Wettrüsten im virtuellen Raum

Juli 2015 | Wirtschaftswoche | Risikomanagement

Wettrüsten im virtuellen Raum

Das Internet ist zum Risikofaktor geworden. Besonders deutsche Unternehmen und Institutionen stehen im Visier von Cyber- kriminellen und Geheimdiensten. Ein effektiver Schutz ist anspruchsvoll, aber dringend notwendig.

Mirko Heinemann / Redaktion

Jeder wird diese E-Mails kennen: Höflich im Ton, holprig im Deutsch, bitten vorgebliche Geschäftsleute aus einem fernen Land um Hilfe. Es geht meist um die Transaktion einer höheren Geldsumme, die aus einer Firmenauflösung oder einer Erbschaft stamme und jetzt in Sicherheit gebracht werden müsse. Ob man nicht bei der Transaktion helfen und sein Bankkonto zur Verfügung stellen wolle? „Am Ende der Transaktion wird 40 Prozent für Sie sein, und 60 Prozent für mich und meine Kollegen sein“, heißt es da etwa.   


Wer sich wundert, ob es Menschen gibt, die solche E-Mails positiv beantworten: Es gibt sie. Obwohl jedem klar sein dürfte, dass hinter dem Absender mit hoher Wahrscheinlichkeit eine kriminelle Bande steht. Noch höher ist die Wahrscheinlichkeit, dass, sollte tatsächlich eine Transaktion stattfinden, sie nicht nur illegal ist, sondern ein weitaus größeres Verbrechen verschleiern soll. Auf diese Weise werden aus Bürgern leicht „Money Mules“, Geld-Esel, die etwa Cyberkriminellen helfen, gestohlenes Geld in verborgene Kanäle zu transferieren.


So geschehen bei den Anschlägen einer internationalen Hackergruppe auf österreichische Großbanken. Ein kriminelles Netzwerk war über Jahre in Online-Banking-Systeme eingedrungen und hatte mit Schadprogrammen wie den Trojanern „Spxeye“ oder „Citadel“ TAN-Codes gestohlen. Mit diesen TAN-Codes überwiesen die Täter fremdes Geld auf Konten von Mittelsmännern. Die Rekrutierung dieser Mittelsmänner erfolgte über Spam-Mails, mit denen die Kriminellen für eine lukrative Heimarbeit warben. Der Job bestand dann darin, gegen Bezahlung das eigene Konto zur Verfügung zu stellen, über das von fremden Konten gestohlenes Geld transferiert wird. Zwei Millionen Euro sollen die Hacker auf diese Weise nur in Europa erbeutet haben. Weltweit soll der Schaden ein Vielfaches davon betragen.


Dieser Fall zeigt nicht nur, dass sogar die sicher erscheinenden Online-Banking-Systeme angreifbar sind. Sondern auch, dass viele Menschen entweder keinerlei Ahnung von den Möglichkeiten moderner Cyberkriminalität haben – oder sie gar als eine Art Kavaliersdelikt einschätzen. Das österreichische Bundeskriminalamt zeigte sich jedenfalls „überrascht über die Bereitschaft einer relativ großen Anzahl an Personen“ in Österreich, sich am Geldwäsche und -verschiebe-System solcher Banden zu beteiligen. Viele Beteiligte wollen nicht gewusst haben, dass sie etwas Illegales tun.


Der Fall zeigt auch: Kein System ist sicher, nirgendwo auf der Welt. Auch deutsche Unternehmen sind schlecht geschützt gegen Cyberangriffe. Der Hightech-Verband Bitkom gibt an, dass jedes dritte Unternehmen in Deutschland in den vergangenen zwei Jahren IT-Sicherheitsvorfälle verzeichnete. Danach waren kleine und mittelständische Unternehmen öfter betroffen als große. Das ergab eine repräsentative Umfrage unter 458 Unternehmen ab 20 Mitarbeitern. „Deutsche Unternehmen sind zu einem attraktiven Ziel für Cybergangster und ausländische Geheimdienste geworden“, erklärte Bitkom-Präsident Dieter Kempf. „Umso wichtiger ist es, die Sicherheitsvorkehrungen immer auf dem neuesten Stand zu halten und regelmäßig in den Schutz der eigenen IT-Systeme zu investieren.“ Dass sogar dies nicht immer ausreicht, zeigt der Fall der österreichischen Großbanken. Egal, wie die Geldinstitute ihre Sicherheitssysteme aufrüsteten – die Täter zogen nach.


Die avisierte Beute von kriminellen Hackern ist zum einen das schnöde Geld, so wie bei dem Anschlag auf die österreichischen Großbanken. Attacken gegen das produzierende Gewerbe zielen hingegen meist auf die Erbeutung von technologischem Know-how oder von strategischen Informationen. Andere wollen unliebsame Konkurrenten schwächen. Manche Angriffe haben auch politische Gründe, so mutmaßlich im Fall des Filmstudios Sony Pictures.Im vergangenen November hatten Hacker vertrauliche Daten aus dem Unternehmen entwendet – darunter E-Mails von Hollywood-Stars und unveröffentlichte Filme – und sie ins Netz gestellt. Vorangegangen war ein Konflikt zwischen dem Unternehmen und der nordkoreanischen Regierung wegen der von Sony Pictures produzierten Nordkorea-Satire „The Interview“. Der US-amerikanische Geheimdienst sah nordkoreanische Hacker am Werk. Amy Pascal, Co-Chefin von Sony-Pictures, kostete der Hackerangriff den Posten.

»Auch deutsche Unternehmen sind schlecht geschützt gegen Cyberangriffe.«

Die Politik hinkt hinterher. Wie zum Hohn wurde der Deutsche Bundestag  – zwei Wochen vor Verabschiedung des sogenannten IT-Sicherheitsgesetzes – selbst zur Zielscheibe eines groß angelegten Cyberangriffs. Die Täter erbeuteten vertrauliche Dokumente von Abgeordneten. Mit dem neuen IT-Sicherheitsgesetz möchte die Regierung vor allem die Versorgung der Bürger sichern. Betreiber von IT-Infrastrukturen aus den Bereichen Energie, Transport, Verkehr und Wasser werden verpflichtet, einen Mindeststandard einzuhalten und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Ziel ist es, ein umfassenderes Bild der Gesamtbedrohungslage zu erlangen und andere Unternehmen vor ähnlichen Angriffen warnen zu können. Kritiker halten das Gesetz für zahnlos, so lange die Betreiber nicht gezwungen seien, Schwachstellen ihrer IT „sowohl nachträglich zu beheben als auch aktiv zu suchen und zu beseitigen“. Diese Kritik wurde von einem Sprecher des Chaos Computer Clubs in einer Stellungnahme für den Bundestagsinnenausschuss geäußert. Und auch der Brachenverband Bitkom meldet Bedenken an. Laut einer aktuellen Studie belaufen sich die jährlichen Kosten durch die gesetzliche Meldepflicht auf 1,1 Milliarden Euro.


Besonders ärgerlich ist, dass aufgrund der klandestinen und internationalen Strukturen Täter selten ausfindig gemacht werden. Kleiner Trost: Im spektakulären Fall der österreichischen Großbanken konnten 60 Beschuldigte ermittelt, viele auch verhaftet werden. Vier Jahre lang hatten Europol-Beamte gemeinsam mit Behörden aus Belgien, Finnland, Großbritannien, den Niederlanden und Norwegen ermittelt. Mitte Juni war es soweit: Ukrainische Sondereinheiten, Europol-Spezialisten und Beamte des Wiener Bundeskriminalamtes durchsuchten Räume in Kiew, Odessa, Charkiv und Dnipropetrowsk und verhafteten fünf führende Mitglieder der Bande.