Kriminalität: Die neue Masche der Daten-Diebe

Da habe man wohl einige Lücken in den Human Resource Systemen, schreibt die Personalsachbearbeiterin in einer netten Mail. Mitarbeiterdaten seien nicht mehr auf dem neuesten Stand. Sie sei dabei, radebrecht die angebliche Führungskraft, "relevante Daten ... nach zu prüfen, um die relevante Daten herauszufiltern", und zwar "bis zum Freitag".

Hunderte Mitarbeiter dreier Münchner Großkonzerne bekamen im Juli eine solche Aufforderung, die zumindest in einem Punkt zutrifft: Den Absendern geht es tatsächlich darum, relevante Daten herauszufiltern. Denn die Mails sind Fälschungen, die Absender Kriminelle. Sie wollen mit der neuen Phishing-Masche, vor der das Bayerische Landeskriminalamt (LKA) eindringlich warnt, an sensible Daten kommen, die sich weiterverkaufen und für Straftaten missbrauchen lassen.

Am 3. Juli begann die Cyber-Attacke auf die drei Konzerne, die zusammen mehr als 10 000 Beschäftigte in München haben. Mehrere Hundert von ihnen bekamen ähnlich lautende Mails mit dem etwas holprig formulierten Betreff "Bitte um Übersendung von Ihren Informationen und Unterlagen". Welche das sein sollen, erklärt die vorgebliche Managerin für "Grundsatzfragen & Payroll System" dann detailliert: "Fotokopie des Personalausweises (Vorder- und Rückseite) oder Reisepasses. Aktuelles Gehaltskonto u. a. Bankverbindung in Deutschland". Hintergrund der Aufforderung sei ein angebliches innerbetriebliches Upgrade des "Payroll-Systems", also der elektronischen Lohnabrechnung.

Die Absenderadressen der Mails sind immer ähnlich aufgebaut, sie verfremden die eigentliche Adresse der Konzerne so, dass man es beim flüchtigen Blick schnell übersieht: Statt absender@konzern.com heißt es etwa absender@konzern-ag.de oder .com. Damit das Ganze noch authentischer erscheint, ist unten an die E-Mail eine ebenfalls gefälschte "forwarded message" des Vorstands angehängt. In der wird in englischer Sprache die angebliche Vorgehensweise beim Upgrade beschrieben.

Woher die Attacke kommt und ob Schaden entstanden ist, müssen Cybercrime-Experten im Kommissariat 122 des Polizeipräsidiums noch ermitteln. "Phishing" erfüllt den Straftatbestand der Fälschung beweiserheblicher Daten; darauf stehen Geld- oder Freiheitsstrafen von bis zu fünf Jahren.

Was mit den Datensätzen aus München passieren soll, darüber kann man nur spekulieren. Ausweis- und Kontodaten sind begehrt. Straftäter kaufen sie im Darknet für nur ein paar Euro und richten damit Konten auf fremde Namen ein, ohne dass der Betroffene das mitbekommt. Etwa zehn Fälle von Internet-Warenbetrug, die mit solchen Konten verübt wurden, landen täglich allein auf den Schreibtischen der Münchner Ermittler.

"Payroll Scam" ist eine relativ neue Masche mit zunächst anderer Stoßrichtung: Vor etwa einem Jahr wurden erstmals Fälle beschrieben, in denen Kriminelle Gehaltszahlungen von Beschäftigten durch Fake-Mails an die Personalabteilung auf falsche Konten umleiteten. Das LKA rät deshalb insbesondere großen, international tätigen Firmen, ihre Mitarbeiter zu warnen. "Mitarbeiter, die ihre Daten preisgegeben haben", sagt LKA-Sprecher Carsten Neubert, "sollten sich umgehend mit ihrer Bank in Verbindung setzen und bei der Polizei Anzeige erstatten".

Eine neue zentrale Hotline bei Phishing und Passwortdiebstahl haben Innenminister Joachim Herrmann und Digitalministerin Judith Gerlach am Mittwoch in München vorgestellt. Betroffene werden unter 089/12 12 44 00 an die Polizei, das Cyber-Allianz-Zentrum des Verfassungsschutzes oder das Landesamt für Sicherheit in der Informationstechnik weitergeleitet.

Der Schaden durch organisierte Cyber-Kriminalität ist enorm: Allein durch Manipulation von Kontodaten bestehender Geschäftskontakte wurden 2018 in München insgesamt rund 841 000 Euro auf inkriminierte Konten überwiesen.