Das rentable Geschäftsmodell

14. Januar 2010, 11:24 Uhr

Kriminelle spezialisieren sich und kupfern legale Geschäftsmethoden ab. Mit Erfolg: Bei gezielten Angriffen und mit betriebswirtschaftlichen Wissen ergaunern die Verbrecher Millionen. Und trotz Sicherheitmaßnahmen müssen Opfer oft tatenlos zusehen, wie erschreckende Beispiele belegen. Von Joachim Jakobs

Cyberkriminalität, Hacker, Phisher, Verbrechen, Diebstahl, Betrug

Cyberkrimnelle erbeuten mit betriebswirtschaflichen Kenntnissen Millionen©

Normalerweise sind Veranstaltungen zur Sicherheit der Informationstechnik dröge Ausflüge in Bits und Bytes, deren Bedeutung sich dem plumpen Verständnis von Liese und Otto Normalverbraucher nicht erschließen. Bei einem Vortrag von Götz Schartner auf der "IsSec 2009" in Berlin, einer Konferenz des Veranstalters Computas, war das anders. Seinen Vortrag begann Schartner mit einigen Fingerübungen: "Wer hat hier im Saal ein Bluetooth-Handy?" Einige Hände gehen hoch. Schartner, Geschäftsführer der Firma 8com IT Security im pfälzischen Neustadt tippt einige Befehle in sein Notebook und schwupps - schon präsentiert der Beamer eine ganze Reihe von Geräten inklusive der IP- Adressen - teilweise sogar namentlich gekennzeichnet. Wehe dem, der seine sicherheitstechnischen Hausaufgaben nicht gemacht hat.

Dann aber ging ein regelrechter Hauch von James Bond und Spionagestorys durch den Raum. Doch das Schlimme: Schartner präsentierte keine Fiktion, sondern erzählte aus dem wahren Leben. Im ersten Fall wurde eine hessische Steuerberatungskanzlei von Kriminellen - vermutlich aus Südamerika - zur Ader gelassen. Die "Cracker" schickten ein sogenanntes "Trojanische Pferd" an die Kanzlei und infizierten so 12 PC des Unternehmens. Dieser Trojaner wurde in einem gewöhnlichen PDF-Dokument versteckt - einem Dateiformat, das in der Wirtschaft genauso verbreitet ist wie der Kaffeeautomat auf dem Büroflur.

Mit diesem digitalen Schädling konnten sie Tastatureingaben protokollieren und Bildschirmkopien, die elektronische Post und digitale Bürodokumente aller Art auf Server in Russland übertragen. Erst ein halbes Jahr nachdem die Daten gesaugt wurden, forderten die Kriminellen im März 2008 100.000 Euro. Falls nicht gezahlt werde, würden die Mandantendaten im Internet veröffentlicht, so die Drohung. Das Geld sollte auf ein Konto in Argentinien überwiesen werden.

Hacker mit betriebswirtschaftlichen Wissen

Der Grund für die Wartezeit: "Die Daten waren innerhalb von wenigen Stunden kopiert. Die Erpresser hatten aber dabei festgestellt, dass die Kanzlei nicht ausreichend 'flüssig' war und deshalb gewartet, bis wieder Geld auf dem Kanzleikonto war", so Schartner. Was ihn besonders überraschte, war die hohe Professionalität der Erpresser: "Die hatten sehr gutes betriebswirtschaftliches Wissen und detaillierte Kenntnisse aktueller Steuerberatungssoftware." Bemerkenswert fand Schartner auch: Die technischen Systembetreuer hätten nichts falsch gemacht.

Den einzigen Tipp, den der Sicherheitsspezialist geben konnte, war, die Dienstleistungen der Datev - der Genossenschaft der Steuerberater - in Anspruch zu nehmen. Schartner riet trotz allem von einer Zahlung ab: "Woher wissen Sie, dass die Täter die Daten tatsächlich vernichten und keine weiteren Forderungen stellen?" Zu dieser Einsicht kommt nicht jeder. Als Beweis ihrer Durchsetzungsstärke hätten die Kriminellen gleich eine Liste mit Kanzleien geschickt, die bereits gezahlt hätten. Auch Schartners Kunde hat letztlich gezahlt.

Die Datev - der Genossenschaft der Steuerberater - erläutert gegenüber stern.de das von Schartner empfohlene Produkt "Datevnet": Mit dieser Sicherheitsdienstleistung schütze sie für ihre Kunden die Schnittstelle zur elektronischen Außenwelt: Jede Mail würde über das Rechenzentrum der Datev geleitet und geprüft. Genauso würden jegliche Inhalte von Internetseiten, die der Anwender aufruft, durch das Rechenzentrum geschleust und auf schädliche Daten untersucht. Die Mehrstufigkeit des Sicherheitssystems bedeute auch bei neu auftretenden Schädlingen schnellstmöglichen Schutz.

Letztlich hatte Schartners Kunde noch noch Glück im Unglück. Seit 1. September 2009 ist eine "Data Breach Notification" vorgeschrieben, wie der Frankfurter Anwalt Thomas Lapp in seinem folgenden Vortrag auf der gleichen Veranstaltung berichtete: Wenn Steuerberater oder Ärzte kritische Daten mit Personenbezug zu ihrer Klientel verlieren, müssten sie das "unverzüglich" der Aufsichtsbehörde sowie den Mandanten und Patienten zur Kenntnis bringen.

Hohe Bußgelder

Lapp empfiehlt jedoch, sich als Erstes mit der Aufsichtsbehörde über das genaue Vorgehen abzustimmen, um nicht polizeiliche Ermittlungen oder angemessene Maßnahmen zur Sicherung der Daten zu gefährden. Wenn es auf Grund der Vielzahl der Betroffenen unzumutbar sei, dies individuell zu tun, könnte das Unternehmen seiner Benachrichtigungspflicht auch dadurch genügen, dass es Anzeigen in "mindestens zwei" überregionalen Tageszeitungen "mindestens halbseitig" veröffentlicht oder "andere, gleich geeignete Maßnahmen ergreift".

Wenn nicht "unverzüglich", nicht richtig, nicht vollständig oder nicht rechtzeitig benachrichtigt werde, muss der Unternehmer nach mit einem Bußgeld von bis zu 300.000 Euro, unter Umständen sogar noch höher, rechnen. Der Deutsche Steuerberaterverband gibt sich zugeknöpft. Pressesprecher Markus Deutsch will dazu "ohne genaue Kenntnis des Sachverhalts" nichts sagen.

Zurück zum Vortrag des Sicherheitsexperten Götz Schartner: Sein "persönlicher Albtraum" sei ein Sondermaschinenbauer aus Süddeutschland mit einer, so betont der EDV-Experte ausdrücklich, "guten IT-Sicherheit" gewesen: Ein Mitarbeiter sei geschäftlich in Hongkong gewesen. Nach den Verhandlungen habe es ein "stilvolles" Abendessen gegeben, das auf Video festgehalten und dem Mitarbeiter per E-Mail geschickt wurde. Der habe es an seine Kollegen weitergeleitet. Auf diese Weise sei der im Video enthaltene Schädling - auch hier wieder ein Trojaner - auf die Rechner der Forschungs- und Entwicklungsabteilung gelangt. In der Folge seien Forschungs- und Planungsdaten kopiert und an einen chinesischen Wettbewerber geschickt worden.

Dieser Wettbewerber konkurriert jetzt mit Produkten um Kundenaufträge, die "zu 100 Prozent" auf den kopierten Daten basieren: "Die machen sich noch nicht einmal die Mühe, das Logo meines Kunden von den Konstruktionsunterlagen zu entfernen", entrüstet sich Schartner. Die Geschäftsleitung des Spezialmaschinenbauers beziffert den Schaden nach Angaben Schartners für 2008 auf fünf Millionen Euro.

Illegale Spezialisten und hoher Profit

Bereits vor einem Jahr erkannte der Sicherheitsexperte Steve Gold: "Die Kriminellen gehen ähnlich arbeitsteilig vor wie die legale Wirtschaft. Sie spezialisieren sich und bieten sich untereinander Dienstleistungen als Service an. Die Wahrscheinlichkeit erwischt zu werden, ist extrem gering. Aus einem Einsatz von 10.000 US-Dollar lässt sich ein Profit in Höhe von 2500 Prozent generieren."

Zum Thema
Schlagwörter powered by wefind WeFind
James Bond Otto Normalverbraucher Rechenzentrum Trojaner
KOMMENTARE (1 von 1)
 
cokommentator (15.01.2010, 18:07 Uhr)
Alles halb so schlimm....
...würden die heutigen Jugendlichen sagen, die ihre Daten so gerne freimütig im Internet verbreiten. Denen fehlt es doch an der Phantasie, sich ihre künftigen Probleme auszumalen. Auch derartige Attacken lassen sich automatisieren. Und dann lohnt sich auch der Angriff auf den Einzelnen. Und die Banken werden die letzten sein, die die Annahme von Geld verweigern...
Digital
Ratgeber und Extras
iPhone 6: Die nächste Smartphone-Generation iPhone 6 Die nächste Smartphone-Generation
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity

  von Amos: Kloppo hört auf. Wer könnte ihn beerben?

 

  von Amos: Wenn ich mich in Österreich an die erlaubte Höchstgeschwindigkeit halte, werde ich immer überholt.

 

  von Gast 108287: Wir haben einen Kater und eine Katze.Er hat viele Zecken sie kaum.Der Lebensraum ist der gleiche...

 

  von Gast 108285: Suche Film den ich in meiner Kindheit gesehen habe(war damals schon älter und hatte stark...

 

  von ichJulia22: Kann man 1,5 Jahre anrechnen lassen als Ausbilungszeit?

 

  von Amos: Klopp schmeißt hin, Tuchel wird Nachfolger. Das Trainerkarussel dreht sich!

 

  von Amos: Was hat die Welt früher eigentlich ohne Kitas gemacht?

 

  von Gast 108253: Epson FaxdruckerWF 2630 mit Fritzbox 7330 verbinden

 

  von Gast 108251: Seit wann muß man mit der Ultraschall-Zahnbürste an den Zähnen langfahren? Laut Beschreibung hält...

 

  von Gast 108247: Nahverkehr in Kopenhagen

 

  von Gast 108238: Reisekosten oder Weg zur Arbeit?

 

  von Gast 108234: Informatik , java ,

 

  von Gast 108228: Vermächtnis und Schenkung bei Hauskauf

 

  von Johannie: Suche ein bestimmtes Star Wars Poster

 

  von Gast 108218: Autoradio, es wird nicht die komplette disk (mp³) abspielt

 

  von Gast 108199: Besuch aus Afrika Einreisebestimmungen

 

  von Gast 108197: Spielplatz Bundesland Baden Würtenberg ( MA )

 

  von Gast 108195: heiraten in dänemark als ausländer

 

  von Gast 108193: Ich möchte knusprige Rosmarinkartoffeln machen. Nehm ich hierzu Ober-/ Unterhitze oder eher Umluft?

 

  von Musca: Flüchtige Augenblicke, Momente, wem fehlt nicht die Sonne ?