Warum eine Bank überfallen, wenn man Geld ganz einfach über das Internet klauen kann? So denken immer mehr Kriminelle, zumal sie den virtuellen Überfall einfach als einen „Service“ über das Darknet einkaufen können. Unternehmen weltweit sind alarmiert.
Während die Anzahl der Überfälle auf Banken, Sparkassen und auch Postfilialen in den vergangenen drei Jahrzehnten um 95 Prozent gesunken ist, steigt die Zahl der Finanzverbrechen, die über das Internet begangen werden, stetig.
Im „Risikobarometer“ des zur Allianz gehörenden Industrieversicherers AGCS sehen Manager und Sicherheitsfachleute weltweit in Cyberangriffen die größte Gefahr für Unternehmen. Damit liegen sie noch vor Betriebsunterbrechungen, Naturkatastrophen und Pandemien – wobei Betriebsunterbrechungen und Cyberangriffe oftmals zusammenhängen. Für das „Risikobarometer“ hatte der Versicherer im vergangenen Herbst insgesamt 2.650 Fachleute in 89 Ländern befragt, darunter über 1.200 Führungskräfte großer Unternehmen mit mehr als 500 Millionen Dollar Jahresumsatz.
Wie real die Gefahr eines Cyberangriffes ist, zeigen immer wieder aktuelle Beispiele gestohlener Daten. Jüngstes Beispiel: Das Internationale Rote Kreuz (IRK), dem sensible Daten teils schutzbedürftiger Menschen gestohlen wurden. Nach dem Angriff sah sich IRK-Generaldirektor Robert Mardini gezwungen, an die Hacker zu appellieren, „die Daten nicht zu veröffentlichen, zu verbreiten oder zu verkaufen”.
Besonders stark zugenommen haben „Ransomware“-Attacken, bei denen Hacker mit Hilfe bösartiger Software ganze Computernetze lahmlegen, um Daten zu klauen und zu verschlüsseln. Die hierfür benötige Schadsoftware gibt es als "Service" im Darknet zu kaufen. Immer wieder sind große Unternehmen betroffen – auch wenn Russland erst kürzlich die berüchtigte Hackergruppe "Revil" auf Bitten der USA zerschlagen hat. "Revil" wird verdächtigt, hinter tausenden Ransomware-Attacken zu stecken.
Neben Erpressung versuchen Kriminelle auch immer wieder, Geldströme umzuleiten. Dazu werden beispielsweise Mail-Accounts gehackt, um dann, vom Besitzer des Postfachs unbemerkt, eine Korrespondenz zu starten mit dem Versuch, Überweisungen an bislang nicht bekannte Konten zu beauftragen.
Ein anderes Beispiel ist CEO-Fraud. Dabei erhalten Mitarbeitende eine E-Mail, die vermeintlich von einer oder einem Vorgesetzten stammt. In der Mail bittet der oder die falsche Chef:in um einen kleinen Gefallen – oftmals um die schnelle Überweisung einer hohen Geldsumme. Solche Angriffe werden von den Betrügenden gut vorbereitet. Sie machen sich im Vorfeld mit dem Unternehmen vertraut, schauen sich Social Media Accounts an und versuchen über vermeintlich harmlose Anrufe, Ansprechpartner zu erfragen. Erst dann nehmen sie über gefälschte E-Mails Kontakt zu ihren Opfern auf und bitten um Unterstützung bei einer vermeintlich dringenden, vertraulichen Geldüberweisung. Solche Betrugsversuche gibt es auch bei der REWE Group immer wieder. Dass Kriminelle bislang keinen Erfolg hatten, liegt auch daran, dass betroffene Personen besonders aufmerksam waren. Umso wichtiger ist es, ungewöhnlichen Anfragen mit Skepsis zu begegnen und nicht auf die Mails zu antworten. Im Zweifelsfall ist es besser, einmal mehr das Vier-Augen-Prinzip anzuwenden oder den Vorgesetzten zu fragen, ob alles mit rechten Dingen zugeht.