Startseite

Das rentable Geschäftsmodell

Kriminelle spezialisieren sich und kupfern legale Geschäftsmethoden ab. Mit Erfolg: Bei gezielten Angriffen und mit betriebswirtschaftlichen Wissen ergaunern die Verbrecher Millionen. Und trotz Sicherheitmaßnahmen müssen Opfer oft tatenlos zusehen, wie erschreckende Beispiele belegen.

Von Joachim Jakobs

Normalerweise sind Veranstaltungen zur Sicherheit der Informationstechnik dröge Ausflüge in Bits und Bytes, deren Bedeutung sich dem plumpen Verständnis von Liese und Otto Normalverbraucher nicht erschließen. Bei einem Vortrag von Götz Schartner auf der "IsSec 2009" in Berlin, einer Konferenz des Veranstalters Computas, war das anders. Seinen Vortrag begann Schartner mit einigen Fingerübungen: "Wer hat hier im Saal ein Bluetooth-Handy?" Einige Hände gehen hoch. Schartner, Geschäftsführer der Firma 8com IT Security im pfälzischen Neustadt tippt einige Befehle in sein Notebook und schwupps - schon präsentiert der Beamer eine ganze Reihe von Geräten inklusive der IP- Adressen - teilweise sogar namentlich gekennzeichnet. Wehe dem, der seine sicherheitstechnischen Hausaufgaben nicht gemacht hat.

Dann aber ging ein regelrechter Hauch von James Bond und Spionagestorys durch den Raum. Doch das Schlimme: Schartner präsentierte keine Fiktion, sondern erzählte aus dem wahren Leben. Im ersten Fall wurde eine hessische Steuerberatungskanzlei von Kriminellen - vermutlich aus Südamerika - zur Ader gelassen. Die "Cracker" schickten ein sogenanntes "Trojanische Pferd" an die Kanzlei und infizierten so 12 PC des Unternehmens. Dieser Trojaner wurde in einem gewöhnlichen PDF-Dokument versteckt - einem Dateiformat, das in der Wirtschaft genauso verbreitet ist wie der Kaffeeautomat auf dem Büroflur.

Mit diesem digitalen Schädling konnten sie Tastatureingaben protokollieren und Bildschirmkopien, die elektronische Post und digitale Bürodokumente aller Art auf Server in Russland übertragen. Erst ein halbes Jahr nachdem die Daten gesaugt wurden, forderten die Kriminellen im März 2008 100.000 Euro. Falls nicht gezahlt werde, würden die Mandantendaten im Internet veröffentlicht, so die Drohung. Das Geld sollte auf ein Konto in Argentinien überwiesen werden.

Hacker mit betriebswirtschaftlichen Wissen

Der Grund für die Wartezeit: "Die Daten waren innerhalb von wenigen Stunden kopiert. Die Erpresser hatten aber dabei festgestellt, dass die Kanzlei nicht ausreichend 'flüssig' war und deshalb gewartet, bis wieder Geld auf dem Kanzleikonto war", so Schartner. Was ihn besonders überraschte, war die hohe Professionalität der Erpresser: "Die hatten sehr gutes betriebswirtschaftliches Wissen und detaillierte Kenntnisse aktueller Steuerberatungssoftware." Bemerkenswert fand Schartner auch: Die technischen Systembetreuer hätten nichts falsch gemacht.

Den einzigen Tipp, den der Sicherheitsspezialist geben konnte, war, die Dienstleistungen der Datev - der Genossenschaft der Steuerberater - in Anspruch zu nehmen. Schartner riet trotz allem von einer Zahlung ab: "Woher wissen Sie, dass die Täter die Daten tatsächlich vernichten und keine weiteren Forderungen stellen?" Zu dieser Einsicht kommt nicht jeder. Als Beweis ihrer Durchsetzungsstärke hätten die Kriminellen gleich eine Liste mit Kanzleien geschickt, die bereits gezahlt hätten. Auch Schartners Kunde hat letztlich gezahlt.

Die Datev - der Genossenschaft der Steuerberater - erläutert gegenüber stern.de das von Schartner empfohlene Produkt "Datevnet": Mit dieser Sicherheitsdienstleistung schütze sie für ihre Kunden die Schnittstelle zur elektronischen Außenwelt: Jede Mail würde über das Rechenzentrum der Datev geleitet und geprüft. Genauso würden jegliche Inhalte von Internetseiten, die der Anwender aufruft, durch das Rechenzentrum geschleust und auf schädliche Daten untersucht. Die Mehrstufigkeit des Sicherheitssystems bedeute auch bei neu auftretenden Schädlingen schnellstmöglichen Schutz.

Letztlich hatte Schartners Kunde noch noch Glück im Unglück. Seit 1. September 2009 ist eine "Data Breach Notification" vorgeschrieben, wie der Frankfurter Anwalt Thomas Lapp in seinem folgenden Vortrag auf der gleichen Veranstaltung berichtete: Wenn Steuerberater oder Ärzte kritische Daten mit Personenbezug zu ihrer Klientel verlieren, müssten sie das "unverzüglich" der Aufsichtsbehörde sowie den Mandanten und Patienten zur Kenntnis bringen.

Hohe Bußgelder

Lapp empfiehlt jedoch, sich als Erstes mit der Aufsichtsbehörde über das genaue Vorgehen abzustimmen, um nicht polizeiliche Ermittlungen oder angemessene Maßnahmen zur Sicherung der Daten zu gefährden. Wenn es auf Grund der Vielzahl der Betroffenen unzumutbar sei, dies individuell zu tun, könnte das Unternehmen seiner Benachrichtigungspflicht auch dadurch genügen, dass es Anzeigen in "mindestens zwei" überregionalen Tageszeitungen "mindestens halbseitig" veröffentlicht oder "andere, gleich geeignete Maßnahmen ergreift".

Wenn nicht "unverzüglich", nicht richtig, nicht vollständig oder nicht rechtzeitig benachrichtigt werde, muss der Unternehmer nach mit einem Bußgeld von bis zu 300.000 Euro, unter Umständen sogar noch höher, rechnen. Der Deutsche Steuerberaterverband gibt sich zugeknöpft. Pressesprecher Markus Deutsch will dazu "ohne genaue Kenntnis des Sachverhalts" nichts sagen.

Zurück zum Vortrag des Sicherheitsexperten Götz Schartner: Sein "persönlicher Albtraum" sei ein Sondermaschinenbauer aus Süddeutschland mit einer, so betont der EDV-Experte ausdrücklich, "guten IT-Sicherheit" gewesen: Ein Mitarbeiter sei geschäftlich in Hongkong gewesen. Nach den Verhandlungen habe es ein "stilvolles" Abendessen gegeben, das auf Video festgehalten und dem Mitarbeiter per E-Mail geschickt wurde. Der habe es an seine Kollegen weitergeleitet. Auf diese Weise sei der im Video enthaltene Schädling - auch hier wieder ein Trojaner - auf die Rechner der Forschungs- und Entwicklungsabteilung gelangt. In der Folge seien Forschungs- und Planungsdaten kopiert und an einen chinesischen Wettbewerber geschickt worden.

Dieser Wettbewerber konkurriert jetzt mit Produkten um Kundenaufträge, die "zu 100 Prozent" auf den kopierten Daten basieren: "Die machen sich noch nicht einmal die Mühe, das Logo meines Kunden von den Konstruktionsunterlagen zu entfernen", entrüstet sich Schartner. Die Geschäftsleitung des Spezialmaschinenbauers beziffert den Schaden nach Angaben Schartners für 2008 auf fünf Millionen Euro.

Illegale Spezialisten und hoher Profit

Bereits vor einem Jahr erkannte der Sicherheitsexperte Steve Gold: "Die Kriminellen gehen ähnlich arbeitsteilig vor wie die legale Wirtschaft. Sie spezialisieren sich und bieten sich untereinander Dienstleistungen als Service an. Die Wahrscheinlichkeit erwischt zu werden, ist extrem gering. Aus einem Einsatz von 10.000 US-Dollar lässt sich ein Profit in Höhe von 2500 Prozent generieren."

Kommentare (0)

    Stern Logo Das könnte Sie auch interessieren

    Zu hohe Inkassogebühren, rechtens?
    Hallo, ich habe am 20 März 15 einen Vertrag über 12 Monate mit einem Fitness-Studio abgeschlossen. Die Kosten (9,98 € 14-Tägig, 39,99€ Verwaltung einmalig, 19,99 Trainer und Servicepauschale Jährlich) sollten per Einzugsermächtigung abgebucht werden. Kürzlich bekam ich überraschend einen Brief von einem Inkassobüro mit der Zahlungsaufforderung für die gesamten 12 Monate inkl. der Verwaltung und Servicepauschale + Auslagen des Gläubigers (63,38€), Zinsen (1,42€), Geschäftsgebühr (45€), Auskunftskosten (5€) , Auslagenpauschale (9€) Hauptforderung 320,28€ Offene Forderung 444,08€ Nach dem ich mich bei der Firma erkundet habe, sagten sie mir, dass Zahlung zurückgegangen ist da mein Konto nicht gedeckt sei. Fakt war das sie einen Zahhlendreher in der Kontonummer hatten obwohl im meinem Durchschlag die Richtige Kontonummer angegeben wurde. Aber im Original hat jemand aus einer 3 eine 8 geändert. Nach Überprüfung konnte ich Feststellen das es diese Kontonummer gar nicht gibt und das diese vom System gar nicht angenommen wird. Spätestens da hätte man mich doch hinweisen oder fragen können was mit dem Konto sei. Es kam nie ein zu einem Zahhlungsrückgang, noch zu einer Zahlungserinnerung Mahnung seitens des Fitnessstudios. Die AGB´s habe ich nie zu Gesicht nie bekommen und auch nicht gelesen - diese stehen (nach meiner Recherche) im Internet aber auch nicht definiert wie man in Zahlungsverzug kommt. Leider habe ich unterschrieben das sie mir bekannt sind. Dies steht ganz kleingedruckt im Durchschlag. Ich habe der Firma vorgeschlagen die offenen Beiträge bis jetzt zu bezahlen und für die Zukunft eine neue Einzugsermächtigung zu erteilen, was sie aber abgelehnt haben und mir gesagt haben ich soll dies mit dem Inkassobüro klären. Der Fitnessvertrag ist somit gesperrt seit einem Monat. Da ich aber mit den Gebühren, Mahnspesen von dem Inkassobüro nicht einverstanden bin weiß ich nicht ob ich diese bezahlen muss. Ich habe dem Inkassobüro auch vorgeschlagen die offenen Beiträge zu begleichen und diese dann wie vertraglich vereinbart abgebucht werden. Sie haben mir angeboten diese in einem Jahr zu einem monatlichen Beitrag von 35€ abzuzahlen. Dies währen Mehrkosten von 100€, ist das rechtens? Bitte Antworten sie mir in einer Sprache die ich auch versteh - mit langen Gesetzestexten kann ich leider nicht umgehen Und was Sie denken was ich tun soll was rechtens ist. Vielen Dank im Voraus

    Partner-Tools