Zum Inhalt springen

Cybercrime Die Raubzüge der Online-Betrüger

Homeoffice hat eine unerwünschte Nebenwirkung: Cyber-Angriffe nehmen zu. Die Justiz hat kaum eine Chance.

Anfang des Jahres erwischte es den Autoimporteur Amag. Ein Angestellter klickte von zuhause auf einen Excel-Anhang und gewährte so Hackern Zutritt zum Amag-Netz.

IT-Chef Thomas Sauer wurde vom Bund und dessen Meldestelle Melani gewarnt: Ein Computer von Amag nehme Kontakt zu einer verdächtigen IP-Adresse auf.

Rasch stellte sich heraus, dass hinter dem Angriff ein professionelles internationales Verbrechernetzwerk stand.

«Der Angreifer ist aus vorigen Fällen dafür bekannt, dass er versucht, die Daten zu verschlüsseln oder die Daten abzuziehen und dann eine Erpressung zu vollziehen», berichtet Thomas Sauer. «Wir glauben, dass es nicht mehr lange gedauert hätte, bis der Angreifer so eine Aktion gestartet hätte.»

Amag kappte alle Verbindungen nach draussen und machte sich mit 100 Informatikern daran, das Netz wieder sicher zu machen und zu verbessern. Eine monatelange Arbeit.

Das Unternehmen ist mit einem blauen Auge davongekommen, es wurden keine Daten gestohlen. Dennoch kostete der Angriff Amag mehrere Millionen Franken.

Acht Mal so viele Angriffe wie vor dem Shutdown

Das Software-Internehmen Eset warnt, dass Unternehmen die Gefahr von Cyber-Angriffen unterschätzten – vor allem jetzt in Zeiten des Homeoffice. In der Schweiz hätten sich die Attacken auf die Fernzugänge, so genannte Remote-Desktop-Verbindungen, seit dem Frühjahr auf bis zu 200'000 pro Tag verachtfacht.

Den Angreifern gehe es darum, an möglichst viele Daten zu kommen und darüber hinaus Ransomware zu verteilen, mit der Daten verschlüsselt und deren Eigentümer erpresst werden.

Auch das Nationale Zentrum für Cybersicherheit des Bundes (NCSC) verzeichnet steigende Meldungen von Cybercrime:

Grafik mit Höhepunkt in der Mitte.
Legende: Zum Shutdown stiegen die Cybercrime-Meldungen beim Bund. Mit den Lockerungen sind sie gesunken, bleiben aber hoch. SRF

Die Kosten von Cyber-Kriminalität sind enorm. Die US-amerikanische Analysefirma Cyber Security Ventures schätzt sie für 2021 auf 6000 Milliarden US-Dollar.

Mehr als der internationale Drogenhandel

Das sei mehr, als der internationale Drogenhandel umsetze, sagt Nicola Staub. Er war bis vor wenigen Monaten Staatsanwalt im Kanton Schwyz und hatte sich auf Cyber-Kriminalität spezialisiert. Seine Erfahrung zeigt, dass nur in «sehr, sehr wenigen Fällen» Täter verhaftet werden können.

Die US-amerikanische Denkfabrik Thirdway geht in einem Artikel von 2018 davon aus, dass lediglich 0.05 Prozent der Cybercrime-Fälle gerichtliche Konsequenzen nach sich ziehen.

«Hinter Cyberkriminalität steht praktisch immer organisierte Kriminalität», erklärt Nicola Staub. Diese habe die Möglichkeit, eine Masse von Angriffen zu starten. Die Justiz komme nicht hinterher.

Cybercrime ist schnell und international, die Strafverfolgung ist bestenfalls national und ihre Prozesse sind langsam.

Nicola Staub nennt ein Beispiel: «Wenn ich heute als Staatsanwalt die Information will, wer hinter einem Konto steht – sozusagen als erstes Puzzleteil der Ermittlungen –, dann wartet man regelmässig bis zu sechs Monate und länger, bis man die erste Antwort bekommt.»

Hier müsse sich etwas ändern, vor allem in der Prävention. Nicola Staub hat zu diesem Zweck ein Fintech gegründet.

Perfide Betrugstechnik «CEO Fraud»

Nicht nur Phishing-Angriffe, wie im Fall von Amag, nehmen im Homeoffice zu: Auch «CEO Fraud», CEO-Betrug, ist derzeit eine akute Gefahr.

Dafür braucht es kaum technische Kenntnisse, vielmehr spielt diese Betrugstechnik mit den Emotionen ihrer Opfer.

Laptop-Bildschirm, auf dem ein Totenkopf zu sehen ist.
Legende: Auf 6 Billionen US-Dollar wird der globale Schaden durch Cybercrime geschätzt. Colourbox

Das Unternehmen Emile Egger aus Cressier im Neuenburger Land hat bereits 2014 erlebt, wie perfide dieser Betrug ist und welchen Schaden er anrichten kann.

Mit dem Wirtschaftsmagazin «ECO» spricht Miteigentümer Michel Grimm zum ersten Mal über den Fall.

«In unserer Zentrale ging ein Anruf ein. Jemand behauptete, er habe ein Problem mit einer Rechnung. Diese Person wurde dann mit der Buchhaltung verbunden und legte kurz darauf auf. Zwei Tage später erhielt die Assistentin des Buchhalters eine E-Mail eines so genannten Anwalts. Es handele sich um ein wichtiges Geschäft in China, und es habe mit mir zu tun. Man müsse sehr schnell Geld überweisen.»

Credit Suisse missachtete Regel der doppelten Unterschrift

Da der CEO auf Geschäftsreise war, nahm die Angestellte Kontakt mit der Hausbank Credit Suisse auf. «Die Bank schlug eine andere Methode der Überweisung vor als jene, die wir normalerweise nutzen.»

Statt sich eine doppelte Unterschrift geben zu lassen, forderte Credit Suisse nur eine E-Mail mit den Kontodaten sowie eine Bestätigungs-E-Mail des CEOs an.

«Diese Mail war voller Fehler», sagt Michel Grimm. Unter anderem war die Absender-Adresse falsch, sie beinhaltete Schreibfehler, die Signatur stimmte nicht überein. «Dennoch hat die Bank sie akzeptiert und die Zahlungen ausgeführt.» Dabei hatte Emile Egger Credit Suisse nie erlaubt, per E-Mail Aufträge auszuführen.

Fehlerhafte E-Mails

Box aufklappen Box zuklappen

«ECO» konnte die Originaldokumente einsehen. In der ersten Nachricht lautete der Wortlaut in fehlerhaftem Französisch, angeblich vom CEO gesendet:

Je vous confirme par la présente, le paiement par virement a exécuté en date de valeur jour pour un montant de 418'260.00 Eur auprès du bénéficiare suivant.

Diese Nachricht führte zur Überweisung der ersten Tranche.

Am Ende tätigte Emile Egger 5 Überweisungen auf chinesische Konten, von denen nur die letzte rechtzeitig gestoppt werden konnte.

Insgesamt stahlen die Kriminellen der Firma so 4'041'537,61 Euro. Das entspricht 10 Prozent des gesamten Umsatzes – Geld, das seitdem für Investitionen in die Firma fehlte.

Michel Grimm betont, dass sowohl die Bank als auch die Buchhalterin nur hätten helfen wollen. Und darauf zielt CEO-Betrug.

«Man versucht, jemanden zu erwischen, der denkt, endlich kann ich etwas für den Chef machen. Die Person ist dann stolz, so eine wichtige Akquisition in China ausführen zu können und gibt sich grösste Mühe, alles möglich zu machen, um den CEO zufriedenzustellen.»

Der ehemalige Staatsanwalt Nicola Staub weist darauf hin, dass das FBI diese Art des Betrugs als Methode mit dem grössten Schadenpotenzial einordnet.

Inzwischen entwickle sich CEO-Betrug bereits weiter: «Eine nächste Stufe funktioniert zum Beispiel mit Deepfake-Technologie, mit der sich Kriminelle wirklich als CEO ausgeben können, und zwar nicht nur per E-Mail, sondern eben auch die Stimme des CEOs imitieren können.»

Gefälschte Stimme des CEOs

Im vergangenen Jahr meldete die deutsche Versicherung Euler Hermes einen ersten CEO-Betrugsfall mit Deepfake. Eine britische Tochtergesellschaft einer nicht näher genannten deutschen Firma hatte 220'000 Euro überwiesen, weil der Angestellte dachte, er telefoniere mit dem Chef.

Die gefälschte Stimme sagte, sie habe den Transaktionszeitraum der Bank bis 16 Uhr am Freitagnachmittag verpasst. Deshalb sei die Zahlung nur noch durch die britische Tochter möglich – denn in Grossbritannien war es erst 15 Uhr.

Die Frage des Schutzes

Emile Egger und Amag haben ihre Lehren aus den Cyberangriffen gezogen. Bei Amag können Angestellte im Homeoffice nicht mehr über das eigene Wlan ins Netz gehen, sondern müssen sich zuerst mit dem Amag-Netz verbinden.

Auch Sensibilierung wird seitdem noch grösser geschrieben: «Unser Anspruchsdenken an Sicherheit ist jetzt sehr, sehr hoch aufgrund der Erfahrung, die wir gemacht haben», sagt IT-Chef Thomas Sauer. Es gehe nun darum, das Niveau an Aufmerksamkeit aufrechtzuerhalten.

Wie sich Firmen schützen können

Box aufklappen Box zuklappen

Angriffsversuche auf Schweizer Firmen finden täglich statt, das berichten befragte Firmen, und das sagen Experten.

Viele Unternehmen unterschätzen die Bedrohung. Sie setzen zu einfache Passwörter, machen keine regelmässigen Daten-Backups oder aktualisieren ihre Software zu selten.

In einer Gemeinschaftsarbeit zwischen Bund und Verbänden ist der KMU-Schnelltest entstanden.

Hiermit sollen Firmen ihre Sicherheit überprüfen und erhalten Tipps für Massnahmen.

Emile Egger schult seine Angestellten ebenfalls intensiv. Ausserdem werden sie ermuntert, bei Zweifeln zu fragen, unabhängig von der Hierarchie-Stufe.

E-Mails werden sehr genau gelesen. «Es geht keine Nachricht raus, ohne dass man den Empfänger noch einmal genau angeschaut hat», sagt Michel Grimm. «Wir hätten nie gedacht, dass so etwas passieren kann.»

Für Michel Grimm ging es sechs Jahre nach dem Cyberangriff gut aus: Im August verurteilte das Bundesgericht die Credit Suisse, weil sie die doppelte Unterschrift missachtet hatte. Die Bank muss Emile Egger die gestohlene Summe erstatten.

Banken wegen Cybercrime vor Gericht

Box aufklappen Box zuklappen

Der Fall Emile Egger ist der grösste Fall von Cybercrime vor Bundesgericht, in dem eine Bank schuldig gesprochen wurde. Das schreibt Susan Emmenegger, Professorin für Privat- und Bankrecht an der Universität Basel.

«Zu bedenken ist allerdings, dass die Dunkelziffer der Fälle hoch sein dürfte, weshalb man nicht ausschliessen kann, dass es nicht noch höhere Schadenssummen gegeben hat.»

Credit Suisse schreibt zum Urteil: «Die Bank hat den Entscheid zur Kenntnis genommen und wird ihn analysieren.»

Fälle, bei denen ein Zahlungsauftrag von einer nicht autorisierten Person ausgehe, gehörten laut Susan Emmenegger zu den «Dauerthemen in den Zivilprozessen gegen die Bank». Beispiele seien:

  • Handelsgericht Zürich , 29. Januar 2015: Überweisung von 200'000 US-Dollar gestützt auf eine Mail, deren Absendung der Kunde erfolgreich bestritt. Die Bank musste die Summe dem Konto wieder gutschreiben. Der Kunde hatte in der Korrespondenz mit der Bank gültig festgehalten, dass Überweisungen über 15'000 US-Dollar nur mit seiner eigenhändigen Unterschrift ausgelöst werden können.
  • Bundesgericht , Urteil vom 5. Dezember 2016 (Beschwerde gegen ein Urteil der Genfer Cour de Justice): Gehacktes E-Mailkonto eines US-Kunden, verschiedene Zahlungsaufträge auf ein Konto nach Hongkong (120'000, 185'000, 230'000, 83'000 US-Dollar). Der Kunde konnte einen Teil der Gelder durch Zivilklagen in Hongkong wieder wiedererlangen. Die grundsätzliche Haftung der Bank wurde vom Bundesgericht bejaht.
  • Cour de Justice, Genf, Urteil vom 6. Mai 2016: Gehacktes E-Mailkonto. Unbefugte Zahlungaufträge in Höhe von 2 Mio. und 1.355 Mio. Euro. Dazwischen erfolgten allerdings auch befugte Zahlungsaufträge seitens der Kundin. Die Genfer Cour de Justice wies die Klage der Kundin ab, denn die Bank konnte nicht erkennen, dass es sich um gefälschte Zahlungsaufträge handelte.
  • Handelsgericht Zürich, Urteil vom 25. November 2016: Gehacktes E-Mailkonto. Zahlungsaufträge auf Konten in London und Georgien (rund 360'000 Fr.). Die Bank musste die Summen dem Kundenkonto wieder gutschreiben (bzw. die Belastung wieder rückgängig machen).
  • Handelsgericht Zürich, Urteil vom 23. November 2016: Gehacktes E-Mailkonto. Die Vermögensverwalterin der Kundin erhält gefälschte Überweisungsaufträge und gibt diese an die Bank weiter. Zahlungsaufträge von zweimal 100'000 US-Dollar zugunsten eines bislang nicht bekannten Empfängers in Singapur. Die Bank muss die belasteten Beträge erstatten.
  • Bundesgericht, Urteil vom 28. Mai 2018: Gehacktes E-Mailkonto. Zahlungsaufträge in Höhe von 600'000 und 900'000 US-Dollar auf Konten in Südkorea. Das Bundesgericht weist die Klage ab, weil nicht genügend nachgewiesen wurde, dass die Aufträge nicht von der Kundin selbst stammten.
  • Bundesgericht, Urteil vom 9. Juli 2020: Gehacktes E-Mailkonto. Verschiedene Überweisungen innerhalb eines Monats (34'000 Euro, 12'000 Pfund, 100'000, 12'000, 50'000, 70'000, 80'0000, 45'000) an eine Bank in London. Die Klage wird abgewiesen, weil die Effektenhändlerin nicht sorgfaltswidrig handelte, als sie die Fälschungen nicht erkannte.

ECO, 5.10.2020

Meistgelesene Artikel