Die E-Mail, die im Februar dieses Jahres in einem Postfach des Sächsischen Sozialministeriums einging, sah vertrauenswürdig aus, die enthaltene Rechnung passte zu einem aktuellen politischen Vorhaben und schien von einem bekannten Geschäftspartner zu stammen. Nach kurzer Prüfung gab die Behörde das Geld frei. Dass die immerhin rund 225.000 Euro jedoch nicht an den vermeintlichen Adressaten flossen, sondern auf das Konto von Cyberkriminellen, fiel im Ministerium erst später auf, wie die Chemnitzer „Freie Presse“ Anfang Juli berichtete. Da war das Geld schon weg.
So peinlich und teuer der Fehler sein mag: Mit ihrem Fauxpas sind die Dresdener Ministerialen alles andere als allein. „Business E-Mail Compromise“, kurz BEC, heißt der Trick der Netzbetrüger, vor denen Sicherheitsexperten und Kriminalämter seit Jahren immer wieder warnen. Und auf die mehr oder minder gutgläubige Opfer – Behörden, Unternehmen und Privatleute – ebenso regelmäßig hereinfallen.
Laut Daten der US-Bundespolizei FBI verursachten BEC-Attacken inzwischen mehr Schäden als jede andere Art von Internetkriminalität. Danach überstieg die Schadenssumme mit BEC-Bezug 2021 2,4 Milliarden Dollar. Vergleichbare Statistiken für Deutschland gibt es nicht, aber auch hierzulande dürften die jährlichen Schäden nach Schätzungen aus der Sicherheitsszene mindestens in zweistelliger Millionenhöhe liegen.
Und das Risiko zum Opfer zu werden steigt, weil auch die Finesse, mit der die Kriminellen zu Werke gehen, immer weiter zunimmt. Verschickten Betrüger anfangs zumeist ungezielt irgendwelche Zahlungsaufforderungen, beispielsweise an Unternehmen für angebliche Einträge in Branchenbücher oder Geschäftsregister, steckt hinter Betrugsversuchen, wie nun auch in Sachsen, inzwischen deutlich mehr Aufwand.
Zwar äußern sich die Ermittler in Dresden noch nicht zu den Details der Attacke, sie wird aber kaum anders abgelaufen sein, als in vergleichbaren Fällen. Dabei gelingt es Hackern zunächst, in E-Mail-Server oder einzelne Postfächer von Unternehmen, Behörden oder anderen Betreibern einzudringen und dort große Mengen von Nachrichten zu kopieren. Die Zugangsdaten oder aber Informationen über Geschäftsbeziehungen nutzen die Kriminellen anschließend aus, oder verkaufen die Informationen an andere Netzbetrüger weiter.
Gezielte Angriffe
Basierend auf diesem Wissen und teils angereichert mit anderen im öffentlichen Internet verfügbaren oder auch im Darknet gehandelten Informationen über das angepeilte Opfer, verschicken die Betrüger dann oftmals sehr gezielt und passend formuliert E-Mails an ausgewählte Adressaten. Vielfach enthalten die Nachrichten sogar noch Teile früheren E-Mail-Verkehrs und erscheinen damit noch glaubwürdiger. Erst Recht, wenn die Hacker noch Zugriff auf die geknackten Server haben und ihre Botschaften sogar mit dem korrekten Absender verschicken können.
Ob das auch im Fall des sächsischen Ministeriums so gelaufen ist, dazu schweigen sich die Ermittler aus. Zumindest aber kopierten die Betrüger offenbar Teile eines realen E-Mail-Verkehrs, in dem es um die Bestellung von 50 Kilometern Schutzzaun gegen die Ausbreitung von Schweinepest ging. Damit umgingen die Kriminellen eine der ersten und wichtigsten Hürden, anhand derer sich viele BEC-Versuche leicht erkennen lassen: Dass die sich die Rechnungen auf nicht existente Vorgänge beziehen.
Vorsicht vor dieser Formulierung
An einer weiteren Hürde aber hätten die Buchhalter im Ministerium genauso stutzig werden müssen, wie jeder andere Empfänger einer Zahlungsaufforderung. Im Schreiben nämlich fand sich eine verräterische Formulierung, vor der Sicherheitsexperten und -behörden – auch das sächsische Landeskriminalamt (LKA) – seit Jahren warnen. Der Hinweis auf eine „geänderte Bankverbindung“.
Denn genau darum geht es den Betrügern: Die Zahlungen an einen vermeintlich bekannten und vertrauenswürdigen Empfänger auf ein anderes Konto als das bisher genutzte umzuleiten; nämlich das der Kriminellen oder von Strohleuten. Und ist das Geld dort erst einmal eingegangen, überweisen es diese umgehend weiter oder heben die Beträge ab und verschwinden.
Die wichtigste Strategie, um derartige Pleiten zu verhindern, ist jene, die ohnehin als Motto über jeder Form von Internet-Kommunikation und Zahlungsverkehr im Netz stehen sollte: „Trau‘ keinem!“ Ob vor der Verbreitung irgendwelcher Onlinemeldungen oder der Überweisungen von Geld, immer ist ein gerüttelt Maß an Skepsis dringend nötig. Im Fall von Zahlungen rät etwa Sachsens LKA deshalb ausdrücklich: „Prüfen Sie […] die vorliegenden Informationen über einen zweiten Kommunikationskanal. Nutzen Sie statt E-Mail hierzu zum Beispiel das Telefon.“
Ein – mindestens für Zahlungen ab vierstelliger Höhe – vergleichsweise geringer Aufwand, den jeder, ob Privatmensch oder Firmenverantwortlicher im Unternehmen, problemlos erbringen kann. Und der teure Irrtümer wirksam verhindern kann. Nicht nur in Dresden.
Lesen Sie auch: Spammails, in denen Betrüger Menschen hunderttausende Euro versprechen, überfluten immer mehr elektronische Postfächer. Was hinter der E-Mail-Masche steckt.
