Anfang des Jahres erwischte es den Autoimporteur Amag. Ein Angestellter klickte von zuhause auf einen Excel-Anhang und gewährte so Hackern Zutritt zum Amag-Netz.
IT-Chef Thomas Sauer wurde vom Bund und dessen Meldestelle Melani gewarnt: Ein Computer von Amag nehme Kontakt zu einer verdächtigen IP-Adresse auf.
Rasch stellte sich heraus, dass hinter dem Angriff ein professionelles internationales Verbrechernetzwerk stand.
«Der Angreifer ist aus vorigen Fällen dafür bekannt, dass er versucht, die Daten zu verschlüsseln oder die Daten abzuziehen und dann eine Erpressung zu vollziehen», berichtet Thomas Sauer. «Wir glauben, dass es nicht mehr lange gedauert hätte, bis der Angreifer so eine Aktion gestartet hätte.»
Amag kappte alle Verbindungen nach draussen und machte sich mit 100 Informatikern daran, das Netz wieder sicher zu machen und zu verbessern. Eine monatelange Arbeit.
Das Unternehmen ist mit einem blauen Auge davongekommen, es wurden keine Daten gestohlen. Dennoch kostete der Angriff Amag mehrere Millionen Franken.
Acht Mal so viele Angriffe wie vor dem Shutdown
Das Software-Internehmen Eset warnt, dass Unternehmen die Gefahr von Cyber-Angriffen unterschätzten – vor allem jetzt in Zeiten des Homeoffice. In der Schweiz hätten sich die Attacken auf die Fernzugänge, so genannte Remote-Desktop-Verbindungen, seit dem Frühjahr auf bis zu 200'000 pro Tag verachtfacht.
Den Angreifern gehe es darum, an möglichst viele Daten zu kommen und darüber hinaus Ransomware zu verteilen, mit der Daten verschlüsselt und deren Eigentümer erpresst werden.
Auch das Nationale Zentrum für Cybersicherheit des Bundes (NCSC) verzeichnet steigende Meldungen von Cybercrime:
Die Kosten von Cyber-Kriminalität sind enorm. Die US-amerikanische Analysefirma Cyber Security Ventures schätzt sie für 2021 auf 6000 Milliarden US-Dollar.
Mehr als der internationale Drogenhandel
Das sei mehr, als der internationale Drogenhandel umsetze, sagt Nicola Staub. Er war bis vor wenigen Monaten Staatsanwalt im Kanton Schwyz und hatte sich auf Cyber-Kriminalität spezialisiert. Seine Erfahrung zeigt, dass nur in «sehr, sehr wenigen Fällen» Täter verhaftet werden können.
Die US-amerikanische Denkfabrik Thirdway geht in einem Artikel von 2018 davon aus, dass lediglich 0.05 Prozent der Cybercrime-Fälle gerichtliche Konsequenzen nach sich ziehen.
«Hinter Cyberkriminalität steht praktisch immer organisierte Kriminalität», erklärt Nicola Staub. Diese habe die Möglichkeit, eine Masse von Angriffen zu starten. Die Justiz komme nicht hinterher.
Cybercrime ist schnell und international, die Strafverfolgung ist bestenfalls national und ihre Prozesse sind langsam.
Nicola Staub nennt ein Beispiel: «Wenn ich heute als Staatsanwalt die Information will, wer hinter einem Konto steht – sozusagen als erstes Puzzleteil der Ermittlungen –, dann wartet man regelmässig bis zu sechs Monate und länger, bis man die erste Antwort bekommt.»
Hier müsse sich etwas ändern, vor allem in der Prävention. Nicola Staub hat zu diesem Zweck ein Fintech gegründet.
Perfide Betrugstechnik «CEO Fraud»
Nicht nur Phishing-Angriffe, wie im Fall von Amag, nehmen im Homeoffice zu: Auch «CEO Fraud», CEO-Betrug, ist derzeit eine akute Gefahr.
Dafür braucht es kaum technische Kenntnisse, vielmehr spielt diese Betrugstechnik mit den Emotionen ihrer Opfer.
Das Unternehmen Emile Egger aus Cressier im Neuenburger Land hat bereits 2014 erlebt, wie perfide dieser Betrug ist und welchen Schaden er anrichten kann.
Mit dem Wirtschaftsmagazin «ECO» spricht Miteigentümer Michel Grimm zum ersten Mal über den Fall.
«In unserer Zentrale ging ein Anruf ein. Jemand behauptete, er habe ein Problem mit einer Rechnung. Diese Person wurde dann mit der Buchhaltung verbunden und legte kurz darauf auf. Zwei Tage später erhielt die Assistentin des Buchhalters eine E-Mail eines so genannten Anwalts. Es handele sich um ein wichtiges Geschäft in China, und es habe mit mir zu tun. Man müsse sehr schnell Geld überweisen.»
Credit Suisse missachtete Regel der doppelten Unterschrift
Da der CEO auf Geschäftsreise war, nahm die Angestellte Kontakt mit der Hausbank Credit Suisse auf. «Die Bank schlug eine andere Methode der Überweisung vor als jene, die wir normalerweise nutzen.»
Statt sich eine doppelte Unterschrift geben zu lassen, forderte Credit Suisse nur eine E-Mail mit den Kontodaten sowie eine Bestätigungs-E-Mail des CEOs an.
«Diese Mail war voller Fehler», sagt Michel Grimm. Unter anderem war die Absender-Adresse falsch, sie beinhaltete Schreibfehler, die Signatur stimmte nicht überein. «Dennoch hat die Bank sie akzeptiert und die Zahlungen ausgeführt.» Dabei hatte Emile Egger Credit Suisse nie erlaubt, per E-Mail Aufträge auszuführen.
Am Ende tätigte Emile Egger 5 Überweisungen auf chinesische Konten, von denen nur die letzte rechtzeitig gestoppt werden konnte.
Insgesamt stahlen die Kriminellen der Firma so 4'041'537,61 Euro. Das entspricht 10 Prozent des gesamten Umsatzes – Geld, das seitdem für Investitionen in die Firma fehlte.
Michel Grimm betont, dass sowohl die Bank als auch die Buchhalterin nur hätten helfen wollen. Und darauf zielt CEO-Betrug.
«Man versucht, jemanden zu erwischen, der denkt, endlich kann ich etwas für den Chef machen. Die Person ist dann stolz, so eine wichtige Akquisition in China ausführen zu können und gibt sich grösste Mühe, alles möglich zu machen, um den CEO zufriedenzustellen.»
Der ehemalige Staatsanwalt Nicola Staub weist darauf hin, dass das FBI diese Art des Betrugs als Methode mit dem grössten Schadenpotenzial einordnet.
Inzwischen entwickle sich CEO-Betrug bereits weiter: «Eine nächste Stufe funktioniert zum Beispiel mit Deepfake-Technologie, mit der sich Kriminelle wirklich als CEO ausgeben können, und zwar nicht nur per E-Mail, sondern eben auch die Stimme des CEOs imitieren können.»
Gefälschte Stimme des CEOs
Im vergangenen Jahr meldete die deutsche Versicherung Euler Hermes einen ersten CEO-Betrugsfall mit Deepfake. Eine britische Tochtergesellschaft einer nicht näher genannten deutschen Firma hatte 220'000 Euro überwiesen, weil der Angestellte dachte, er telefoniere mit dem Chef.
Die gefälschte Stimme sagte, sie habe den Transaktionszeitraum der Bank bis 16 Uhr am Freitagnachmittag verpasst. Deshalb sei die Zahlung nur noch durch die britische Tochter möglich – denn in Grossbritannien war es erst 15 Uhr.
Die Frage des Schutzes
Emile Egger und Amag haben ihre Lehren aus den Cyberangriffen gezogen. Bei Amag können Angestellte im Homeoffice nicht mehr über das eigene Wlan ins Netz gehen, sondern müssen sich zuerst mit dem Amag-Netz verbinden.
Auch Sensibilierung wird seitdem noch grösser geschrieben: «Unser Anspruchsdenken an Sicherheit ist jetzt sehr, sehr hoch aufgrund der Erfahrung, die wir gemacht haben», sagt IT-Chef Thomas Sauer. Es gehe nun darum, das Niveau an Aufmerksamkeit aufrechtzuerhalten.
Emile Egger schult seine Angestellten ebenfalls intensiv. Ausserdem werden sie ermuntert, bei Zweifeln zu fragen, unabhängig von der Hierarchie-Stufe.
E-Mails werden sehr genau gelesen. «Es geht keine Nachricht raus, ohne dass man den Empfänger noch einmal genau angeschaut hat», sagt Michel Grimm. «Wir hätten nie gedacht, dass so etwas passieren kann.»
Für Michel Grimm ging es sechs Jahre nach dem Cyberangriff gut aus: Im August verurteilte das Bundesgericht die Credit Suisse, weil sie die doppelte Unterschrift missachtet hatte. Die Bank muss Emile Egger die gestohlene Summe erstatten.
