Ein Lieferant teilt Ihnen mit, dass eine längst bezahlte Lieferantenrechnung noch ausstehend sei. Der Zahlungsbeleg zeigt jedoch, dass diese Rechnung beglichen wurde. Was ist passiert? Ein Hacker ist in das IT-System eingedrungen und hat bei einem Mitarbeiter E-Mail-Regeln installiert. Dadurch erhält er alle ein- und ausgehenden E-Mails des gehackten Mail-Accounts. Er kann mitlesen, mit welchen Personen der Mitarbeitende kommuniziert. Der Hacker übernimmt die Kontrolle über eingehende E-Mails und beginnt als vermeintlicher Lieferant E-Mails zu schreiben. Absender, Design und Schreibstil sind mit jenen des Lieferanten (fast) identisch. Als E-Mail-Absender erscheint die korrekte E-Mail-Adresse des Lieferanten. Allfällige wirkliche Korrespondenz dieses Lieferanten fängt der Hacker ab. Er teilt mit, dass die Kontoverbindungen für die Bezahlung der Rechnungen geändert haben und gibt seine eigene Kontoverbindung an. Zusätzliche, vertrauenswürdig aussehende Dokumente und E-Mails lassen auftauchende Zweifel über die Echtheit der neuen Zahlungsinstruktionen verschwinden.
Kosten und Zeitaufwand
Mit der Mahnung des Lieferanten läuten alle Alarmglocken. Sofort werden Polizei, Banken und IT-Spezialisten involviert. Die Bank versucht, die Gelder zurückzuholen und der IT-Spezialist stellt die veränderten E-Mail-Regeln fest, versucht E-Mails sicherzustellen und das IT-System zu sichern. Nach der Anzeige bei der Polizei, Rückholungsaufträgen an Banken, Wiederherstellung der IT-Sicherheit sowie intensiver Kommunikation mit dem Lieferanten erfolgt die Ernüchterung: Der Lieferant besteht berechtigterweise auf der Zahlung der gelieferten Waren. Ein Cyber-Angriff befreit den Besteller nicht von der Bezahlung des Kaufpreises. Um den Hacker zu belangen, müssen mehrere Voraussetzungen erfüllt sein: 1. Man muss den Hacker finden. Diese Täter agieren meist vom Ausland aus, sind örtlich oft unabhängig und in IT-Belangen sehr gewieft. 2. Man muss dem Hacker eine Straftat nachweisen können. Beim Tatbestand des Betrugs gibt es eine sogenannte Opfermitverantwortung. Hier wird geprüft, ob das Unternehmen genügend aktuell war betreffend IT-Sicherheitssysteme und interne Prozesse. 3. Schliesslich führt selbst eine Verurteilung des Täters nicht automatisch zur Rückerstattung des Geldes, da das Geld wahrscheinlich schon wieder fort ist.
Meist ist das Geld weg
Meistens müssen die betroffenen Unternehmen den Schaden tragen. Ihnen bleibt zu ihrem Schutz nur, ihre internen Prozesse ständig zu aktualisieren und in aktuelle IT-Sicherheitssysteme zu investieren. Damit lassen sich Angriffe abwehren, bevor ein Schaden entsteht. Gefährdet sind insbesondere KMU ohne umfassende interne Risiko-Prozesse. Es ist von zentraler Bedeutung, geeignete Prozesse zu etablieren und sicherzustellen, dass nicht eine Person allein die Stammdaten von Kreditoren ändern kann. Bei jeder Mitteilung über Änderungen der Zahlungsbedingungen sollte über einen anderen Kommunikationskanal die Echtheit dieser Instruktion nachgefragt werden. Bei jeder verdächtigen E-Mail sollte geprüft werden, ob sich hinter dem Absender tatsächlich die korrekte E-Mail-Adresse verbirgt. Diese Prüfung kann von jedem E-Mail-User nach einer kurzen Instruktion vorgenommen werden. Schliesslich gibt es Versicherungen gegen Internetbetrug. Ob deren Bedingungen und Prämien akzeptabel sind, ist im Einzelfall zu prüfen. Eine solche Versicherung ersetzt aber nicht jederzeit aktuelle technische und organisatorische IT-Sicherheitssysteme.
