Von CEO-Fraud bis Zero Day

Oktober 2018 | Wirtschaftswoche | Risikomanagement

Von CEO-Fraud bis Zero Day

Attacken von Internetkriminellen sind eine große Bedrohung für die Wirtschaft

Illustration: Alin Bosnoyan
Mirko Heinemann / Redaktion

Klassischer Trick: Ein Internet-Betrüger gibt sich als Vorgesetzter seines Angestellten mit Prokura aus und schreibt unter diesem Namen eine „dringliche“ E-Mail an seinen Mitarbeiter. Die Anweisung: Der Kollege solle schnell einen bestimmten Betrag an ein Konto im Ausland überweisen, weil dort dringende Steuerzahlungen geleistet werden müssten. Manche würden angesichts einer solchen Nachricht vielleicht misstrauisch – manchmal aber kommen Cyberkriminelle damit durch. Ermittler nennen diese Masche „CEO Fraud“, der Begriff setzt sich aus den englischen Wörtern für Geschäftsführer (Chief Executive Officer) und Betrug (Fraud) zusammen.


Die aktuellen Zahlen, die Bitkom Mitte September vorgestellt hat, sprechen eine eindeutige Sprache: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden, so der Digitalverband. Als größte Gefahr für die Sicherheit sehen IT-Experten von Industrieunternehmen derzeit die sogenannten Zero-Day-Exploits. Hierbei erfolgt ein Angriff auf die IT eines Unternehmens am selben Tag, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird – kurz bevor der Softwarehersteller die Lücke schließen kann.


Für die repräsentative Studie befragte der Verband 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen. Zwei Drittel aller Industrieunternehmen sind in diesem Zeitraum Opfer entsprechender Angriffe geworden. Deutsche Technologieführer sind demnach bevorzugtes Ziel: „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie. „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“


Schaut man sich die Delikte im Einzelnen an, relativiert sich das Schreckensbild ein wenig. So wurden bei einem Drittel der Unternehmen IT- oder Telekommunikationsgeräte gestohlen, aber immerhin sind bei fast einem Viertel sensible digitale Daten abgeflossen. Bei fast der Hälfte der betroffenen Industrieunternehmen wurden Kommunikationsdaten wie Emails gestohlen. Bei rund 20 Prozent der Unternehmen sind durch digitale Angriffe jeweils Kundendaten und Finanzdaten abgeflossen. Patente und Ergebnisse aus Forschung und Entwicklung sind bei jedem zehnten Unternehmen in kriminelle Hände gefallen. „Viele Unternehmen nehmen das Thema Sicherheit noch zu sehr auf die leichte Schulter, auch weil ihnen das entsprechende Know-how fehlt“, so Berg. „Erster und wichtigster Schritt ist, IT-Sicherheit im Unternehmen zur Chefsache zu machen.“


Eine weitere Form von Cyberkriminalität sind die so genannten DdoS-Attacken. Bei diesem „Distributed Denial of Service“ wird absichtlich eine Überlastung der Unternehmensserver herbeigeführt, indem eine extrem hohe Zahl von Zugriffen erfolgt. Zuletzt wurde eine Cyber-Attacke auf den Energie-Konzern RWE bekannt. Der Konzern gab an, dass die Webseiten teilweise oder gar nicht erreichbar waren. Wahrscheinlich war die Attacke politisch motiviert und hing mit der Räumung des Besetzercamps im Hambacher Forst zusammen. Der Wald soll gerodet werden, um weiter Braunkohlevorkommen im rheinischen Tagebaugebiet zu erschließen.


Ebenfalls gefürchtet sind Angriffe mit so genannter Ransomware. So werden Virenprogramme genannt, die in die IT-Infrastruktur der Unternehmen eingeschleust werden, sich automatisch dort installieren und die auf dem Server abgelegten Daten mit einem Code verschlüsseln. Die Anwender werden darüber informiert, dass ihre Daten erst nach Anweisung eines Lösegelds in einer Kryptowährung wieder freigegeben werden. Weil viele Unternehmen Sicherheitsvorfälle aus Angst um ihre Reputation lieber verschweigen, ist die Dunkelziffer hoch.


„Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV). Nicht nur Diebstahl macht der Industrie zu schaffen. Jedes fünfte Industrieunternehmen berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Haldenwang: „Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schadsoftware mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten.“


Die Strafverfolgungsbehörden tun sich schwer. Es mangelt vor allem an ausreichend qualifiziertem Personal. Die Ausbildung von Juristen und Polizisten sei im analogen Zeitalter stecken geblieben, beklagen Experten in der Stuttgarter Zeitung. „Alles digitalisiert sich, aber unsere Juristenausbildung bleibt komplett analog“, erklärt Oberstaatsanwalt Andreas May von der Zentralstelle für Internetkriminalität in Gießen. „Moderne Kriminalitätsformen haben an den Universitäten bisher keinen Einzug gehalten. Auch bei der Polizeiausbildung spielen die keine Rolle. Die Ausbildung ist noch sehr traditionell.“ Polizei und Justiz seien, „was die Ausbildungskonzepte angeht, sehr unbeweglich“. Die Schwierigkeiten lägen auf tatsächlicher Ebene, weil es schwierig sei, Datenspuren zu sichern, und die Server, von denen die Schadsoftware gesteuert wird, oft im Ausland stehen.


Dabei stammen die Täter nach Bitkom-Erkenntnissen häufig aus den eigenen Reihen. Bei fast zwei Drittel der Betroffenen gingen Delikte von ehemaligen oder derzeitigen Mitarbeitern aus. Die Hälfte der geschädigten Unternehmen hat Kunden, Lieferanten, externe Dienstleister oder Wettbewerber als Täter identifiziert. Mitarbeiter sind es, die auf der anderen Seite aber auch dafür sorgen, dass kriminelle Handlungen aufgedeckt werden. Sechs von zehn betroffenen Industrieunternehmen sind so erstmalig auf Angriffe aufmerksam geworden. „Der effektivste Schutz vor Spionage, Diebstahl oder Sabotage sind motivierte, gut geschulte und aufmerksame Mitarbeiter“, so Bitkom-Präsident Berg. ■