Chef-Masche und Viren-Befall

Die fie­sen Tricks der Cyber­kri­mi­nel­len

Hacker nutzen verschiedene Methoden, um Betrieben zu schaden: Datendiebstahl, Sabotage oder Erpressung. Mal gehen sie gezielt vor, mal richten sich ihre Angriffe auf die breite Masse.

Sie sind allgegenwärtig und dringen doch nur selten an die Öffentlichkeit: Hackerangriffe auf Unternehmen. Mehr als die Hälfte der Betriebe in Deutschland sind in den letzten Jahren schon Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden, zeigt eine Studie des IT-Branchenverbands Bitkom aus dem Jahr 2017. Der Schutz vor Angriffen ist nicht leicht, denn die Methoden der Hacker sind vielfältig. 

Datendiebstahl

Es ist der bis heute größte bekannte Datenklau der Geschichte: 2013 verschafften sich Hacker Zugang zu Informationen über sämtliche Nutzer des Internetkonzerns Yahoo, insgesamt drei Milliarden Konten waren betroffen. Der Wert des einstigen Internet-Riesen sackte nach Bekanntwerden des Skandals ab, sehr viele Nutzer löschten ihr Konto. Der geschäftliche wie der Imageschaden waren immens.

Datendiebstähle wie dieser sind für Hacker ein lukratives Geschäft: Ob E-Mail-Adressen, Wohnanschrift oder Kreditkarteninformationen – alles lässt sich auf dem Schwarzmarkt zu Geld machen. Doch nicht nur auf Identitätsdaten haben es Hacker abgesehen: Auch Betriebsgeheimnisse oder Patente werden gestohlen und auf dem weltweiten Schwarzmarkt meistbietend verkauft. 

Im Visier der Hacker sind nicht nur Großkonzerne wie Yahoo, sondern auch viele kleine und mittelständische Betriebe, wie der Angriff auf Auerbachs Keller belegt. 2015 drang eine internationaler Hacker-Bande ins Kassensystem des berühmten Leipziger Restaurants ein und erbeutete Kreditkarteninformationen von etwa 400 Gästen. Der Schaden: mehr als 100.000 Euro. 

Das ist vergleichsweise wenig: Auf durchschnittlich 4 Mio. Dollar beziffert eine Studie des US-amerikanischen Ponemon Institute die Kosten von Datendiebstahl. Die Summe beinhaltet nicht nur die direkten Kosten für IT-Experten oder eventuelle Anwaltskosten. Sie schließt auch Umsatzeinbußen mit ein und die nötigen Investitionen, um Kunden wiederzugewinnen. Dazu kommen der Imageverlust und das Absacken des Unternehmenswerts. 

Zudem müssen Unternehmen Klagen von Kunden fürchten, deren Daten entwendet wurden.  Und es drohen behördliche Untersuchungen, Bußgelder oder Strafzahlungen. Aus Angst vor den Folgen versuchen viele Unternehmen deshalb, Datenpannen unter den Teppich zu kehren. Doch das ist nicht zu empfehlen: Ab Mai 2018 müssen Unternehmen den Verlust von Kundendaten in den meisten Fällen den Aufsichtsbehörden melden. Wer das nicht tut, riskiert hohe Strafen


Sabotage

Früher ängstigten sich Unternehmen davor, im Firmennetzwerk nach Betriebsgeheimnissen ausspioniert zu werden. Wer keine Geheimnisse hatte, wähnte sich sicher: Ein Irrglaube. Zum einen, weil immer mehr Schadsoftware darauf ausgerichtet ist, die – spätestens im Zuge von Industrie 4.0 zunehmend computergesteuerten – Abläufe innerhalb von Unternehmen lahmzulegen. Zum anderen, weil es als Sabotage-Akt völlig ausreicht, den Zugriff auf die Daten zu unterbinden, um das Geschäft weitgehend oder komplett zum Erliegen zu bringen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt die Bedrohung durch Cybersabotage „besorgniserregend“. Seit dem Computerwurm Stuxnet wisse man, „dass die Sabotage von Maschinen und Einrichtungen durch Cyberangriffe nicht nur denkbar ist, sondern tatsächlich auch durchgeführt wird“. Mit Stuxnet sollten 2010 wahrscheinlich iranische Atomanlagen sabotiert werden. Auch in Deutschland gibt es ähnliche Sabotage-Fälle zum Beispiel von Produktionsanlagen durch ausländische Konkurrenten. 

Auch Ddos-Attacken gehören zum Repertoire der Saboteure: Dabei wird ein Internet-Server mit so vielen Anfragen bombardiert, bis er überlastet zusammenbricht. Gerade Internet-Shops, die auf eine funktionierende Website angewiesen sind, können enorme Einbußen erleiden. Denn ist die Website nicht zu erreichen, steht der Betrieb still.  
Für die meisten Sabotage-Akte sind allerdings keine kriminellen Hackerbanden verantwortlich. Laut einer Umfrage des Digitalverbandes Bitkom haben 52 Prozent der betroffenen Unternehmen aktuelle oder ehemalige Mitarbeiter als Täter ausgemacht. Sie manipulieren oder löschen absichtlich Daten oder zerstören ganze Datenträger. 


Erpressung

Die größte aktuelle Bedrohung sind Erpresserprogramme: Laut einer BSI-Umfrage wurde fast jedes dritte von rund 600 befragten Institutionen Opfer sogenannter Ransomware. 23 der 190 Betroffenen meldeten einen erheblichen Ausfall von Produktion und Dienstleistung, 21 verloren wichtige Daten, bei vieren gefährdete der Angriff sogar die wirtschaftliche Existenz.

Angreifer schleusen Verschlüsselungstrojaner wie Locky oder WannaCry über E-Mail-Anhänge in die Computer ihrer Opfer ein. So werden Dokumente, Fotos, E-Mails und sogar komplette Datenbanken unbrauchbar. Wer wieder an seine Daten will, muss den Angreifern ein Lösegeld („ransom“) zahlen.

Ransomware breitet sich mit rasender Geschwindigkeit aus. Solche Schadprogramme machten 2016 fast 40 Prozent der verschickten Spam-Mails aus, errechneten Forscher von IBM. Ein Jahr zuvor waren es lediglich 0,6 Prozent. In den Mails wird – häufig sehr überzeugend formuliert – zum Öffnen eines Dateianhangs oder Anklicken eines Internet-Links aufgefordert, hinter dem sich die aktuellste Version des Schädlings verbirgt. Das FBI schätzt, dass Kriminelle in den USA allein in den ersten drei Monaten 2016 rund 209 Mio. Dollar erpresst haben. Wer nicht zahlt, ist seine Dateien häufig los. Es sei denn – und das ist die gute Nachricht –, er hat seine Daten zuvor gesichert. So können Betroffene die Folgen eines Angriffs kleinhalten.

Die Schadsoftware wird zumeist automatisiert und in großer Zahl versendet. Doch Erpressungen im Cyberspace können sich auch gezielt gegen einzelne Unternehmen richten, zum Beispiel durch angedrohte Ddos-Attacken. Zahlt der Betrieb nicht, greifen die Hacker an und legen das Netzwerk oder die Website lahm. So können zum Beispiel Online-Händler erpresst werden.


Betrug

Immer wieder versuchen Kriminelle, mit der Betrugsmasche „Fake President“ Geld von Firmen zu erbeuten. Dazu bedienen sie sich realer Identitäten und geben sich beispielsweise als Vorstandsvorsitzende, Geschäftsführer oder Abteilungsleiter einer Firma aus. Mithilfe täuschend echt wirkender E-Mails weisen sie Mitarbeiter des Unternehmens an, Geld auf ein bestimmtes Konto zu überweisen. Als Begründung dient eine vermeintliche Übernahme oder ein neuer Geschäftskontakt. Mit dem Verweis auf die Dringlichkeit und Vertraulichkeit  der Angelegenheit erzeugen sie zusätzlich Druck auf die Zielperson, damit diese unbedacht und schnell das Geld überweist. 

Mit dieser Chef-Masche erbeuteten Betrüger beispielsweise vom Nürnberger Kabelhersteller Leoni 40 Mio. Euro. Doch es müssen nicht auf einen Schlag gleich Millionensummen sein. Die Einzelbeträge können auch gering sein, was es schwerer macht, den Betrug zu entdecken.

Diese Fälle unterscheiden sich jedoch von anderen Internetattacken. Zwar wird auch eine E-Mail genutzt, sie dient jedoch ausschließlich als Kommunikationsweg – übrigens zumeist in Kombination mit Telefonanrufen, die zusätzlich Druck auf die Mitarbeiter aufbauen. Die Computersysteme werden bei der Chef-Masche hingegen nicht beschädigt oder manipuliert. Und so ist auch das erbeutete Geld nicht standardmäßig von einer Cyberversicherung eingeschlossen.

Gegen solche Angriffe können sich Unternehmen aber mit einer Vertrauensschadenversicherung wappnen. Diese Police schützt Betriebe nicht nur vor gutgläubigen Überweisungen ihrer Mitarbeiter an Kriminelle. Sie leistet auch, wenn Angestellte den Betrieb gezielt schädigen, zum Beispiel durch Betrug, Unterschlagung, Diebstahl oder Untreue.


Zur Startseite
Auch inter­essant