- Von Andreas Harms
- 22.08.2023 um 09:15
Eines Tages kommt kein Geld mehr herein. Zwar liefert der Händler noch immer wie gewohnt Saatgut an seine Kunden aus, doch die abgerechneten Beträge kommen auf dem Geschäftskonto nicht mehr an. Bis den Verantwortlichen das auffällt, ist ein sechsstelliger Schaden entstanden.
Des Rätsels Lösung: Hacker waren in die unternehmenseigenen Systeme eingestiegen und hatten die E-Mail-Adressen aller Kunden abgegriffen. Anschließend hatten sie diese angeschrieben und ihnen eine vermeintlich neue Kontoverbindung mitgeteilt. Von da an überwiesen die Kunden fällige Beträge auf das Konto der Gangster. Bis die Sache aufflog. Doch da war das Geld schon weg. So schildert der Versicherungsmakler Robert Radicke aus Dresden den Fall eines Unternehmens aus seiner Region, der vor einigen Jahren eingetreten war.
Cyberdirekt entwickelt Rating für Cyberversicherungen
Bafin sorgt sich um Versicherbarkeit von Cyberrisiken
Cyberversicherungen rutschen in die roten Zahlen
Es ist der beinahe schon klassische Fall eines Mittelständlers, der Opfer einer Cyberattacke wurde, wie sie derzeit täglich tausendfach vorkommen: Hacker dringen über technische Schwachstellen, mit Schadsoftware verseuchte E-Mails oder über Phishing abgegriffene Zugangsdaten in Systeme ein, klauen oder verschlüsseln Daten oder legen gleich den ganzen Betrieb lahm. Oder alles zugleich. Anschließend verhökern sie die Daten im Schattenreich des Internets oder erpressen Kunden, Mitarbeiter oder Unternehmen. Die Möglichkeiten sind vielfältig. Schutz vor dem Schaden bieten indes Cyberversicherungen. Sie zahlen für entgangenen Umsatz, zu sichernde Spuren, Schadenersatz an andere und im Extremfall sogar Lösegeld. Auch hier sind die Möglichkeiten mitunter so vielfältig wie die der Angreifer.
Ungünstig war nur, dass die Verantwortlichen des sächsischen Händlers keine solche Police abgeschlossen hatten. „Ich hatte ihnen eine Cyberversicherung zwar angeboten, sie hatten aber abgelehnt“, sagt Radicke, der diese Art von Schutz in allen seinen Beratungsgesprächen anspricht. Schließlich habe inzwischen jedes Unternehmen E-Mail-Konten, Geräte für Kartenzahlung und Kundendateien. Für Hacker sei so etwas immer interessant. Trotzdem bleiben die Gespräche oft ohne Erfolg. „Ein Großteil der Kunden schließt keine ab, das Bewusstsein ist nicht groß genug. Viele meinen einfach, dass es sie ja gar nicht betrifft“, so der Makler.
Jede zweite Organisation wurde zum Cyber-Opfer
Dass das blanker Unsinn ist, legen das Eingangsbeispiel ebenso wie sämtliche Berichte von Branchenspezialisten nahe. Zum Beispiel die „Human Risk Review 2023“ des Security-Dienstleisters Sosafe. Demnach wurde europaweit jede zweite Organisation in den vergangenen drei Jahren Opfer einer erfolgreichen Cyberattacke. Lief der Angriff über Ransomware – die Daten verschlüsselt, Systeme sperrt und anschließend Lösegeld fordert –, zahlten 39 Prozent aller Unternehmen dieses Lösegeld. Bei kleineren Unternehmen waren es sogar 47 Prozent.
Solche Ransomware-Angriffe brauchen Gangster nicht einmal mehr selbst durchzuziehen. Man kann sie im Darknet inzwischen auch als Dienstleistung einkaufen – und bezahlt mit Kryptowährungen. Bei IBM hat man ausgerechnet, dass solche Angriffe die Opfer im Durchschnitt 4,54 Millionen US-Dollar kosten. Und da ist das Lösegeld noch nicht einmal enthalten.
Wie perfide die Angriffe ablaufen, erlebte Christoph Bechtle vom Makler Albfinanz aus Reutlingen. Er hatte bei einem Händler Autoreifen bestellt und dafür die geschäftliche E-Mail-Adresse benutzt. „Kurz darauf bekam ich eine unfassbar gut gefälschte E-Mail, in der ich auf einen Link klicken sollte. Sogar der Name der Sachbearbeiterin war korrekt angegeben“, berichtet Bechtle. Er hatte zum Glück nicht auf den Link geklickt – im Gegensatz zu vielen anderen. Laut Sosafe öffnen 47 Prozent der Empfänger Phishing-Mails, und von diesen Öffnenden klicken 31 Prozent auf den schädlichen Inhalt. Das sind also 15 Prozent aller Empfänger. Und schon ist der Feind im Haus.
35 Millionen Dollar für einen gefälschten Anruf
Diese Quote dürfte in Zukunft eher steigen, denn Kriminelle nutzen Künstliche Intelligenz, um die Mails noch besser auf ihre Opfer zuzuschneiden und insbesondere deren Emotionen und Ansichten besser auszunutzen. Wut macht nicht selten auch blind. Das nötige Umfeld liefern geopolitische Krisen und Risse in der Gesellschaft. Das Material dazu finden die Hacker kostenlos in den sozialen Medien. Die neuen Möglichkeiten sind riesig. So erzählte das Magazin „Forbes“ von einem Bankangestellten in den Vereinigten Arabischen Emiraten, der Anfang 2020 einen Anruf von seinem Chef erhalten hatte. Daraufhin überwies er 35 Millionen Dollar, um eine Übernahme zu bezahlen. Das Geld floss an Betrüger, die die Stimme des Direktors mithilfe sogenannter Deep-Voice-Technik gefälscht hatten.
Seite 2: Ein Gesetz lässt Geschäftsführer mit Privatvermögen haften
0 Kommentare
- anmelden
- registrieren
kommentieren