Das rentable Geschäftsmodell

14. Januar 2010, 11:24 Uhr

Kriminelle spezialisieren sich und kupfern legale Geschäftsmethoden ab. Mit Erfolg: Bei gezielten Angriffen und mit betriebswirtschaftlichen Wissen ergaunern die Verbrecher Millionen. Und trotz Sicherheitmaßnahmen müssen Opfer oft tatenlos zusehen, wie erschreckende Beispiele belegen. Von Joachim Jakobs

Cyberkriminalität, Hacker, Phisher, Verbrechen, Diebstahl, Betrug

Cyberkrimnelle erbeuten mit betriebswirtschaflichen Kenntnissen Millionen©

Normalerweise sind Veranstaltungen zur Sicherheit der Informationstechnik dröge Ausflüge in Bits und Bytes, deren Bedeutung sich dem plumpen Verständnis von Liese und Otto Normalverbraucher nicht erschließen. Bei einem Vortrag von Götz Schartner auf der "IsSec 2009" in Berlin, einer Konferenz des Veranstalters Computas, war das anders. Seinen Vortrag begann Schartner mit einigen Fingerübungen: "Wer hat hier im Saal ein Bluetooth-Handy?" Einige Hände gehen hoch. Schartner, Geschäftsführer der Firma 8com IT Security im pfälzischen Neustadt tippt einige Befehle in sein Notebook und schwupps - schon präsentiert der Beamer eine ganze Reihe von Geräten inklusive der IP- Adressen - teilweise sogar namentlich gekennzeichnet. Wehe dem, der seine sicherheitstechnischen Hausaufgaben nicht gemacht hat.

Dann aber ging ein regelrechter Hauch von James Bond und Spionagestorys durch den Raum. Doch das Schlimme: Schartner präsentierte keine Fiktion, sondern erzählte aus dem wahren Leben. Im ersten Fall wurde eine hessische Steuerberatungskanzlei von Kriminellen - vermutlich aus Südamerika - zur Ader gelassen. Die "Cracker" schickten ein sogenanntes "Trojanische Pferd" an die Kanzlei und infizierten so 12 PC des Unternehmens. Dieser Trojaner wurde in einem gewöhnlichen PDF-Dokument versteckt - einem Dateiformat, das in der Wirtschaft genauso verbreitet ist wie der Kaffeeautomat auf dem Büroflur.

Mit diesem digitalen Schädling konnten sie Tastatureingaben protokollieren und Bildschirmkopien, die elektronische Post und digitale Bürodokumente aller Art auf Server in Russland übertragen. Erst ein halbes Jahr nachdem die Daten gesaugt wurden, forderten die Kriminellen im März 2008 100.000 Euro. Falls nicht gezahlt werde, würden die Mandantendaten im Internet veröffentlicht, so die Drohung. Das Geld sollte auf ein Konto in Argentinien überwiesen werden.

Hacker mit betriebswirtschaftlichen Wissen

Der Grund für die Wartezeit: "Die Daten waren innerhalb von wenigen Stunden kopiert. Die Erpresser hatten aber dabei festgestellt, dass die Kanzlei nicht ausreichend 'flüssig' war und deshalb gewartet, bis wieder Geld auf dem Kanzleikonto war", so Schartner. Was ihn besonders überraschte, war die hohe Professionalität der Erpresser: "Die hatten sehr gutes betriebswirtschaftliches Wissen und detaillierte Kenntnisse aktueller Steuerberatungssoftware." Bemerkenswert fand Schartner auch: Die technischen Systembetreuer hätten nichts falsch gemacht.

Den einzigen Tipp, den der Sicherheitsspezialist geben konnte, war, die Dienstleistungen der Datev - der Genossenschaft der Steuerberater - in Anspruch zu nehmen. Schartner riet trotz allem von einer Zahlung ab: "Woher wissen Sie, dass die Täter die Daten tatsächlich vernichten und keine weiteren Forderungen stellen?" Zu dieser Einsicht kommt nicht jeder. Als Beweis ihrer Durchsetzungsstärke hätten die Kriminellen gleich eine Liste mit Kanzleien geschickt, die bereits gezahlt hätten. Auch Schartners Kunde hat letztlich gezahlt.

Die Datev - der Genossenschaft der Steuerberater - erläutert gegenüber stern.de das von Schartner empfohlene Produkt "Datevnet": Mit dieser Sicherheitsdienstleistung schütze sie für ihre Kunden die Schnittstelle zur elektronischen Außenwelt: Jede Mail würde über das Rechenzentrum der Datev geleitet und geprüft. Genauso würden jegliche Inhalte von Internetseiten, die der Anwender aufruft, durch das Rechenzentrum geschleust und auf schädliche Daten untersucht. Die Mehrstufigkeit des Sicherheitssystems bedeute auch bei neu auftretenden Schädlingen schnellstmöglichen Schutz.

Letztlich hatte Schartners Kunde noch noch Glück im Unglück. Seit 1. September 2009 ist eine "Data Breach Notification" vorgeschrieben, wie der Frankfurter Anwalt Thomas Lapp in seinem folgenden Vortrag auf der gleichen Veranstaltung berichtete: Wenn Steuerberater oder Ärzte kritische Daten mit Personenbezug zu ihrer Klientel verlieren, müssten sie das "unverzüglich" der Aufsichtsbehörde sowie den Mandanten und Patienten zur Kenntnis bringen.

Hohe Bußgelder

Lapp empfiehlt jedoch, sich als Erstes mit der Aufsichtsbehörde über das genaue Vorgehen abzustimmen, um nicht polizeiliche Ermittlungen oder angemessene Maßnahmen zur Sicherung der Daten zu gefährden. Wenn es auf Grund der Vielzahl der Betroffenen unzumutbar sei, dies individuell zu tun, könnte das Unternehmen seiner Benachrichtigungspflicht auch dadurch genügen, dass es Anzeigen in "mindestens zwei" überregionalen Tageszeitungen "mindestens halbseitig" veröffentlicht oder "andere, gleich geeignete Maßnahmen ergreift".

Wenn nicht "unverzüglich", nicht richtig, nicht vollständig oder nicht rechtzeitig benachrichtigt werde, muss der Unternehmer nach mit einem Bußgeld von bis zu 300.000 Euro, unter Umständen sogar noch höher, rechnen. Der Deutsche Steuerberaterverband gibt sich zugeknöpft. Pressesprecher Markus Deutsch will dazu "ohne genaue Kenntnis des Sachverhalts" nichts sagen.

Zurück zum Vortrag des Sicherheitsexperten Götz Schartner: Sein "persönlicher Albtraum" sei ein Sondermaschinenbauer aus Süddeutschland mit einer, so betont der EDV-Experte ausdrücklich, "guten IT-Sicherheit" gewesen: Ein Mitarbeiter sei geschäftlich in Hongkong gewesen. Nach den Verhandlungen habe es ein "stilvolles" Abendessen gegeben, das auf Video festgehalten und dem Mitarbeiter per E-Mail geschickt wurde. Der habe es an seine Kollegen weitergeleitet. Auf diese Weise sei der im Video enthaltene Schädling - auch hier wieder ein Trojaner - auf die Rechner der Forschungs- und Entwicklungsabteilung gelangt. In der Folge seien Forschungs- und Planungsdaten kopiert und an einen chinesischen Wettbewerber geschickt worden.

Dieser Wettbewerber konkurriert jetzt mit Produkten um Kundenaufträge, die "zu 100 Prozent" auf den kopierten Daten basieren: "Die machen sich noch nicht einmal die Mühe, das Logo meines Kunden von den Konstruktionsunterlagen zu entfernen", entrüstet sich Schartner. Die Geschäftsleitung des Spezialmaschinenbauers beziffert den Schaden nach Angaben Schartners für 2008 auf fünf Millionen Euro.

Illegale Spezialisten und hoher Profit

Bereits vor einem Jahr erkannte der Sicherheitsexperte Steve Gold: "Die Kriminellen gehen ähnlich arbeitsteilig vor wie die legale Wirtschaft. Sie spezialisieren sich und bieten sich untereinander Dienstleistungen als Service an. Die Wahrscheinlichkeit erwischt zu werden, ist extrem gering. Aus einem Einsatz von 10.000 US-Dollar lässt sich ein Profit in Höhe von 2500 Prozent generieren."

Zum Thema
KOMMENTARE (1 von 1)
 
cokommentator (15.01.2010, 18:07 Uhr)
Alles halb so schlimm....
...würden die heutigen Jugendlichen sagen, die ihre Daten so gerne freimütig im Internet verbreiten. Denen fehlt es doch an der Phantasie, sich ihre künftigen Probleme auszumalen. Auch derartige Attacken lassen sich automatisieren. Und dann lohnt sich auch der Angriff auf den Einzelnen. Und die Banken werden die letzten sein, die die Annahme von Geld verweigern...
Digital
Ratgeber und Extras
iPhone 6: Die nächste Smartphone-Generation iPhone 6 Die nächste Smartphone-Generation
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity

  von Gast: WARUM FÜHREN MANCHE KAPSELN ZUR VERSTOPFUNG?

 

  von Gast 98746: Chiptuning Mercedes Benz E 200 T CDI Erstzulassung 06/13

 

  von BitteFreundlich: Welcher Körperteil ist am häufigsten von Osteochondrose betroffen?

 

  von Gast 98742: Altmietvertrag aus der ehemaligen DDR

 

  von Gast: Das iPhone meiner Freundin hat ne seltsame Macke. schwarzer Bildschirm. anrufe kommen rein, man...

 

  von Amos: Muß die Frage nochmal stellen: Überweisung per Online-Banking auf ein Unterkonto bei derselben...

 

  von Gast: Stern-Sudoku-Gewinnspiel

 

  von Gast: Kann man Handelsübliches Jodsalz in ein Fußsprudelbad geben wenn die Haut verletzt ist?

 

  von Gast: zerbrochene Fensterscheibe

 

  von Amos: Wenn zum Bau eines Hauses Wasser aus einem städtischen Hydranten entnommen wird: wie wird das...

 

  von Der_Denis: Kunststoff - warum so schlechtes Image

 

  von Gast 98682: Wenn ich ein Konto in der Schweiz eröffne, wie hoch ist die Mindesteinlage?

 

  von Gast 98680: Welche Programme gibt es für Zuschüsse an gemeinnützige vereine

 

  von Gast 98676: Führerschein vergleischen

 

  von Amos: Mineralwasser aus dem Schwarzwald nennt sich Black Forrest: ist das ein Gag, ein MIßgriff oder...

 

  von Gast 98669: können adoptierte ausländische erwachsene in Bayern studieren?

 

  von Gast 98667: Reisepass abgelaufen

 

  von Gast 98659: palmen in irland

 

  von Gast 98655: Kosten im Pflegefall

 

  von Amos: Maut: jetzt für Autobahnen und Bundesstraßen. Da die Bundesstraßen B 1, B 236 und B 54 mitten durch...