Auf einen Schlag 30'000 Franken weg

Cyber-Attacke auf Garage

Auf einen Schlag 30'000 Franken weg

17. Mai 2021 agvs-upsa.ch – KMU sind beliebte Ziele für Angriffe von Cyberkriminellen. Wie schnell ein teurer Schaden angerichtet ist, zeigt das Beispiel eines Familienbetriebs im Schweizer Mittelland. Ein Krimi aus dem Cyberspace. 


Das AGVS-Webinar zum Thema Cybersicherheit vom 20. April 2021 in voller Länge gibt es im Video. Die Powerpoint-Präsentation gibt es hier. Quelle: AGVS-Medien 

sco. Es war kurz vor Weihnachten, als R.S.* versuchte, sich im E-Banking der Hausbank einzuloggen. Er wollte die 13. Monatslöhne noch vor den Feiertagen überweisen. «Nicht wenige unserer Mitarbeitenden bezahlen damit die Steuern. Darum ist es mir wichtig, dass die Zahlung rechtzeitig bei ihnen eintrifft», erklärt der Garagist gegenüber AUTOINSIDE. Via E-Banking beabsichtigte R.S., ein Dokument aus der Lohnbuchhaltung direkt an seine Bank zu senden.

Als er sich am Vormittag mit dem PC einloggen wollte, erschien auf dem Bildschirm ein Fenster, das auf eine laufende Wartung der Bank-Webseite hinwies und um Geduld bat. «Ich habe diesem Hinweis keine grosse Beachtung geschenkt, solche Wartungsarbeiten sind ja nichts Ungewöhnliches», erinnert sich der Garagist. Am Nachmittag dieses verhängnisvollen 17. Dezember lief die Webseite der Bank dann wieder, R.S. gab seine Login-Daten samt Passwort ein, worauf sich ein Identifikationsfenster öffnete. Mit einem sechsstelligen Code, den er auf sein Handy geschickt erhielt, loggte er sich ein und veranlasste die Überweisung der 13. Monatslöhne. Um ganz sicher zu gehen, rief Garagist R.S. kurz vor der Schliessung der Bank seine Kundenberaterin an und fragte nach, ob alles in Ordnung sei. «Diese bestätigte mir, dass die Zahlung ausgelöst worden sei.» Damit schien die Sache erledigt.

In der ruhigen Woche nach Weihnachten kümmerte sich R.S. um den Jahresabschluss seines Betriebs und kontrollierte auch die Bankauszüge. Dabei fiel ihm eine Zahlung über 30'000 Franken auf, die er sich nicht erklären konnte. «Zuerst dachte ich, einer meiner leitenden Mitarbeiter habe vielleicht ein Fahrzeug gekauft – aber es gab keine Rechnung für diese Buchung.» R.S. kontaktierte erneut seine Bank: Dort wurde ihm beschieden, dass er am 17. Dezember die Überweisung von 30'000 Franken veranlasst hatte. Die Summe war tags darauf auf ein Konto der UBS überwiesen worden.

R.S. informierte unverzüglich seinen IT-Spezialisten. Dieser kontrollierte das System, fand aber nichts Auffälliges. Daraufhin schaltete der Garagist die Polizei ein. Spezialisten einer Abteilung für Cyberkriminalität stellten den PC sicher – und stellten fest: Am 12. Dezember um 11.20 Uhr hatte sich ein Trojaner auf dem System der Garage installiert. Solche Malware wird in aller Regel als Anhang einer E-Mail unauffällig verpackt. Wer den Anhang öffnet, der öffnet den Cyberkriminellen Tür und Tor zum eigenen PC. Der Absender der E-Mail liess sich nicht mehr eruieren, der IT-Spezialist hatte bei seinen Bemühungen die Festplatte gesäubert. Auch Rückschlüsse darauf, wer den Anhang in der kriminellen E-Mail geöffnet hatte, waren nicht mehr möglich. R.S.: «Darüber bin ich sogar froh. Sonst wäre es vielleicht noch zu Schuldzuweisungen gekommen.»

 
Tatsache ist, dass Garagist R.S. an jenem Vormittag des 17. Dezembers beim ersten Versuch, die 13. Monatslöhne zu überweisen, gar kein Wartungsfenster der Bank sah, sondern eine täuschend echte Kopie der Cyberkriminellen. Die Zeit bis am Nachmittag nutzten diese, um eine Überweisung über 30'000 Franken vorzubereiten. R.S.: «Als ich dann später meine Zugangsdaten eingab, signierte ich ohne mein Wissen diese Überweisung.» Dass bei der Hausbank keine Alarmglocken schrillten, ist dabei nicht weiter verwunderlich: Der Autohandel ist ein kapitalintensives Geschäft, Überweisungen im fünfstelligen Bereich sind nichts Ungewöhnliches.

Oft landen solche von Cyberkriminellen abgezweigten Gelder auf Konten mit fingierten Adressen. Das war im Fall von R.S. anders, das Geld wurde auf das Konto einer in der Schweiz wohnhaften Person überwiesen. Dieser Strohmann leitete das Geld dann weiter und strich für seine Rolle eine kleine Provision ein. Gegen die Person läuft ein Verfahren. Trotzdem macht sich R.S. keine Illusionen, die 30'000 Franken oder wenigstens einen Teilbetrag zurückzuerhalten: «Bei der Polizei sagte man mir, dass diese Strohmänner in aller Regel mittellos seien. Da sei nichts zu holen…»

Auf dem Schaden von 30'000 Franken bleibt R.S. also sitzen. «Wir waren und sind zwar gegen Cyberattacken versichert. Doch Geldüberweisungen waren damals nicht gedeckt.» Nichtsdestotrotz habe sich die Versicherung kulant gezeigt: «Ich konnte während 14 Tagen nicht arbeiten, da unsere Hardware zuerst bei der Polizei war und später komplett erneuert wurde. Diesen Ausfall an Arbeitszeit hat mir die Versicherung teilweise entschädigt.» Auch die Kosten für die neue IT übernahm die Versicherung zum Teil. Weitere Schäden, beispielsweise durch das Verschlüsseln wichtiger Daten, richtete der Trojaner nicht an. Sein einziges Ziel war diese Überweisung.

Hat R.S. die IT-Sicherheit nach diesem Vorfall erhöht? «Die Spezialisten für Cyberkriminalität bei der Polizei haben mir bestätigt, dass wir uns schon davor auf technischer Sicht genügend geschützt hatten. Aber natürlich sind wir jetzt extrem vorsichtig geworden.» Jede E-Mail, deren Absender nicht zu 100 Prozent klar ist, werde umgehend gelöscht. Zudem arbeite er nicht mehr mit Überweisungen, sondern mit Vergütungsaufträgen. Diese müssen jeweils von einem weiteren unterschriftsberechtigten Mitglied der Geschäftsleitung visiert werden: «Wir haben so ein Vier-Augen-Prinzip eingeführt.» Denn bei allen Anstrengungen, die IT-Systeme in den Unternehmen noch sicherer zu machen: Das grösste Risiko sitzt stets vor dem Computer.

* Name der Redaktion bekannt. Das Beispiel ist real, zum Schutz der Beteiligten wird dieser Beitrag in anonymisierter Form publiziert.
Titelbildquelle: Istock 

 
NCSC, Swisscom und die Mobiliar bieten Hand 
Das grösste Risiko sitzt immer vor dem Computer. Es gilt also, sich und seine Mitarbeitenden auf Cyberbedrohungen zu sensibilisieren und den richtigen Umgang damit zu lernen. Die Mobiliar beispielsweise bietet in Kooperation mit der Lucy Security AG ein Cyber-Sensibilisierungstraining für Unternehmen an. 

Wenn Sie als Garagist Opfer einer Cyberattacke wurden oder einen Angriff vermuten, dann wenden Sie sich an das Nationale Zentrum für Cybersicherheit NCSC. Bei einer Attacke sollte zudem eine Strafanzeige gegen Unbekannt bei der Kantonspolizei erstattet werden. Auf der Website ncsc.ch oder mit dem NCSC-Newsletter können Sie sich über die aktuellen Cyber-Bedrohungen informieren. Hier sind auch diverse Checklisten und Dokumente zu finden.

Die Swisscom bietet zudem Smart ICT für Automobilunternehmen an. Die neue ICT-Lösung (Informations-, Kommunikations- und Telefonielösung) wirkt sich ebenfalls auf die Effizienz aus. Das IT-Management übernimmt Swisscom. Die Daten werden sicher in der Cloud aufbewahrt und der Garagenbetrieb braucht sich nicht mehr um Backups zu kümmern.
Feld für switchen des Galerietyps
Bildergalerie

Kommentar hinzufügen

6 + 8 =
Lösen Sie diese einfache mathematische Aufgabe und geben das Ergebnis ein. z.B. Geben Sie für 1+3 eine 4 ein.

Kommentare