Betrüger mit falscher Identität knüpfen Kontakte zu Führungskräften und missbrauchen sie für Cyber-Attacken.
Der 12. August 2016 wird als schwarzer Freitag in die Firmengeschichte der Leoni AG eingehen. Der Nürnberger Automobilzulieferer entdeckte, dass er Opfer eines millionenschweren Betrugs geworden war: Kriminelle haben das MDax-Unternehmen um 40 Mio. Euro geprellt, „unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ wurden Gelder auf Zielkonten im Ausland transferiert, wie es in einer Ad-hoc-Mitteilung hieß. Mit Details hielt sich die Leoni AG bedeckt. Aber diese Stichworte deuten auf die sogenannte Chef-Masche hin, auch als „Fake President“, „CEO-Fraud“ oder „Enkeltrick 4.0“ bekannt.
Das Grundschema dieser Abzocke ist simpel: Ein Betrüger gibt sich als Vorgesetzter aus der Führungsebene eines Unternehmens (z. B. als Geschäftsführer oder als Finanzvorstand) aus und kontaktiert einen Mitarbeiter mit Zahlungsberechtigung. Dieser soll für ein streng vertrauliches Projekt Geld auf ein externes Konto überweisen. Vermeintlich authentische E-Mails und Anrufe bzw. Referenz-Telefonnummern von Komplizen untermauern diese Geschichte. Die Opfer werden vom vermeintlichen Vorgesetzten auf strikte Geheimhaltung eingeschworen: Angeblich ist das Geld für eine Unternehmensübernahme bestimmt oder soll vor der Steuerfahndung versteckt werden. Durch diese Verpflichtung zur Verschwiegenheit wird die Zielperson isoliert und unter Zeitdruck gesetzt („Sie wollen doch nicht schuld sein, dass dieser Deal platzt, oder?“). Häufig liefern die Betrüger auch gleich vorbereitete Zahlungsaufträge mit einer gefälschten zweiten Unterschrift für die Überweisung. Hinzu kommt, dass die Betrüger das ins Visier genommene Unternehmen vor der ersten Kontaktaufnahme gründlich studiert haben. Deshalb wirken Tonfall und Begrifflichkeiten in der Kommunikation sehr authentisch und verhindern, dass der angesprochene Mitarbeiter Verdacht schöpft.
Fake-President-Attacken erfordern eine akribische Vorbereitung – oft über Monate hinweg. Dieses „Investment“ lohnt sich nur dann, wenn der Ertrag, sprich die Beute, entsprechend groß auszufallen verspricht. Die Täter sind in der Regel international operierende Netzwerke. Nach Schätzungen des FBI belaufen sich die Schäden der Chef-Masche weltweit auf 3,1 Mrd. US-Dollar. Dabei ist die Dunkelziffer immens. Die Unternehmen unterlassen die Anzeige aus Angst, dass zum Betrugsschaden noch Vertrauensverlust hinzukommt, so das Landeskriminalamt Nordrhein-Westfalen.
Der Mensch als Schwachstelle
Die Chef-Masche ist eine besonders perfide Variante des Social Engineering. Bei dieser Spielart der Cyber-Kriminalität wird die „Schwachstelle Mensch“ gezielt für Angriffe auf Informationssysteme ausgenutzt. IT-Gangster greifen in die Trickkiste der psychologischen Manipulation, um in einem ersten Schritt sensible Daten über bestimmte Personen abzugreifen und anschließend über sie Rechner mit Schadprogrammen zu infizieren. Die Angreifer bedienen sich dabei menschlicher Gefühle wie Vertrauen, Neugier, Hilfsbereitschaft, Angst oder Respekt vor Autorität.
Zum Arsenal des Social Engineering gehört das Phishing: Empfänger erhalten eine E-Mail von vorgeblich seriösen Absendern wie Online-Shops, Banken, Telefongesellschaften oder Paketdiensten. Hinweise auf angebliche Sicherheitsprobleme („Your Apple ID has been locked for security reasons“), Aktualisierung der Zahlungsdaten oder Statusmeldungen dienen als Köder, damit die Nutzer Passwörter, Konto- oder Kreditkartennummern sowie andere persönliche Informationen preisgeben und beispielsweise auf gefälschten Websites hinterlegen. Der Handel mit solchen Daten ist ein einträgliches Geschäftsmodell, die Nummer einer noch gültigen, also noch nicht gesperrten Kreditkarte samt der Personalien des Inhabers bringt im Darknet bis zu 100 US-Dollar ein.
Phishing-Mails werden auch als virtuelle Wirtstiere benutzt, um Schadprogramme auf private Rechner oder in die IT-Infrastrukturen von Unternehmen einzuschleppen. Die Empfänger werden verleitet, Anhänge in E-Mails zu öffnen oder auf Links zu klicken, was die Installation von Malware zur Folge haben kann. Claudiu Bugariu, Spezialist für IT-Sicherheit im Geschäftsbereich Innovation | Umwelt der IHK Nürnberg für Mittelfranken, stellt bei den Phishing-Kampagnen eine Abkehr vom Gießkannenprinzip fest: „Die Attacken werden immer zielgerichteter und raffinierter.“ Bei diesem Spear-Phishing – einer speziellen Form des Phishings – werden ausgesuchte und besonders lohnende Zielpersonen ausgemacht und gezielt angesprochen. So versehen die Cyber-Kriminellen ihre Massen-E-Mails zum Beispiel mit den Kontaktdaten des Empfängers. War es früher noch relativ einfach, Fake-E-Mails an ihrer abenteuerlichen Rechtschreibung oder den amateurhaft nachgemachten Firmenlogos zu erkennen, lässt sich die gefälschte elektronische Post heute kaum von der Original-Korrespondenz unterscheiden. Deshalb haben die Angreifer eine höhere Erfolgsquote als bei früheren Phishing-Attacken.
Cyber-Kriminelle nutzen für Social-Engineering-Attacken nicht nur die Datenautobahn, sondern auch das Telefon. Dieses Medium wahrt Distanz, ermöglicht aber auch einen Dialog, in dem der Angreifer auf die Reaktionen der Zielperson eingehen kann. Zu den „Klassikern“ im betrügerischen Repertoire gehört der Anruf eines freundlichen IT-Technikers, der erklärt, das Betriebssystem des Rechners benötige ein Update. Das Problem lasse sich schnell lösen, er brauche dazu nur einen temporären Remote-Zugang. Dabei verwendet der Pseudo-Dienstleister Technik-Jargon und schildert drastisch die Folgen, die dem Unternehmen drohen, wenn der Rechner nicht umgehend gewartet wird. Diese Strategie mag plump klingen, aber die Manipulationskünste der „Social Engineers“ sind nicht zu unterschätzen: Immer wieder ergaunern sie sich den Schlüssel zum Daten-Tresor von Unternehmen und Privatleuten und greifen über den Remote-Zugang Informationen ab.
Ein Erfolgsfaktor für Social Engineering ist die gründliche Recherche: Je mehr Informationen über ein Unternehmen und das Arbeitsumfeld einer Zielperson vorliegen, desto einfacher wird es für Daten-Spione, sich deren Vertrauen zu erschleichen. Das Internet und Soziale Netzwerke erleichtern Betrügern ihr Handwerk: Auf der Homepage von Unternehmen und Organisationen finden sich Abteilungen und Ansprechpartner. Und auf Facebook, Xing etc. lassen sich mit wenigen Klicks das Aufgabenfeld und die Kollegen einer Zielperson herausfinden. Hinzu kommt das Mitteilungsbedürfnis mancher Mitarbeiter, die Büro-Klatsch via Facebook ausbreiten. Claudiu Bugariu rät deshalb Unternehmen, die Beschäftigten aller Hierarchieebenen für den verantwortungsvollen Umgang mit Firmen-Infos zu sensibilisieren. Und zwar nicht nur in der digitalen Welt, sondern auch im analogen Raum: In den Wartebereichen von Flughäfen oder in ICE-Großraumwagen sind nicht selten Firmen-Interna zu hören, die in die Abgeschlossenheit eines Konferenzraums gehören.
Im Bericht „Zur Lage der IT-Sicherheit in Deutschland 2015“ stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest, dass die Gefährdung durch Social-Engineering-Attacken wächst. Die Anbieter von IT-Schulungen reagieren auf diesen Trend mit Seminaren und maßgeschneiderten Sicherheitskonzepten. Dennoch registriert Claudiu Bugariu bei vielen Unternehmen nach wie vor eine „gewisse Sorglosigkeit“ angesichts der Risiken des Social Engineering im Besonderen und der Datensicherheit im Allgemeinen: „Die Mitarbeiter müssen kontinuierlich über diese Themen aufgeklärt werden. Mit einer Schulung allein ist es nicht getan.“ Als eine Vorbeugung gegen Social-Engineering-Attacken sieht der IT-Experte, „den gesunden Menschenverstand einzuschalten und die Bereitschaft, Anweisungen zu hinterfragen“. So spielt bei der Prävention des „Human Hacking“ auch die Unternehmenskultur eine wichtige Rolle: Besonders anfällig sind patriarchalisch und autoritär geführte Unternehmen, in denen Zweifel und Widerspruch nicht erwünscht sind, so die Erkenntnis des LKA Nordrhein-Westfalen.
Hilfreich ist es, im Betrieb auf die Einhaltung der Compliance-Richtlinien zu pochen, die aber verständlich formuliert sein sollten. Außerdem müssen die Mitarbeiter darüber informiert werden, wo die Richtlinien abrufbar sind. Zum Schutz vor Cyber-Attacken tragen auch Managementsysteme für Informationssicherheit bei, zu denen die ISO 27001 gehört. Sie gilt als international führende Norm für Informationssicherheits-Managementsysteme und beschreibt die Anforderungen für deren Einführung, Umsetzung, Überwachung und Verbesserung. Unternehmen können sich nach dieser Norm zertifizieren lassen. Allerdings fürchten gerade kleine und mittlere Unternehmen den damit verbundenen personellen und finanziellen Aufwand.
Claudiu Bugariu und Richard Dürr vom IHK-Geschäftsbereich Innovation | Umwelt haben nun ein „Starter Kit“ für Unternehmen entwickelt, die den ISO 27001-Prozess auf den Weg bringen wollen. „Wir wollen dabei helfen, das komplexe Thema zu bewältigen“, erklärt Bugariu. „Mithilfe des Beratungskonzepts lassen sich passgenau für die Größe und Branche des jeweiligen Unternehmens diejenigen Maßnahmen für die IT-Sicherheit identifizieren, die den größten Hebel bzw. geringe Kosten haben.“ Das Beratungskonzept soll Geschäftsführern und IT-Verantwortlichen Anfang 2017 in Workshops vorgestellt werden.
