten Jahren stärker ausdifferenziert hat, auch arbeitsteilig entwickelt hat. Das kann man einmal als Dienstleistung buchen, dass sowas für einen gemacht wird, wenn man einen bestimmten Betrug vorhat, man kann aber halt eben das auch selber machen, wenn man dann eine entsprechende Expertise mitbringt. Da muss man allerdings dann tatsächlich auch ein bisschen die Sprache natürlich sehr gut können, man muss dann auch sehen, dass man einen Stil, einen Sprachstil imitieren kann, dass also so eine E-Mail auch aussieht, als käme sie tatsächlich von der eigenen Unternehmensleitung, man muss wirtschaftliche Prozesse verstehen können. Von daher sind das oft dann schon zumindest im kleineren Maße organisierte Kriminelle, die hinter diesen Aktivitäten stehen.
Welty: Dass man mit E-Mails vorsichtig sein sollte, das weiß man ja spätestens, nachdem irgendwelche Erbschaften völlig überraschend auf nigerianischen Konten aufgetaucht sind. Warum funktioniert das trotzdem immer wieder?

"Das sind E-Mails, die erkennen Sie nicht"

Gaycken: Na ja, bei den Unternehmen, die jetzt damit angegriffen werden mit diesen sogenannten Spear-Phishing-Methode, wie man das nennt, die sind halt sehr spezifisch, die E-Mail. Die sind schon sehr, sehr glaubwürdig, auch die Prozesse, die dann beschrieben werden, sind sehr glaubwürdig. Wir hatten zum Beispiel auch die letzten zwei Jahre sehr, sehr gut gemachte Spear-Phishing-Angriffe im Bankenbereich von wirklich sehr gut organisierten Kriminellen, die also Merger- Acquisition-Prozesse angegriffen haben und da auch bis zu hunderte Millionen abgegriffen haben. In der Biotechnologie zum Beispiel gab es einen riesigen Angriff auch, und das sind E-Mails, die erkennen Sie nicht. Das ist so wie als würde Ihnen Ihr Intendant eine E-Mail schreiben, auf die Sie sowieso schon lange warten mit einem Anhang für eine Konferenz, auf der Sie sprechen sollen, und dann rufen Sie auch nicht an und fragen nach, hast du mir jetzt wirklich diese E-Mail geschickt, sondern das guckt man sich an, das erwartet man, man öffnet den Anhang, guckt da rein, das ist eventuell sogar ein Anhang, den man erwartet, es kann sein, dass die Angreifer den kurz rausziehen aus dem E-Mail-Verkehr, dann wieder initiieren, aber in dem Anhang war dann halt eine Angriffsware. Da hat man also praktisch überhaupt keine Chance, das zu erkennen.
Welty: Wie können sich Unternehmen schützen? Lassen Sie sich beispielsweise Filter einrichten, die vor gefälschten Mails warnen?
Gaycken: Filter lassen sich leider erst einrichten, wenn man den Angreifer genau kennt. Das ist halt immer ein Problem dieser ganzen IT-Sicherheitsindustrie. Die baut nach wie vor massiv auf Filter. Das ist halt eine Technologie aus den 90ern, die kennt man gut, aber auch schon aus den 90ern wissen wir, dass die Technologie eigentlich nicht funktioniert, weil man eben genau wissen muss, gegen wen man sich da eigentlich filtern will, was man da eigentlich genau wissen muss, um den Angreifer überhaupt erst mal zu erkennen, und das funktioniert halt nur sehr schlecht.
Welty: Was hilft denn?
Gaycken: Also man hat eigentlich immer gesagt, 'awareness', das ist so das große Ding, was alle Unternehmer vor sich hertragen. Der Mitarbeiter muss sensibel sein für solche Prozesse, aber in diesem Fall von sehr gut gemachten Spear-Phishing-Angriffen, das ist einfach sinnlos. Man kann einfach nicht jede E-Mail mit einem Telefonat begleiten. Man kriegt ja meisten irgendwie so 100, 150 Stück davon, wenn man in so einem Unternehmen arbeitet pro Tag, und wenn man da hinter jeder E-Mail hinterhertelefoniert, ob die jetzt wirklich von dem Absender kommt und wirklich geschickt wurde, das lähmt ja den ganzen Prozess. Von daher, da gibt es kein richtiges Rezept dagegen.
Welty: Auf jeden Fall Augen auf beim Maillesen, und im Zweifel lieber einmal mehr nachfragen, sagt Sandro Gaycken, Direktor an der Digital Society Institute. Ich sage herzlichen Dank für dieses Gespräch!
Gaycken: Gerne!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio Kultur macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Mehr zum Thema