Treffpunkt für ambitionierte Amateurfotografie. Bilder hochladen und bewerten, sich mit anderen Austauschen. mehr...
Die Online-Tagebücher bei stern.de: Freie Autoren schreiben hier persönlich, direkt und eigenständig. mehr...
Vertiefende Informationen zu der aktuellen und den vergangenen Sendungen von sternTV. mehr...
Das Recherche-Team des stern. Erfahren Sie mehr über die Recherchespezialisten und ihre Enthüllungen von Terrorismus bis Wettmanipulation. mehr...
Kriminelle spezialisieren sich und kupfern legale Geschäftsmethoden ab. Mit Erfolg: Bei gezielten Angriffen und mit betriebswirtschaftlichen Wissen ergaunern die Verbrecher Millionen. Und trotz Sicherheitmaßnahmen müssen Opfer oft tatenlos zusehen, wie erschreckende Beispiele belegen. Von Joachim Jakobs
Cyberkrimnelle erbeuten mit betriebswirtschaflichen Kenntnissen Millionen© Marcus Brandt/DDP
Normalerweise sind Veranstaltungen zur Sicherheit der Informationstechnik dröge Ausflüge in Bits und Bytes, deren Bedeutung sich dem plumpen Verständnis von Liese und Otto Normalverbraucher nicht erschließen. Bei einem Vortrag von Götz Schartner auf der "IsSec 2009" in Berlin, einer Konferenz des Veranstalters Computas, war das anders. Seinen Vortrag begann Schartner mit einigen Fingerübungen: "Wer hat hier im Saal ein Bluetooth-Handy?" Einige Hände gehen hoch. Schartner, Geschäftsführer der Firma 8com IT Security im pfälzischen Neustadt tippt einige Befehle in sein Notebook und schwupps - schon präsentiert der Beamer eine ganze Reihe von Geräten inklusive der IP- Adressen - teilweise sogar namentlich gekennzeichnet. Wehe dem, der seine sicherheitstechnischen Hausaufgaben nicht gemacht hat.
Dann aber ging ein regelrechter Hauch von James Bond und Spionagestorys durch den Raum. Doch das Schlimme: Schartner präsentierte keine Fiktion, sondern erzählte aus dem wahren Leben. Im ersten Fall wurde eine hessische Steuerberatungskanzlei von Kriminellen - vermutlich aus Südamerika - zur Ader gelassen. Die "Cracker" schickten ein sogenanntes "Trojanische Pferd" an die Kanzlei und infizierten so 12 PC des Unternehmens. Dieser Trojaner wurde in einem gewöhnlichen PDF-Dokument versteckt - einem Dateiformat, das in der Wirtschaft genauso verbreitet ist wie der Kaffeeautomat auf dem Büroflur.
Mit diesem digitalen Schädling konnten sie Tastatureingaben protokollieren und Bildschirmkopien, die elektronische Post und digitale Bürodokumente aller Art auf Server in Russland übertragen. Erst ein halbes Jahr nachdem die Daten gesaugt wurden, forderten die Kriminellen im März 2008 100.000 Euro. Falls nicht gezahlt werde, würden die Mandantendaten im Internet veröffentlicht, so die Drohung. Das Geld sollte auf ein Konto in Argentinien überwiesen werden.
Der Grund für die Wartezeit: "Die Daten waren innerhalb von wenigen Stunden kopiert. Die Erpresser hatten aber dabei festgestellt, dass die Kanzlei nicht ausreichend 'flüssig' war und deshalb gewartet, bis wieder Geld auf dem Kanzleikonto war", so Schartner. Was ihn besonders überraschte, war die hohe Professionalität der Erpresser: "Die hatten sehr gutes betriebswirtschaftliches Wissen und detaillierte Kenntnisse aktueller Steuerberatungssoftware." Bemerkenswert fand Schartner auch: Die technischen Systembetreuer hätten nichts falsch gemacht.
Den einzigen Tipp, den der Sicherheitsspezialist geben konnte, war, die Dienstleistungen der Datev - der Genossenschaft der Steuerberater - in Anspruch zu nehmen. Schartner riet trotz allem von einer Zahlung ab: "Woher wissen Sie, dass die Täter die Daten tatsächlich vernichten und keine weiteren Forderungen stellen?" Zu dieser Einsicht kommt nicht jeder. Als Beweis ihrer Durchsetzungsstärke hätten die Kriminellen gleich eine Liste mit Kanzleien geschickt, die bereits gezahlt hätten. Auch Schartners Kunde hat letztlich gezahlt.
Die Datev - der Genossenschaft der Steuerberater - erläutert gegenüber stern.de das von Schartner empfohlene Produkt "Datevnet": Mit dieser Sicherheitsdienstleistung schütze sie für ihre Kunden die Schnittstelle zur elektronischen Außenwelt: Jede Mail würde über das Rechenzentrum der Datev geleitet und geprüft. Genauso würden jegliche Inhalte von Internetseiten, die der Anwender aufruft, durch das Rechenzentrum geschleust und auf schädliche Daten untersucht. Die Mehrstufigkeit des Sicherheitssystems bedeute auch bei neu auftretenden Schädlingen schnellstmöglichen Schutz.
Letztlich hatte Schartners Kunde noch noch Glück im Unglück. Seit 1. September 2009 ist eine "Data Breach Notification" vorgeschrieben, wie der Frankfurter Anwalt Thomas Lapp in seinem folgenden Vortrag auf der gleichen Veranstaltung berichtete: Wenn Steuerberater oder Ärzte kritische Daten mit Personenbezug zu ihrer Klientel verlieren, müssten sie das "unverzüglich" der Aufsichtsbehörde sowie den Mandanten und Patienten zur Kenntnis bringen.
Lapp empfiehlt jedoch, sich als Erstes mit der Aufsichtsbehörde über das genaue Vorgehen abzustimmen, um nicht polizeiliche Ermittlungen oder angemessene Maßnahmen zur Sicherung der Daten zu gefährden. Wenn es auf Grund der Vielzahl der Betroffenen unzumutbar sei, dies individuell zu tun, könnte das Unternehmen seiner Benachrichtigungspflicht auch dadurch genügen, dass es Anzeigen in "mindestens zwei" überregionalen Tageszeitungen "mindestens halbseitig" veröffentlicht oder "andere, gleich geeignete Maßnahmen ergreift".
Wenn nicht "unverzüglich", nicht richtig, nicht vollständig oder nicht rechtzeitig benachrichtigt werde, muss der Unternehmer nach mit einem Bußgeld von bis zu 300.000 Euro, unter Umständen sogar noch höher, rechnen. Der Deutsche Steuerberaterverband gibt sich zugeknöpft. Pressesprecher Markus Deutsch will dazu "ohne genaue Kenntnis des Sachverhalts" nichts sagen.
Zurück zum Vortrag des Sicherheitsexperten Götz Schartner: Sein "persönlicher Albtraum" sei ein Sondermaschinenbauer aus Süddeutschland mit einer, so betont der EDV-Experte ausdrücklich, "guten IT-Sicherheit" gewesen: Ein Mitarbeiter sei geschäftlich in Hongkong gewesen. Nach den Verhandlungen habe es ein "stilvolles" Abendessen gegeben, das auf Video festgehalten und dem Mitarbeiter per E-Mail geschickt wurde. Der habe es an seine Kollegen weitergeleitet. Auf diese Weise sei der im Video enthaltene Schädling - auch hier wieder ein Trojaner - auf die Rechner der Forschungs- und Entwicklungsabteilung gelangt. In der Folge seien Forschungs- und Planungsdaten kopiert und an einen chinesischen Wettbewerber geschickt worden.
Dieser Wettbewerber konkurriert jetzt mit Produkten um Kundenaufträge, die "zu 100 Prozent" auf den kopierten Daten basieren: "Die machen sich noch nicht einmal die Mühe, das Logo meines Kunden von den Konstruktionsunterlagen zu entfernen", entrüstet sich Schartner. Die Geschäftsleitung des Spezialmaschinenbauers beziffert den Schaden nach Angaben Schartners für 2008 auf fünf Millionen Euro.
Bereits vor einem Jahr erkannte der Sicherheitsexperte Steve Gold: "Die Kriminellen gehen ähnlich arbeitsteilig vor wie die legale Wirtschaft. Sie spezialisieren sich und bieten sich untereinander Dienstleistungen als Service an. Die Wahrscheinlichkeit erwischt zu werden, ist extrem gering. Aus einem Einsatz von 10.000 US-Dollar lässt sich ein Profit in Höhe von 2500 Prozent generieren."
WeFind
