Hacker am PC, Bild: © lassedesignen - Fotolia.com

Via Recherche in Facebook und Co. nutzen Hacker persönliche Schwächen ihrer Opfer aus. Bild: © lassedesignen - Fotolia.com

Wird der gute Name des Chefs betrügerisch missbraucht, wird’s teuer. Beim Autozulieferer Leoni soll das Kosten von 40 Millionen Euro verursacht haben.

Die Rechtsanwaltsgesellschaft Baker Tilly Roelfs behauptet, die Angreifer seien „gut vorbereitet“: „Sie spähen das Unternehmen über eine gewisse Zeit aus, um an möglichst viele Insider-Informationen zu gelangen. Strukturen, Hierarchieebenen, Namen und Abläufe dienen dazu, im späteren Kontakt mit einem Mitarbeiter authentisch vorgeben zu können, aus dem Unternehmen zu stammen.“

Daten im Unternehmen müssen geschützt werden

Das Landeskriminalamt Stuttgart hat in 24 Monaten bei 13 solcher Betrugsversuche, vier erfolgreiche – also knapp 30 Prozent – registriert. Beim früheren Massenspam wurde mit einer Quote von 0,000564 Prozent gerechnet.

Also müssten Strukturen, Hierarchieebenen, Namen und Abläufe geschützt werden! Aber das Gegenteil ist der Fall wie die Unternehmensberater von KPMG in einer Broschüre beschreiben: „Alle relevanten Parameter sind damit in Echtzeit verfügbar, was maximale Transparenz und verbesserte Entscheidungsgrundlagen bedeutet.“ Und: „Daten für die Bestellabwicklung, die Erfassung der Materialbestände, die Rechnungsprüfung und Produktionsplanung und -steuerung können dadurch in Echtzeit bereitgestellt werden oder autonom Aktionen initiieren.“

Maximale Transparenz führt zu Sabotage

Maximale Transparenz und autonom Aktionen initiieren – das gefällt den Angreifern. Insbesondere, wenn es um Bestellabwicklung, Materialbestände und die Rechnungsprüfung geht. Damit können glaubwürdig Bestellungen ausgelöst oder Rechnungen gestellt werden. Bis der Schwindel endlich auffliegt, sind Ware und Geld längst verschwunden.

Das rentable Geschäftsmodell verlangt viel kriminelle Handarbeit. Aber auch der Angriff lässt sich automatisieren. 2010 warnte der Datenwissenschaftler Jeff Jonas vor einem "Speerfischen der Massen".

2015 wurde Selmer Bringsjord, dem Direktor des US-Amerikanischen Rensselaer Artificial Intelligence and Reasoning Lab (RAIR) ein Patent für ein „automatisiertes Spear Phishing System“ zuerkannt: Der Betrugsautomat soll in der Lage sein, das Wissen über die Zielperson aus Facebook und Twitter für personalisierte Mails zu nutzen.

Und jede weitere Quelle mit „strukturierten“ Daten – etwa aus Produktion, Lagerwirtschaft, Verkauf oder Buchhaltung – erhöht die Qualität der Lüge. Ist die jeweilige Datenquelle einmal angezapft, dauert es angeblich nur "Sekunden", um "hunderte" überzeugende Betrugsnachrichten zu verschicken.

Keinem Absender ist noch zu trauen

Das bedeutet: Keinem Absender und keinem Nachrichteninhalt ist noch zu trauen. Das gilt auch für die Kommunikation von Maschinen untereinander.

Was aber hilft? Der Deutsche Industrie- und Handelskammertag (DIHK) rät sehr allgemein zu Informationssicherheits-Managementsystemen. Peter Meyer vom Eco Verband der Internetwirtschaft e.V. empfiehlt "die regelmäßige Schulung und Aufklärung aller Mitarbeiter, vor allem jener, die direkt im Visier solchen Betrugs stehen."

Dazu gehört für ihn „der Chef, weitere Geschäftsführer mit Prokura, vor allem aber die Mitarbeiter in der Buchhaltung“. Außerdem sollten die internen Prozesse geprüft und klare Regeln für die Erteilung von Überweisungen an Dritte festgelegt werden. Bei größeren Unternehmen könne das Vier-Augen-Prinzip helfen

Schließlich rät Meyer zur Datensparsamkeit – dazu gehört für ihn auch, dass die Mitarbeiter aus der Buchhaltung auf „die Angabe Ihrer Position in Netzwerken wie LinkedIn oder Xing verzichten“.

Angriffsqualität wird noch zunehmen

Die Empfehlungen sind sicher nicht falsch – ob sie aber auf Jahre hinaus insbesondere vor dem Hintergrund der künftig zu erwartenden Angriffsqualität schützen, bleibt ungewiss. Die Berliner Beauftragte für den Datenschutz fordert Maßnahmen, damit "die Urheber dieser Daten korrekt authentifiziert werden können".

So muss sich der Chef in seiner Mail gegenüber dem Buchhalter elektronisch ausweisen. Außerdem muss sichergestellt werden, dass die Nachricht unverändert beim Empfänger ankommt. Das Gleiche gilt nach Ansicht des Chipherstellers NXP für die Kommunikation zwischen Maschinen im Internet der Dinge.

Wer sicher elektronisch verschlüsseln will, sollte dazu Freie Software verwenden – etwa GnuPG. Der GNU Privacy Guard ist ein Public Key Verschlüsselungsverfahren. Der Versender verschlüsselt seine Mail mit dem 'öffentlichen Schlüssel' des Empfängers. Der Empfänger wiederum öffnet diese Mail mit seinem 'privaten' Schlüssel. Der öffentliche Schlüssel wird auf Schlüsselservern gern jedem Interessierten angeboten, während der private Schlüssel kostbar ist.

KPMG verrät in seiner Broschüre nichts über Sicherheitsmaßnahmen. Und die übrige Wirtschaft hat auf die Frage nach Schutzmöglichkeiten nicht geantwortet – unter anderem Bitkom, der BDI, der VDMA, der Bundesverband IT-Mittelstand (BITMi) und ​der ZVEI. Wenn es nicht einmal Tipps gibt, muss nicht nur mit finanziellen Schäden, sondern auch Firmenpleiten gerechnet werden. hei