3 min
Lesezeit
Achtung: Piraten kapern Ihr E-Mail-Konto
Es ist ein Szenario aus den Alpträumen aller Mittelständler: Ein Holz verarbeitender Betrieb erhält die Mahnung seines Lieferanten über eine Rechnung von 50.000 Euro. Wieso das? Die Rechnung wurde doch bezahlt! Nach einigem Hin und Her stellt sich heraus: Das Geld wurde zwar überwiesen, nur leider auf das falsche Konto. Kriminelle hatten das E-Mail-Postfach des Lieferanten gehackt, die Rechnung abgefangen und ihr eigenes Bankkonto eingetragen. Bis der Betrug entdeckt wird, ist das Geld ins Ausland weiterüberwiesen und das Konto aufgelöst.
BEC – neue Masche bedroht KMU
„Business E-Mail Compromise“ (BEC) – so heißt die Masche – ist seit rund einem Jahr in den USA stark im Kommen. Derzeit ist die Welle dabei, nach Deutschland zu schwappen – mit hässlichen Folgen.
Im Visier haben die Cyberkriminellen vorwiegend kleine und mittlere Unternehmen. Sie hoffen vielleicht auch darauf, dass sie schon kein attraktives Ziel für Hacker sein werden. Doch das ist ein Irrtum: Wenn mit einer einzigen kriminellen Transaktion fünfstellige Beträge abgegriffen werden können, ist dies für die Täter durchaus attraktiv. Andererseits kann das ein kleines Unternehmen die Existenz kosten.“
Ein klarer Grund also, den Schutz gegen die Mailpiraterie ganz oben auf die Agenda zu setzen – zumal man den Kriminellen wirklich ganz einfach den Zugang zum eigenen Mailpostfach versperren kann.
Zu leichte Passwörter sind nur ein Problem
Diese müssen sich nämlich zunächst in den Besitz des Zugangspassworts bringen. Leider wird ihnen das noch immer ziemlich leicht gemacht: Die hundert gängigsten Passwörter sind schnell durchprobiert, und damit kommt man leider erstaunlich weit. Zwar fehlt es nicht an Mahnungen, niemals das selbe Passwort zu verwenden. Zugleich soll es möglichst kompliziert und leicht zu merken sein. In der Praxis ist das aber schwierig.
Immer noch ein Klassiker ist zudem die Phishing-Mail, also wenn man verlockt wird, auf geschickt gefälschte Webseiten, E-Mails oder Kurznachrichten zu klicken und seine Daten einzugeben.
Multi-Faktor-Authentifizierung – kleiner Aufwand, große Hilfe
Die Rettung könnte eine Multi-Faktor-Authentifizierung (MFA) sein, wie man sie vom Online-Banking kennt. Dabei wird das Mailkonto durch ein zweites Passwort geschützt. Dieses wir immer dann neu generiert und dem legitimierten Nutzer per App auf dem Handy angezeigt, wenn sich jemand per Handy oder Computer von außerhalb des Firmennetzwerks einloggen will. Selbst wenn das Mailpasswort „12345“ lautet: Nur wer auch den zweiten Faktor kennt, kann sich zum Konto Zutritt verschaffen.
Auch dieses System ist nicht absolut perfekt, aber es macht den Cyberkriminellen ihr Handwerk unfassbar viel schwerer. Und es ist einfach umzusetzen, selbst für Computerlaien.
In der Regel genügt es, den Mailanbieter zu fragen. Die meisten bieten in ihrem Kundenbereich standardisierte Prozesse zur Einrichtung von MFA an. Die Besseren bieten diese sogar schon bei der Einrichtung eines Kontos an.
In der Regel genügt es, den Mailanbieter zu fragen. Die meisten bieten in ihrem Kundenbereich standardisierte Prozesse zur Einrichtung von MFA an. Die Besseren bieten diese sogar schon bei der Einrichtung eines Kontos an.
Am Anfang muss sich der Inhaber einmalig für die MFA legitimieren, meist indem er einen QR-Code scannt. Achtung: Es ist ratsam, den Code auszudrucken, damit man sich bei Verlust des Endgeräts erneut legitimieren kann.
Sicherung per Zertifikat macht es noch einfacher...
Wer nicht bei jedem Zugriff die Prozedur mit den beiden Passwörtern durchlaufen will, kann häufig gebrauchte Endgeräte auch per Zertifikat schützen lassen. Die Legitimation wird dann automatisch vom Server abgefragt. Hierfür braucht man aber meist die Hilfe eines IT-Dienstleisters.
… oder per USB mit demFido-Schlüssel
Eine andere Möglichkeit ist der Einsatz von „FIDO2“ (Fast IDentity Online). Dieser Sicherheitsschlüssel ist meist ein kleiner USB-Stick, den man in den Computer steckt und der das Zweitpasswort quasi ersetzt. Die Kosten liegen bei 30 bis 50 Euro pro Stück.
Ein einfacher Schutz angesichts des horrenden Schadenspotenzials – und das ist nicht nur materiell. Der Holzverarbeiter und sein Lieferant aus unserem Beispiel landeten, obwohl beide geschädigt, als Prozessgegner vor Gericht.
Daniel Lorch, Ersten Kriminalhauptkommissar bei der Cybercrime-Abteilung der Kriminalpolizeidirektion Esslingen, esslingen.kd.k5.cyber@polizei.bwl.de
Kontakt
Anja Erler