Ein Cyberangriff und die Folgen
Ein Fall aus der Praxis
Von Lars D.
Der nachfolgend geschilderte Praxisfall setzt sich aus tatsächlichen und für die Publikation anonymisierten Ermittlungsfällen der vergangenen zwölf Monate zusammen und illustriert die typischen Charakteristika einer immer virulenter werdenden Form von Cyber-Betrugsdelikten, dem Business Email Compromise (BEC).
Angriff im Verborgenen
Der Schauplatz: die Mittelstands AG, ein großes mittelständisches Unternehmen in Österreich. Wie in jeder Arbeitswoche gehen Tausende von E-Mails ein, werden Telefonate geführt, Entscheidungen getroffen, Aufträge erteilt und Rechnungen beglichen. Unter anderem auch eine erwartete und bereits im SAP-System eingebuchte Rechnung des langjährigen Partnerunternehmens Zulieferer GmbH über zwei Millionen Euro.
Widersprüche, Anschuldigungen und Aktionismus
Nach einem Monat meldet sich die Rechnungsabteilung der Zulieferer GmbH und weist auf die abgelaufene Zahlungsfrist ihrer Rechnung hin. Ab diesem Zeitpunkt nimmt ein sich über Wochen hinziehender Korrespondenzaustausch zwischen den Unternehmen seinen Anfang, der mit gegenseitigen Anschuldigungen und Verstimmungen in einem Patt endet. Denn beide Seiten können nachweisen, dass sie recht haben: Sowohl die Rechnungsbegleichung als auch der mangelnde Zahlungseingang können zweifelsfrei vom jeweiligen Unternehmen belegt werden. Das Betrugsdelikt, dem beide Unternehmen zum Opfer gefallen sind, offenbart sich nicht sofort, wie es bei einem aufgebrochenen Tresor der Fall wäre.
Erst auf Geschäftsführerebene finden beide Unternehmen wieder zu einer konstruktiven Zusammenarbeit zurück und versuchen die Ereignisse Stück für Stück zu rekonstruieren. Zu den „verschwundenen“ zwei Millionen Euro addieren sich in den folgenden Monaten für beide Unternehmen nicht unerhebliche Zusatzkosten in Form von Management Time sowie externe Berater- und Rechtsanwaltskosten. Schwer wiegen auch die Zweifel, ob vielleicht eigene Mitarbeiter am Betrug beteiligt waren oder gar weitere Angriffe in Planung sind. Vorsorglich wird der für Überweisung verantwortliche Mitarbeiter entlassen und muss wochenlang wegen Schuldgefühlen psychologisch betreut werden.
Mehr Fragen als Antworten
Beide Unternehmen stehen plötzlich vor einer Vielzahl ernsthafter Fragestellungen wie:
- Wohin wurde die Rechnungssumme transferiert und ist eine Rückholung möglich?
- Welcher der beiden Geschäftspartner ist juristisch haftbar?
- Wie entlarvt man eventuelle Innentäter?
- Wie genau gingen die Täter vor und welche Schwachstellen konnten sie ausnutzen?
- Welche Maßnahmen sind notwendig, um solche und ähnliche Angriffe zu verhindern?
- Welche Behörden könnten die Unternehmen in der Aufklärung und Rückführung unterstützen?
In unserem konkreten Fall erfuhr die Mittelstands AG nach Anzeigenstellung wider Erwarten keinerlei nennenswerte Unterstützung durch die lokalen und nationalen Polizeibehörden. Angesichts der internationalen Dimension des Deliktes stieß die Polizei wortwörtlich schnell an ihre Grenzen.
Mühsame Rekonstruktion des Modus Operandi
Mit Unterstützung privater Ermittler war es den Unternehmen letztendlich möglich zu verstehen, was ihnen widerfahren war: Circa einen Monat vor der ersten nachweisbaren Kontaktaufnahme durch die Täter hatte ein auf Unternehmensgründungen spezialisierter Rechtsanwalt in einem osteuropäischen EU-Land eine Mantelgesellschaft gegründet und für diese ein Konto eröffnet. Kurz darauf erwarb ein französischer Staatsbürger diese Firma und benannte sie in „Zulieferer International GmbH“ um. Gleichzeitig wurde unter Angabe einer falschen Identität über einen niederländischen Webdienstleister eine gleichlautende Web-Domain registriert (Tatvorbereitungen). Zwischenzeitlich waren die Täter unbemerkt in das Datennetz eines der beiden Unternehmen eingedrungen, denn für ihren nächsten Schritt mussten sie über genaue Kenntnisse interner Abläufe, personenbezogener Weisungsbefugnisse, ausgetauschter Korrespondenzen und Kontaktdaten verfügen (Zielaufklärung).
Kaltschnäuzigkeit und Professionalität
Mit einem gut vorbereiteten Anruf leiteten die Täter nun einen multimedial wie international abgestimmten Trickbetrug ein, an dessen Ende ihnen die Mittelstands AG zwei Millionen Euro überweisen sollte. Den Grundstein für ihre Glaubwürdigkeit legten die Täter mit einem Telefonanruf, in dem sie sich als Leiter der Buchhaltung der Zulieferer GmbH ausgaben und die Rechnungsabteilung der Mittelstands AG vorab über eine kurzfristige, aber nur vorübergehende Kontoänderung (Social Engineering) informierten. Unter Verwendung gängiger geschäftsmäßiger Formulierungen erhielt der angerufene Mitarbeiter der Rechnungsabteilung der Mittelstands AG dann zeitnah tatsächlich eine E-Mail vom vermeintlichen Leiter der Buchhaltung der Zulieferer GmbH. Hierin wurde die Änderung des Zielkontos mit einem Bankenaudit erklärt und eine neue Rechnung mit aktualisierten Kontodaten angekündigt (Plausibilisierung). Dass die Domain-Endung der empfangenen E-Mail nicht auf „@Zulieferer.com“, sondern auf „@Zulieferer-International.com“ endete, fiel dem Mitarbeiter nicht auf (Email Spoofing). Oftmals wählen die Täter auch bewusst einen Angriffszeitraum vor Feiertagen oder Wochenenden aus, um antizipierte niedrige Aufmerksamkeitsspannen auszunutzen. Am Folgetag erhielt der Mitarbeiter der Mittelstands AG von den Tätern erneut eine E-Mail, diesmal mit der angekündigten neuen Rechnung im Anhang. Mit Ausnahme der neuen/falschen Bankdaten war die Rechnung samt Unterschrift optisch identisch mit der Originalrechnung der echten Zulieferer GmbH. Über das Hacken der E-Mail-Kommunikation zwischen den beiden Unternehmen hatten die Täter auch die unverschlüsselt übermittelte Original-Rechnung abgefangen und in ihrem Sinne modifiziert (Dokumentenfälschung). Nun ging es den Tätern um die schnellstmögliche Überweisung des Geldes, sodass der Rechnungsabteilung der Mittelstands AG so wenig Zeit wie möglich blieb, um die Kontoänderung zu hinterfragen (Aufbau von Zeitdruck). Hierzu gaben sich die Täter in mehreren E-Mails unter Verwendung des tatsächlichen Namens und der korrekten E-Mail-Signatur als Geschäftsführer der Zulieferer GmbH aus und drängten auf eine zeitnahe Überweisung. Diese Forderung knüpften sie an diverse plausibel klingende steuerliche und auch die Weihnachtsfeiertage betreffende Argumente (kulturelle Argumentation und Ausnutzen von Autorität).
Globalisierte Kriminelle
Wie die nachfolgenden Ermittlungen ergaben, war der neue französische Inhaber der „Zulieferer International GmbH“ selbst Opfer eines Identitätsdiebstahls geworden. Die Täter hatten sich für den Erwerb der Mantelgesellschaft sowie für die Überschreibung der Kontovollmachten seiner Identität bemächtigt (Tatverschleierung). Unmittelbar nach Eingang der zwei Millionen Euro auf dem Konto der nur formal existenten „Zulieferer International GmbH“ transferierten die Täter das Geld auf ein Konto bei einer chinesischen Großbank in der Volksrepublik China. Dort eingebucht, dessen konnten sich die Täter zunächst sicher sein, würde eine schnelle Rückführung der Gelder an die geschädigten Unternehmen aufgrund der kulturellen Unterschiede, der mangelnden Rechtsstaatlichkeit, des fremden Rechtssystems und der Sprachdifferenzen sehr schwierig und die meisten Rückholbemühungen frustrierend sein (Ausnutzen anderer Jurisdiktionen). Zusätzlich konnten die Täter auf die an eine Komplizenschaft mit internationalen Cyber-Kartellen heranreichende Nichtbeachtung aller Know Your Customer (KYC)-, Combat Financing of Terrorism (CFT)- und Geldwäschegesetzgebung (AML)-Regularien durch die ein oder andere chinesische Großbank bauen (Nutzung von non-compliant Banken). In unserem konkreten Fall verweigerte die involvierte und teils in staatlichem Besitz befindliche chinesische Großbank jegliche Kooperation bei den Fraud-Ermittlungen und ignorierte zunächst alle Kontaktversuche. Grundsätzlich kann man darüber hinaus davon ausgehen, dass die Täter das Geld entweder schnellstmöglich abheben oder auf andere Konten weiterleiten.
Im Zuge der international durchgeführten Ermittlungen konnte der Modus Operandi im Detail nachvollzogen, das Vorgehen der Täter mittels einer Timeline rekonstruiert und der Tätertypus aus einer Vielzahl von Hypothesen auf internationale Cyber-Kriminelle eingeschränkt werden. In diesem konkreten Fall konnte zur Erleichterung beider Unternehmen auch die Beteiligung von Mitarbeitern an dem komplexen Betrugsdelikt plausibel ausgeschlossen werden. Das Geld konnte aufgrund der Kooperationsverweigerung der chinesischen Bank jedoch nicht mehr zurückgeholt werden.
Nach Schätzungen des US-amerikanischen Federal Bureau of Investigation (FBI) beliefen sich die durch Business Email Compromise verursachten Schäden 2015 weltweit bereits auf ca. eine Milliarde Euro.
Praxistipps zur Prävention und Reaktion
Für betroffene Unternehmen ist es zunächst von höchster Priorität, schnellstmöglich den Tathergang nachzuvollziehen, um ggf. parallel laufende Betrugsangriffe zu erkennen, Zweifel an möglichen Innentätern auszuräumen und Geschäftspartner zu warnen. Zu den Ad-hoc-Maßnahmen sollten zudem auch die Verifizierung von Zahlungsanweisungen über unterschiedliche Kommunikationskanäle (Out-of-Band-Kommunikation), Zusatzvereinbarungen mit der Hausbank, eine IT-Forensik und die Verschlüsselung der binären Kommunikation sein.
Abhängig von der Erkenntnis- und Beweislage kann es im nächsten Schritt sinnvoll sein, spezialisierte Ermittler mit der Rückholung der verloren gegangenen Vermögenswerte (Asset Tracing & Recovery) zu beauftragen.
Abschließend sollten Mitarbeiter hinsichtlich Social-Engineering-Angriffen sensibilisiert und die durch das Betrugsdelikt offengelegten Schwachstellen im Daten- und Informationsschutz sowie der Unternehmenssicherheit einer grundsätzlichen und weiterführenden Überprüfung unterzogen werden. Den größten Mehrwert bietet in diesem Kontext für Unternehmen ein externes Informationsschutz-Audit, in dem die existierenden Zugriffs- und Zutrittsmöglichkeiten auf schützenswerte Informationen, Prozesse sowie Örtlichkeiten analysiert werden. In unserem konkreten Fall offenbarte ein parallel zur Fallaufklärung initiiertes Informationsschutz-Audit eine Vielzahl schwerwiegender organisatorischer und technischer Sicherheitslücken bei dem primär betroffenen Unternehmen.
Angesichts zunehmender Cyber-Kriminalität und der oft hohen Schadenssummen rechnet es sich ganz grundsätzlich für Unternehmen, die Themen Datenschutz und Security präventiv anzugehen und als Wettbewerbsfaktor offensiv über kohärente Schutzkonzepte im Unternehmen zu verankern.
(Erstveröffentlichung erfolgte in der Zeitschrift „Datenschutz konkret“, Heft 2/2016 (dako.manz.at)