„Wir sind angreifbar geworden“

Im Sommer 2017 bekam die Mitarbeiterin eines Vorarlberger Technologie-Unternehmens ein E-Mail, in dem ihr Chef die Überweisung von insgesamt 150.000 Euro veranlasste. Die Frau überwies das Geld auf das genannte Konto, in insgesamt fünf Tranchen. Einige Stunden später kamen ihr Zweifel. Sie fragte beim Chef nach. Doch der wusste von nichts.

Er hatte nie um die Überweisung gebeten. Das E-Mail stammte nicht von ihm. Es war gefälscht. Ermittler des Landeskriminalamts und Mitarbeiter der Hausbank, umgehend alarmiert, konnten gemeinsam noch einen Teil des Geldes sicherstellen, insgesamt 83.000 Euro. Aber der Rest war verschwunden, war auf irgendwelchen ausländischen Konten spurlos versickert. Das Vorarlberger Unternehmen war Opfer internationaler Internet-Krimineller geworden, betrogen mit der perfiden Methode „CEO-Fraud“, zu deutsch: Chef-Betrug.

Seit 2015, sagen die Ermittler im Landeskriminalamt, Harald Longhi und Andreas Gantner, wurden in Vorarlberg 60 Fälle zur Anzeige gebracht, in denen unbekannte Täter mit ebendieser Methode versucht hatten, Firmen zu betrügen. In sechs Fällen blieb es nicht beim Versuch. Ein Vorarlberger Unternehmen hatte einen Schaden von „einigen Millionen Euro“ zu beklagen. Die Ermittler wollen keine näheren Angaben zu diesem Fall machen – aus ermittlungstechnischen Gründen und aus Rücksicht auf das Unternehmen. Nur so viel wird verraten: Es lief sehr ähnlich ab wie im eingangs geschilderten Fall. In einem gefälschten E-Mail bat der Chef einen zuständigen Mitarbeiter um die Überweisung einer gewissen Summe. Der Bitte wurde Folge geleistet. Das Geld war weg.

Professionelle Recherchen

Die Täter gehen hochprofessionell ans Werk. Aufwendige Recherchen gehen den Attacken voraus, im Firmenbuch werden relevante Daten gesichtet, Firmen-Homepages nach verwertbaren Informationen durchforstet. Alles, was dort veröffentlicht wird, ist von Interesse: Steht das Unternehmen in Verhandlungen mit anderen Firmen? Ist eine Übernahme geplant? Wird gerade das Firmengebäude erweitert?

Finden die Täter im Internet etwa ein Organigramm des ins Auge gefassten Unternehmens, haben sie einen bereits sehr guten Ansatzpunkt, erklärt Chefinspektor Longhi: „Dann sehen sie die verschiedenen Stufen der Hierarchie – und wissen so, wen sie gezielt anschreiben müssen.“ Auch Fälle, in denen sich die Betrüger aus diversen veröffentlichten Dokumenten digitale Kopien von Unterschriften besorgten, sind bekannt. „Und dann suchen sie sich eine Zeit, in der die Chefetage in der Regel freinimmt. Etwa im Juli, im August, Ende Dezember. Oder im Fasching.“ Aus diesem Grund hatte das Landeskriminalamt auch heuer in der Faschingszeit in Mitteilungen vor den Betrügern gewarnt – nochmals gewarnt.

Die Liste der 500

500 österreichische Unternehmer waren bereits im August des Vorjahres vom Bundeskriminalamt davon in Kenntnis gesetzt worden, dass sie ein potenzielles Angriffsziel sein könnten. Eine Behörde im Ausland war auf eine Liste gestoßen, in der europaweit 5000 potenzielle Zieladressen gelistet waren; 500 dieser Adressen konnten Unternehmen mit Firmensitz in Österreich zugewiesen werden. Quer durch alle Branchen, quer durch alle Bundesländer. Ob es nun Zufall ist oder nicht: Laut Innenministerium wurden in Österreich seit 2015 rund 500 Unternehmen mit dieser Methode angegriffen. In einigen Fällen wurde überwiesen, konnten Polizei und Bank allerdings die Gelder wieder sicherstellen. In vier Fällen gelang das nicht mehr: Vier Unternehmen kamen gesamthaft um 83 Millionen Euro.

Wobei den Hauptteil dieser Millionenlast der oberösterreichische Flugzeugzulieferer FACC mit Sitz in Ried im Innkreis zu tragen hatte. Im Jänner 2015 war in insgesamt 48 E-Mails unter dem Namen des CEO verlangt worden, über 50 Millionen Euro für ein angebliches Geschäft zu überweisen. Dem wurde Folge geleistet. Angeblich ging es um eine geplante Firmenübernahme im Ausland. Die Spur des Geldes verlor sich in der Slowakei und in Asien.

„Die kennen sich aus“

Die 48 Mails sind Beleg dafür, dass sich die Täter Zeit für ihre Betrügereien nehmen, nicht gleich schon im ersten E-Mail die Überweisung begehren. „Oft“, sagt Chefinspektor Gantner, „beginnt der Schriftverkehr recht banal.“ Da erkundige sich der angebliche Chef eher beiläufig, wieviel sich denn aktuell auf dem Geschäftskonto befinde. Der Mitarbeiter antwortet, fragt nach, um was es denn gehe. Der Chef schreibt zurück, dass er den Mitarbeiter nun ins Vertrauen ziehe, aber nur ihn: „Eine Firmenübernahme steht bevor!“ Und dann erhält der Mitarbeiter, der sich geschmeichelt fühlt, wieder eine E-Mail: „Jetzt muss es schnell gehen, wir schließen das Geschäft ab. Überweis das Geld, aber bitte Stillschweigen: Sonst könnte der Deal noch platzen.“ In bestimmten Fällen meldet sich, auch ein Teil des perfiden Spiels, ein angeblicher Rechtsanwalt oder ein angeblicher Mitarbeiter der Finanzmarktaufsicht telefonisch beim Mitarbeiter, fragt nach, erklärt Einzelheiten. In perfektem Deutsch und mit offenbar tiefer Sachkenntnis. „Die kennen sich hervorragend aus“, konstatiert Gantner.

Wobei diese Art des Betrugs nur eine mögliche von vielen unterschiedlichen Methoden sei. So sind auch Fälle bekannt, in denen unter dem Überbegriff „Artwork“ der – angebliche – Chef während seiner Urlaubszeit an seine Firma herantritt, mit der Bitte, er habe im Ausland gerade ein Kunstwerk gesehen, das ihm gefalle, man möge ihm doch bitte rasch die erforderliche Summe überweisen.

Ein Schutz: Flache Hierarchien

Doch nicht immer sind die Kriminellen erfolgreich. „Es gibt Unternehmen, bei denen die Täter keine Chance haben“, sagt Longhi, „das sind Unternehmen mit flachen Strukturen.“ Gerade in Vorarlberg sei es so, dass man sich im Management gut kenne, auch mit dem Chef befreundet sei – und bei dubiosen Mails daher zuerst nachfrage, was denn da gemeint sei. Laut Gantner flog ein Fall auf, weil der angebliche Chef den Mitarbeiter auf einmal siezte, obwohl man seit Langem per Du war. Ergo ging der Mitarbeiter zum Chef, wollte wissen, was denn die neue Förmlichkeit auf einmal zu bedeuten habe und erhielt zur Antwort: „Zeig mir doch bitte dieses E-Mail!“

Von Frankreich aus

Begonnen hat diese Betrugsmasche in Frankreich. 2007 wurden dort die ersten Betrugsfälle publik, nach und nach weiteten die Täter ihre Aktivitäten auf die Beneluxstaaten, Deutschland und Österreich aus. Ursprünglich, sagt Gantner, habe man eine französische Täterschaft vermutet, mittlerweile aber führe die Spur in den asiatischen Raum, auch in den Nahen Osten. Denn das Modell, mit dem offenbar so gut Geld zu verdienen ist, fand schnell Nachahmer.

Mittlerweile sind mehrere Gruppen am Werk, unabhängig voneinander. Und es sind ja nicht nur diese „CEO-Fraud“-Betrügereien, mit denen da operiert wird. Laut den Ermittlern sind in Vorarlberg auch Fälle bekannt, in denen Täter mit einer anderen Methode zum Erfolg gekommen waren: Sie hatten sich unbemerkt in den Mail-Verkehr zwischen Vorarlberger Firmen und ausländischen Kunden eingeschaltet – und die von den Kunden geleistete Anzahlung auf ihr Konto umgeleitet. So hatte etwa eine Firma aus Indien bei einem Oberländer Unternehmen Ware geordert. Die vereinbarte Anzahlung aber traf nie in Vorarlberg ein, sie wurde auf ein Konto in England umgeleitet. Eröffnet angeblich von einem Nigerianer, der das Geld nahm und spurlos verschwand.

Die Spur des Geldes

Die hiesigen Ermittler sind in solchen Fällen in erster Linie darauf bedacht, den Schaden zu minimieren. Soll heißen: Sie konzentrieren sich auf das Geld, folgen dessen Spuren, versuchen den Geldfluss zu stoppen, versuchen zu retten, was noch zu retten ist. Das aber ist schwierig genug: Je mehr Grenzen, desto schwieriger die Arbeit. Und Zeit ist da der ausschlaggebende Faktor. Weist der Geldfluss nach Asien, wird bereits die Zeitverschiebung zum Problem, abgesehen von sprachlichen Barrieren. Auch polizeilich und justiziell ist in vielen Ländern alles anders. „In einem Fall ist es uns gelungen, einen sehr hohen Betrag in Asien zu sichern“, berichtet Longhi, „nur rücküberwiesen wurde bis dato noch kein Cent. Das kann und wird noch lange dauern.“

Hat man eigentlich jemals einen dieser Täter erwischt? Es habe schon Festnahmen gegeben, berichtet Gantner; von den Vorarlberger Ermittlern recherchierte Fakten würden aktuell einem im Ausland Festgenommenen zu Last gelegt. Näheres wolle – und könne – er beim derzeitigen Stand der Ermittlungen aber nicht sagen. Und welches Fazit lässt sich ziehen? Longhi sagt: „Unsere komplexe Welt hat Schwachstellen und es gibt Verbrecher, die diese Schwachstellen suchen. Wir sind angreifbar geworden.“

„Wirtschaftsspionage muss in Vorarlberg ein Thema sein“

Auch eine Form der Internetkriminalität: Wirtschaftsspionage. Experten nennen Vorarlberg einen der Hotspots in Österreich, sagt der investigative Wiener Journalist  Florian Horcicka.

Man könne davon ausgehen, dass Wirtschaftsspionage in Vorarlberg ein Thema sei, sagt Florian Horcicka, Autor des Buches „Im Fadenkreuz der Spione“: „Allein schon wegen der vielen führenden und innovativen Unternehmen ist Vorarlberg im Bereich Wirtschaftsspionage für die Szene sicherlich interessant.“

Der investigative Wiener Journalist beruft sich da auf die im Heeresabwehramt angesiedelte Cyberabwehr: „Dort heißt es, dass es in Österreich drei Hotspots der Wirtschaftsspionage gibt: Oberösterreich, Wien – und Vorarlberg.“ Wobei das Amt, das sei gesagt, jeweils auch die angrenzenden Regionen zu diesen Hotspots zähle: So werden Oberösterreich und Bayern zusammen genannt, Wien bis Bratislava und teilweise auch Budapest – sowie Vorarlberg als Teil der Bodenseeregion. In einem früheren Interview mit „Thema Vorarlberg“ hatte der Wiener erklärt: „Man kann mit Sicherheit davon ausgehen, dass Vorarlberg vor allem auch wegen seiner Nachbarschaft zur Schweiz, zu Liechtenstein und zu Deutschland für die Spionage-Szene äußerst interessant ist.“ Gibt es Branchen, die besonders im Visier der Spione stehen? Da sei das Spektrum breit: „Aber natürlich sind Unternehmen, die im Technologiebereich innovativ sind, von besonderem Interesse.“ Unterlagen sowohl des Innen- als auch des Verteidigungsministeriums würden jedenfalls belegen, dass österreichweit „eine relativ hohe Anzahl an Betrieben bereits mit solchen Sachen konfrontiert war“. Nur würden derartige Fälle sehr selten publik: „Die wenigsten betroffenen Unternehmen gehen an die Öffentlichkeit, weil sie einen Imageschaden befürchten.“

Leute mit entsprechender nachrichtenstaatlicher Ausbildung seien da am Werk; nicht direkt im staatlichen Auftrag, aber von den jeweiligen Staaten sehr wohl geduldet und unterstützt. Dies treffe vor allem den asiatischen Raum, China werde immer wieder genannt. „Bei den US-Amerikanern“, sagt Horcicka, „ist das etwas anders.“ Denn die NSA habe in ihren Grundsatzstatuten stehen, „dass sie alles tun soll, um einen wirtschaftlichen Vorteil für die Vereinigten Staaten zu erreichen“. Entsprechend agiere die NSA, „und da zählt Wirtschaftsspionage eben auch dazu. Das ist in diesem Fall staatlich organisiert“. Zu diesem US-Nachrichtendienst hat der investigative Journalist eine besondere Beziehung: Horcicka hatte im September 2013 die NSA-Villa in Wien-Pötzleinsdorf enttarnt – die NSA hatte in der Villa im 18. Bezirk einen Direktanschluss an eines der leistungsfähigsten Glasfaserkabel Österreichs installiert und auf diesem Weg rund 70 Prozent des gesamten Wiener Telekommunikationsverkehrs abgefangen.

„25.000 Cyberattacken – pro Tag“

Wolfgang Hödl sagt im Interview, was man tun sollte, wenn man Cybercrime-Opfer wird. Die größte Fehlerquelle? „Neugier.“

Wie ist es in Sachen Internet um das Sicherheitsbewusstsein der Vorarlberger bestellt?
Gerade bei kleineren und mittleren Unternehmen ist das nicht so ausgeprägt, wie es in der heutigen Zeit eigentlich sein sollte. Dabei stehen auch Vorarlbergs Unternehmen im Fokus international organisierter Internetverbrecher. Ich sage immer: Sicherheit ist Chefsache.

In welchem Sinn?
In dem Sinn, dass sich der Verantwortliche um dieses Thema zu kümmern hat. Der Chef hat dafür zu sorgen, dass die Mitarbeiter entsprechend ausgebildet und sensibilisiert werden; er hat auch für die entsprechenden organisatorischen, technischen und baulichen Maßnahmen und die notwendigen Verbesserungen zu sorgen. Aus der Verantwortung kann man freilich niemanden entlassen: Jeder Mitarbeiter muss seinen Hausverstand einschalten. Denn was hilft das beste sicherheitstechnische Bollwerk, wenn die Mitarbeiter freiwillig alle Türen aufmachen?

Sicherheitsbehörden warnen regelmäßig ...
Laut Interpol verursacht Cyberkriminalität in Europa pro Jahr einen Schaden von 750 Milliarden Euro! In Österreich werden 25.000 Cyberattacken pro Tag registriert. Wobei die Dunkelziffer ja noch weitaus höher liegt, da Betroffene derartige Attacken oft nicht melden – weil sie auch einen öffentlichen Reputationsverlust befürchten. Gehen beispielsweise Betriebsgeheimnisse oder Kundendaten verloren, wird das eher verschwiegen denn der Polizei beziehungsweise der Datenschutzbehörde gemeldet. Das wird sich mit der EU-weiten Datenschutzgrundverordnung ab 25. Mai 2018 ändern müssen.

Wie kann man sich schützen?
Indem man sich vorbereitet. Dazu gehören technische Schutzeinrichtungen, die man ständig aktualisieren sollte, das betrifft sowohl Hardware als auch Software. In dem man Back-ups anfertigt, für den Fall, dass Daten verloren gehen und ein Vier-Augen-Prinzip einführt, wenn es etwa um Überweisungen geht. Indem sicherheitsrelevante Organisationsabläufe optimiert und Sicherheitspläne definiert werden, was im Schadensfall umgehend zu tun ist. Und indem man Mitarbeitern klare Vorgaben gibt im Umgang mit den Daten, die sie verwenden. So stellt sich die Frage, ob man es Mitarbeitern gestatten soll, private Geräte an das Firmennetz anzuschließen. Ich rate davon ab, damit nicht auf diesem Weg etwas ins Netz kommt, was nicht reinkommen sollte ...

Wobei ja nicht nur Unternehmen, sondern auch jeder Private betroffen sein kann.
Ja. Es muss immer die Devise gelten: Hausverstand vor Neugier. Die Menschen lassen sich zu schnell auf etwas ein, klicken auf irgendeinen Link, öffnen einen Anhang im E-Mail – nur, weil sie neugierig sind. Und tappen dann etwa in eine Ransomware- oder Phishing-Falle. Ein Beispiel: Wenn einem die Bank in einem E-Mail schreibt, dass angeblich das Konto gesperrt worden ist, man müsse nur Daten und Passwort eingeben, um es wieder freizuschalten, dann gibt es immer wieder welche, die in diese Falle tappen. Hausverstand einschalten! Eine Bank würde so etwas nie schreiben! Nichts anklicken, was einem dubios vorkommt, und grundsätzlich alles prüfen. Auch wenn ein Link gut aussieht auf den ersten Blick, rate ich allen, mit der Maus, ohne zu klicken, über den Link zu fahren – denn da wird die dahinterliegende Adresse sichtbar. Das ist eine simple, aber wirkungsvolle Möglichkeit, manipulierte Adressen zu entdecken.

Was kann, was soll man tun, wenn man in eine solche Internetfalle getappt ist?
Sofort einen IT-Security-Spezialisten kontaktieren und umgehend die Polizei informieren. Seit Juli 2017 gibt es in jeder Polizeidienststelle einen Mitarbeiter, der sich der Sache annimmt. Für Unternehmer hat auch die Wirtschaftskammer eine Cybercrime-Hotline unter 0800 888 133 eingerichtet. Dort wird man nach einer telefonischen Ersthilfe an einen Spezialisten unserer IT-Security Experts Group vermittelt. Generell gilt: Nicht in Panik verfallen! Und sich nicht erpressen lassen. Wenn man zahlt, liefert man sich den Verbrechern erst richtig aus.

Ein paar Worte vielleicht noch zur oftmals fehlenden Aufmerksamkeit ...
Auf europäischen Flughäfen werden pro Woche 3400 Notebooks und Tablets verloren, an US-amerikanischen Flughäfen gar 12.000 Endgeräte. Wobei dort 70 Prozent der gefundenen Geräte gar nicht mehr abgeholt werden. Dabei sind Smartphones oder Notebooks mit nicht verschlüsselten Daten ein offenes Buch! In Großbritannien sind in eineinhalb Jahren über 1000 Regierungs-Laptops und USB-Sticks abhandengekommen, in Österreich sind innerhalb eines einzigen Jahres 127 PCs und Notebooks aus Ministerien verschwunden. Und wenn wir schon bei mangelnder Aufmerksamkeit sind: Die drei weltweit beliebtesten Passwörter sind „123456“, gefolgt von „123456789“ und „password“. Manche Menschen schreiben sich das Passwort auf ein Post-it und heften es dann auch noch an den PC. Man sollte Kriminellen die Sache wirklich nicht so leicht machen ...