bedeckt München

Angriffe auf Unternehmen:Warum Cyber-Kriminelle E-Mails lieben

Kiss-Prinzip und Wegwerf-Adressen - Sieben Tipps rund um E-Mails

Betrügerische Geschäfts-E-Mails standen einer Schadensstatistik bei AIG, einem der weltweit größten Industrieversicherer, 2018 zum ersten Mal mit 23 Prozent an der Spitze der Cyber-Schadenmeldungen.

(Foto: Andrea Warnecke/dpa)
  • Betrügerische Geschäfts-E-Mails, auch Phishing-E-Mails genannt, standen einer Schadensstatistik des Industrieversicherers AIG 2018 erstmals an der Spitze der Cyber-Schadenmeldungen.
  • E-Mails werden zum Beispiel dazu verwendet, schädliche Programme wie den Erpressungstrojaner Emotet in Unternehmen einzuschleusen.
  • Unternehmen sollten Mitarbeiter schulen und mehrere Sicherungskopien ihrer Daten erstellen.

Von Herbert Fromme, Köln

Der Angriff kommt über eine vertrauenswürdig aussehende E-Mail, die scheinbar Teil eines gerade stattfindenden Dialogs ist. Ein Mitarbeiter öffnet den Anhang - und der Arbeitgeber hat sich den Erpressungstrojaner Emotet eingefangen. Das passiert immer mehr Unternehmen und öffentlichen Einrichtungen. Sie müssen dann entweder ihre IT völlig neu aufsetzen oder ein Lösegeld zahlen.

In Frankfurt blieben Ämter vorübergehend geschlossen, die Universität Gießen war tagelang offline, das Klinikum Fürth nahm zeitweise keine neuen Patienten auf. Auch die Schulverwaltung in Nürnberg war betroffen. Der Maschinenbauer Pilz wurde Mitte Oktober 2019 Opfer eines Angriffs, weltweit standen Server und Kommunikationssysteme still, einige Werke konnten tagelang nicht produzieren.

Die gefälschte E-Mail wird zum Lieblingswerkzeug von Kriminellen, um Unternehmen direkt zu betrügen oder größere Cyber-Attacken vorzubereiten. Das zeigen die Schadenstatistiken bei AIG, einem der weltweit größten Industrieversicherer. Danach standen BEC-Angriffe 2018 zum ersten Mal mit 23 Prozent an der Spitze der Cyber-Schadenmeldungen. BEC steht für Business E-Mail Compromise oder betrügerische Geschäfts-E-Mail, oft wird auch der Begriff Phishing-E-Mails verwendet. Statistiken für 2019 liegen noch nicht vor, aber der Trend setze sich fort, sagt Alexander Nagler, AIG-Chef für Deutschland, Österreich und die Schweiz.

Andere Attacken konzentrieren sich auf Kunden- und Mitarbeiterdaten

E-Mails werden einerseits dazu verwendet, schädliche Programme wie Emotet einzuschleusen. In vielen Fällen gehen die Kriminellen einen anderen Weg, weiß Nagler. "Sie werden oft an Personen geschickt, die für die Überweisung von Zahlungen verantwortlich sind", sagt er. "Die Cyberkriminellen geben sich als Führungskraft eines Unternehmens oder als Lieferant aus und verlangen Überweisungen, Steuerunterlagen und sonstige sensible Daten."

Andere Attacken konzentrieren sich auf den Inhalt im Posteingang des Empfängers, um Kunden- und Mitarbeiterdaten einschließlich personenbezogener Informationen zu erlangen. Vor allem bei Dienstleistungsunternehmen sei die Zahl der Schäden angestiegen. "Das schließt Anwaltskanzleien und Steuerberater ein", sagt Nagler. Dieser Bereich sei am anfälligsten für BEC-Angriffe.

Sven Erichsen ist als Versicherungsmakler Spezialist für Cyberversicherungen. "Die Angriffe werden immer professioneller", bestätigt er. "Früher arbeiteten die Kriminellen oft mit automatisierten Angriffen auf alle möglichen Firmen und Privatpersonen, um eine Lücke zu finden."

Unternehmen sollten Mitarbeiter schulen und mehrere Sicherungskopien ihrer Daten erstellen

Heute bereiten sich viele Angreifer auf die Aktion vor, sammeln Informationen über die Firma und suchen sich sorgfältig die Zielpersonen aus. Sie wissen auch, was sie suchen. Die Schäden können selbst bei kleineren Attacken beträchtlich sein. "Wir wissen von einer Firma, der Teile der Adressdatei gestohlen wurde", berichtet Erichsen. Das Unternehmen sei gut aufgestellt und habe den Schaden schnell entdeckt. "Jetzt wollen sie sicher gehen, dass sie wirklich alles gesäubert haben, und nutzen dafür Spezialisten." Allein diese Arbeit hat weit über 100 000 Euro gekostet. "Wir erwarten, dass die Zahl der Cyberschäden auch im Industriesegment weiter steigen wird", sagt AIG-Chef Nagler. "Lösegeld- und Erpressungsangriffe werden gezielter, die Angreifer besser und die gezahlten Summen höher."

AIG will die versicherten Summen reduzieren. Bislang deckt der Versicherer Schäden bis 25 Millionen Euro ab, künftig sollen es eher 15 Millionen in der Grundversicherung sein. "Außerdem muss sich bei den Preisen etwas tun", sagt Nagler. "Sie müssen steigen." Makler Erichsen rät allen Firmen, das Problem ernst zu nehmen und es nicht bei Lippenbekenntnissen zu belassen. "Und das heißt auch, die Mitarbeiter oft zu schulen", sagt er. Dazu kommt "Backup, Backup, Backup". Eine Sicherungskopie reiche nicht mehr, es müssten heute mehrere unabhängig voneinander erstellte und gelagerte Backups sein.

© SZ vom 28.02.2020/hij
Zur SZ-Startseite
Illustration Phishing E-Mail

SZ PlusIT-Sicherheit
:So erkennen Sie manipulierte E-Mails

Sicherheitsforscher haben eine neue Welle von Mails mit Schadsoftware aufgedeckt. Die Täter versuchen damit, Nutzer zu erpressen. Ein paar Tricks helfen aber, solche Nachrichten zu erkennen.

Lesen Sie mehr zum Thema