Markus Meyer, sind KMU beim elektronischen Zahlungsverkehr zu leichtgläubig?
Es gibt eine Tendenz zu glauben, so etwas wie Hackerangriffe betreffe einen sowieso nicht. Wenn aber bereits in der Rechnungserfassung falsche Daten eingeschleust werden, können wir als Bank praktisch unmöglich herausfinden, dass es sich um eine betrügerische Zahlung handelt. Viele Firmen sind gar nicht darauf vorbereitet, wie man sich im Umfeld des digitalen Zahlungsverkehrs zu bewegen hat. Es gibt Unternehmen, die haben ihr Betriebssystem seit fünf Jahren nicht aufdatiert und kein Virenschutzprogramm installiert.
Wie häufig sind denn solche Betrügereien?
Konkrete Zahlen dazu nennen wir nicht. Aber ich kann sagen, dass im Schweizer Zahlungsverkehrssystem zwischen den Banken pro Monat 40 Millionen Zahlungen abgewickelt werden. Das erfolgt mit einer unglaublichen Verlässlichkeit. Manipuliert wird nicht bei den eigentlichen Transaktionen zwischen den Banken, sondern lange vorher. Die Angreifer suchen sich das schwächste Glied in der Kette. Bei den Betrugsmustern, die wir beobachten, sind das sehr oft die Prozesse, Systeme und Menschen in den Unternehmen selber. Zum Beispiel Mitarbeiter, die sich am Telefon Passwörter und Logindaten abluchsen lassen.
Wie gehen Hacker konkret vor?
Meistens wird zuerst ein Trojaner eingeschleust, zum Beispiel über ein E-Mail-Attachment. Mit Hilfe dieser Software beobachten die Hacker etwa den Mailverkehr in einer Firma, bis sie herausfinden, dass Lieferantenrechnungen in der Form von PDF-Anhängen eintreffen. PDFs aber lassen sich ganz einfach editieren. Der Trojaner öffnet also diese Dokumente und verändert darin die Zahlungsinstruktionen. Da steht dann in einer Originalrechnung plötzlich eine falsche IBAN Nummer. Als Bank erkennen wir dann die Unrechtmässigkeit dieser korrekt übermittelten Zahlung nicht mehr.
Werden so auch Schweizer KMU Opfer von Cyberkriminalität?
Sicher. So erhielt zum Beispiel eine Mittelstandsfirma von einem langjährigen ausländischen Lieferanten eine PDF-Rechnung via E-Mail, auf der plötzlich ein neues Bankkonto aufgeführt war – leider eine Fälschung. Dieses neue Begünstigtenkonto kam der Mitarbeiterin, die die Rechnung bearbeitete, seltsam vor. Also rief sie auf der in der E-Mail angegebenen Telefonnummer den Lieferanten an, um sich abzusichern. Diese Nummer aber war auch gefälscht, und es meldete sich einer der Hacker, der ihr erklärte, alles sei in bester Ordnung. Er beglückwünschte die Frau gar noch zu ihrem gesunden Misstrauen und der Nachfrage. Eine genaue Überprüfung der Begünstigten insbesondere bei Kontoänderungen ist daher sehr wichtig.
Sind weitere Muster bekannt, nach denen Hacker vorgehen?
Ein anderes typisches Vorgehen ist unter dem Namen «CEO Fraud» bekannt. Mit einem Trojaner wird über längere Zeit der Mailverkehr eines Chefs mitverfolgt und dann in genau dessen Stil eine hochvertrauliche Mail an einen Mitarbeiter in der Finanzbuchhaltung der Firma gesandt, in der von einer geheimen Geschäftsübernahme die Rede ist. Obwohl diese Zahlungsinstruktion gefälscht ist, wird sie durch einen Einzelzahlungsberechtigten ausgeführt, und das Geld ist für immer weg. In der Presse wurde so ein Fall aus Österreich publik. Das kann auch bei uns in der Schweiz passieren. Um so etwas zu verhindern, sind klare Prozesse bei der Freigabe von intern angeordneten Zahlungen wichtig oder auch die verbindliche Kollektivunterschrift, insbesondere wenn es um grosse Beträge geht.
Machen sich die Betrüger nur über E-Mail an ihre Opfer heran?
Nein, ein typisches Muster sind auch Telefonanrufe. Zuerst fangen sich Firmen einen Trojaner ein, dann erhalten sie einen Brief, in dem angekündigt wird, ein Bankmitarbeiter werde sich telefonisch melden, um beispielsweise Einstellungen im E-Banking zu überprüfen. Die Hacker haben gut recherchiert, kennen via Social Media die Ansprechpersonen genau und wissen beispielsweise, dass jemand gerade in den Ferien war. Am Telefon geben sich die Hacker als Bankmitarbeiter aus und wirken derart überzeugend, dass sofort ein Vertrauensverhältnis entsteht und ihnen die Leute schliesslich Logindaten, Passwort und auch die Nummern zur Begünstigtenbestätigung nennen – am Telefon!
Ein Blankoscheck für die Betrüger...
...ja, denn dann stimmt bei dieser falschen Anweisung einfach alles. Als Bank haben wir kaum eine Chance, die Unrechtmässigkeit einer solchen Überweisung zu erkennen und zu stoppen. Auf diese Weise werden immer wieder Leute reingelegt. Deshalb: Persönliche Zugangsdaten nie und nimmer an Dritte weitergeben. Mit neuen zusätzlichen Sicherheitseinstellungen im UBS e-banking wie zum Beispiel den Länderrestriktionen versuchen wir hier zwar, ein zusätzliches Fangnetz anzubieten. Doch so oder so ist es sicherer, zuerst einmal die eigenen Mitarbeiter für solche Betrugsversuche zu sensibilisieren.
Welche Firmen sind der Cyberkriminalität besonders ausgesetzt?
Generell sind es erfolgreiche Unternehmen, die über Geld verfügen. Oft auch Firmen, die international tätig und schnell gewachsen sind und so rasch mit vielen Ländern Geschäftsbeziehungen unterhalten. Da werden innert kürzester Zeit Dutzende von Bankverbindungen aufgebaut, und Zahlungen ins Ausland sind nichts Aussergewöhnliches. Dabei kann leicht die Übersicht verloren gehen. Mit Hilfe von Trojanern finden Hackerorganisationen bei solchen potenziellen Opfern heraus, wie gut das Netzwerk und das Betriebssystem geschützt sind. Werden Lücken entdeckt, landet ein Unternehmen auf dem Radar der Betrüger, die solche Firmen gezielt weiter auskundschaften und dann beispielsweise Telefonangriffe auf Mitarbeiter starten.
Welche Vorsichtsmassnahmen empfehlen Sie KMU?
Sie sollten sich in erster Linie möglichst unattraktiv machen für Hackerorganisationen. Denn auch für die Hacker müssen Aufwand und Ertrag stimmen, sonst lassen sie von einem Ziel ab. Dazu sind neben einem regelmässigen Betriebssystemupdate und dem Einsatz von aktuellen Virenschutzprogrammen vor allem klare interne Prozesse nötig. Es braucht Abläufe, die festlegen, wer Begünstigtenkonten nach welchen Prüfungen eröffnen und wer sie wie mutieren darf. Oder Prozesse, die sicherstellen, dass Zahlungen zwingend in Kollektivunterschrift von zwei Personen freigegeben werden müssen. Wenn ein Finanzchef allein Dutzende von Millionen überweisen kann, dann können Hacker genau dies ausnutzen. Und noch einmal: nie persönliche Zugangscodes an Dritte weitergeben, weder via E-Mail oder Internetseite noch am Telefon.
Markus Meyer
Markus Meyer ist Leiter Cash Management Services bei UBS in der Schweiz. Er hat an der Universität St. Gallen Wirtschaftswissenschaften studiert und arbeitet seit 1996 bei UBS.