Achtung: Piraten kapern Ihr E-Mail-Konto

„Business E-Mail Compromise“ (BEC) – so heißt die Masche – ist seit rund einem Jahr in den USA stark im Kommen. Derzeit ist die Welle dabei, nach Deutschland zu schwappen – mit hässlichen Folgen.

Im Visier haben die Cyberkriminellen vorwiegend kleine und mittlere Unternehmen. Sie hoffen vielleicht auch darauf, dass sie schon kein attraktives Ziel für Hacker sein werden. Doch das ist ein Irrtum: Wenn mit einer einzigen kriminellen Transaktion fünfstellige Beträge abgegriffen werden können, ist dies für die Täter durchaus attraktiv. Andererseits kann das ein kleines Unternehmen die Existenz kosten.“

Ein klarer Grund also, den Schutz gegen die Mailpiraterie ganz oben auf die Agenda zu setzen – zumal man den Kriminellen wirklich ganz einfach den Zugang zum eigenen Mailpostfach versperren kann.

Diese müssen sich nämlich zunächst in den Besitz des Zugangspassworts bringen. Leider wird ihnen das noch immer ziemlich leicht gemacht: Die hundert gängigsten Passwörter sind schnell durchprobiert, und damit kommt man leider ­erstaunlich weit. Zwar fehlt es nicht an Mahnungen, niemals das selbe Passwort zu verwenden. Zugleich soll es möglichst kompliziert und leicht zu merken sein. In der Praxis ist das aber schwierig.

Immer noch ein Klassiker ist zudem die Phishing-Mail, also wenn man verlockt wird, auf geschickt gefälschte Webseiten, E-Mails oder Kurznachrichten zu klicken und seine Daten einzugeben.

Die Rettung könnte eine Multi-Faktor-Authentifizierung (MFA) sein, wie man sie vom Online-Banking kennt. Dabei wird das Mailkonto durch ein zweites Passwort geschützt. Dieses wir immer dann neu generiert und dem legitimierten Nutzer per App auf dem Handy angezeigt, wenn sich jemand per Handy oder Computer von außerhalb des Firmen­netzwerks einloggen will. Selbst wenn das Mailpasswort „12345“ lautet: Nur wer auch den zweiten Faktor kennt, kann sich zum Konto Zutritt verschaffen.

Auch dieses System ist nicht absolut perfekt, aber es macht den Cyberkriminellen ihr Handwerk unfassbar viel schwerer. Und es ist einfach umzusetzen, selbst für Computerlaien.
In der Regel genügt es, den Mailanbieter zu fragen. Die meisten bieten in ihrem Kundenbereich standardisierte Prozesse zur Einrichtung von MFA an. Die Besseren bieten diese sogar schon bei der Einrichtung eines Kontos an.

Am Anfang muss sich der Inhaber einmalig für die MFA legitimieren, meist indem er einen QR-Code scannt. Achtung: Es ist ratsam, den Code auszudrucken, damit man sich bei Verlust des Endgeräts erneut legitimieren kann.

Wer nicht bei jedem Zugriff die Prozedur mit den beiden Passwörtern durchlaufen will, kann häufig gebrauchte Endgeräte auch per Zertifikat schützen lassen. Die ­Legitimation wird dann automatisch vom Server abgefragt. Hierfür braucht man aber meist die Hilfe eines IT-Dienstleisters.

Eine andere Möglichkeit ist der Einsatz von „FIDO2“ (Fast IDentity Online). Dieser Sicherheitsschlüssel ist meist ein kleiner USB-Stick, den man in den Computer steckt und der das Zweitpasswort quasi ersetzt. Die Kosten liegen bei 30 bis 50 Euro pro Stück.

Ein einfacher Schutz angesichts des ­horrenden Schadenspotenzials – und das ist nicht nur materiell. Der Holz­verarbeiter und sein Lieferant aus unserem Beispiel landeten, obwohl beide geschädigt, als Prozessgegner vor Gericht.

Daniel Lorch, Ersten Kriminalhauptkommissar bei der Cybercrime-Abteilung der Kriminalpolizeidirektion Esslingen, esslingen.kd.k5.cyber@polizei.bwl.de