SuperGAU Datenklau: Identitätsdiebstahl bei Firmen

Identitätsdiebstahl und Cybercrime – So fern und doch so nah

Es geht schnell. Ein falscher Klick auf einen E-Mail-Anhang, das Lieblingspasswort (123456) einige Male zu oft verwendet und alsbald merkt man, dass man nicht mehr Herr der eigenen Daten ist; entdeckt falsche Profile mit den eigenen Daten im Netz oder bemerkt schlimmstenfalls Zahlungsabgänge vom eigenen Konto, die man nicht autorisierte. Digitaler Identitätsdiebstahl ist ein vielfältiges Themengebiet, bei welchem oft die Vogel-Strauß-Methode zum Einsatz kommt: Den Kopf in den Sand stecken, sich nicht absichern und hoffen, dass es einen selber schon nicht treffen wird.

Dabei sind nicht nur Privatpersonen sondern im besonderen Maße auch Unternehmen betroffen, sitzen diese doch oft auf einer Vielzahl von Daten, die für Cyberkriminelle interessant sein können. So richteten sich laut dem neuen Bundeslagebild Cybercrime des Bundeskriminalamtes (BKA) rund 80% aller Ransomwaren ₁-Angriffe in Deutschland 2024 gegen kleine und mittelständische Unternehmen (KMU). Nicht zuletzt arbeiten Cyberkriminelle mittels Cybercrime-as-a-Service-Tools (quasi der „böse Zwilling“ von Software-as-a-Service) oder K.I. immer professioneller. Sie machen es schwieriger, Cyberangriffe oder Phishing mittels Social Engineering ₂ zu erkennen. Mit Large Language Models können heute außerdem Fake Shops erstellt werden, die nicht nur die deutsche Sprache, sondern auch branchenspezifischen Jargon täuschend echt imitieren können.

Meine Daten sind weg?! – Und jetzt?

Wird ein Identitätsdiebstahl beim eigenen Unternehmen festgestellt kommt es vor allem auf zwei Dinge an: Ruhe bewahren und schnell handeln – womit nicht nur das Ändern der Firmenpasswörter gemeint ist. Denn in manchen, seltenen Fällen kann versucht werden, den Diebstahl aufzuhalten. Etwa wenn ein sogenannter CEO-Fraud stattfindet, bei welchem sich Betrüger per Mail oder Brief als Chef ausgeben und den Transfer von Geldsummen auf ausländische Konten fordern. Rechtzeitig entdeckt und mit informierter Polizei könnte die Überweisung noch aufgehalten werden. Ansonsten hilft für die Zukunft hier nur die konsequente Anwendung des Vier-Augen-Prinzips, welches die alleinige Freigabe der Geldsummen verhindert. Auch wenn das Vier-Augen-Prinzip für KMUs schwieriger umzusetzen sein mag, weil qua Unternehmensgröße mehrere Ämter in Personalunion ausgeführt werden: Durch das Vier-Augen-Prinzip sind Arbeitsprozesse weniger anfällig für CEO-Fraud. Gleichzeitig verteilt das Vier-Augen-Prinzip das gleiche Wissen auf mehrere Personen, sorgt so auch abseits des Datenschutz-Aspektes für ein resilienteres Unternehmen und reduziert ganz allgemein die Fehlerquote durch menschliches Versagen.

Die potenzielle Verhinderbarkeit des CEO-Fraud bildet die große Ausnahme beim Thema Identitätsdiebstahl. In den allermeisten Fällen ist der Diebstahl bereits geschehen, wenn man ihn bemerkt. Dann hilft nur noch der Gang zur Polizei, jedoch nicht zur örtlichen Polizeistelle, sondern ruhig direkt zur Zentralen Ansprechstelle für Cybercrime in der Wirtschaft (ZAC) der Hessischen Polizei. Diese ist spezialisiert auf Betrugsfälle im Netz. Mit dem hessischen Cyber Competence Centre (CCC) haben hessische Unternehmen eine zweite Anlaufstelle, welche sich ausschließlich auf Krisenmanagement, Beratung sowie die Vermittlung von Experten, nicht jedoch auf Ermittlung fokussiert hat. _{Das Cyber Competence Centre ist eine von zwei Ansprechstellen für betroffene hessische Unternehmen.}

Schätzungen des Bundeslagebilds Cybercrime zufolge werden nur 10% aller festgestellten Delikte tatsächlich zur Anzeige gebracht – insbesondere der Verlust schützenswerter Kundendaten ist stark mit der Angst vor dem Reputationsverlust verknüpft. Dabei ist das Stellen einer Strafanzeige nicht nur wichtig, um zu versuchen den Fall aufzuklären, sondern auch relevant im Sinne der unternehmerischen Sorgfalt. Eine Strafanzeige belegt den eigenen Fall gegenüber der Versicherung oder den Kunden und verhindert im besten Fall ein Ausufern des Betruges. Die Strafanzeige setzt die Polizei in Kenntnis und verhindert, vorschnelle Verdächtigungen, wenn mit den eigenen Daten Schindluder getrieben werden sollte. Einige Provider geben wichtige Analyse-Daten des Angriffes sogar nur mit einem Beschluss der Staatsanwaltschaft heraus. Die Aufklärungsrate für Identitätsdiebstahl im Netz mag mit 32% niedrig klingen, ist im Vergleich zu anderen Diebstählen, etwa dem in den eigenen vier Wänden, aber immer noch doppelt so hoch (Bundesministerium des Inneren und für Heimat: Polizeiliche Kriminalstatistik 2024. Ausgewählte Zahlen im Überblick - S.25).

Den Kopf aus dem digitalen Sand nehmen – Prävention von Identitätsdiebstahl, die eigenen Daten sicher im Blick behalten

Das Risiko zur Zielscheibe von Identitätsdiebstahl zu werden lässt sich nur schwer reduzieren, denn: Bestimmte Daten der eigenen Firma müssen öffentlich im Netz zugänglich sein. Um korrekt wirtschaften zu können, muss eine Vielzahl von Daten öffentlich im Handelsregister einsehbar sein, die schon genügen, dass eigene Unternehmen zu imitieren. Und um das eigene Unternehmen sichtbar zu machen werden freiwillig allerlei Daten auf Sozialen Medien wie LinkedIn geteilt. Schnell sind mit diesen Informationen schädliche Mails verfasst, falsche Internetseiten erstellt. Zumindest für letztere gibt es mit dem Domain-Monitoring eine wirksame Sicherheitsmaßnahme. Hierbei überwacht man Internetseiten mit einer ähnlichen Domain oder sichert sich sogar jene aus dem europäischen Ausland. So können Fakeshops wenn auch nicht vorgebeugt, so doch durch den Zwang eines Fakeshops zur außereuropäische Domain offensichtlicher gemacht oder frühzeitig gemeldet werden. Ein bewusster Umgang mit dem, was man von sich als Unternehmen im Netz preisgibt kann nicht schaden. Genauso sollte aber auch ein bewussterer Umgang mit den eigenen Daten und einem Bewusstsein für deren Fragilität geschaffen werden. So nervig das tägliche Eingeben eines komplexeren Passwortes sein mag, es schützt am wirksamsten vor potenziellen Angriffen. Die Passworthygiene kann dabei auch niedrigschwellig für die eigenen Mitarbeitenden gestaltet werden: Mit einer Authenticator App oder einem biometrischen Scan des Fingerabdruckes kann eine zweite Authentifizierungs-Stufe eingeführt werden. Mit dem Passwort allein kommen Cyberkriminelle dann fürs Erste nicht mehr weiter.

„Wach sein, wach sein, man ist nicht allein“ – Ein Appell

Am Ende des Tages ist vor allem eine Maßnahme gegen Identitätsdiebstahl im Netz am effektivsten: Wachsamkeit. Wachsamkeit gegenüber den eigenen Daten als auch gegenüber ungewöhnlichen Mails, Links oder Anhängen.

₁: Von engl. ransom, das Lösegeld. Schadsoftware, die die eigenen Daten verschlüsselt und für ihre Freigabe ein Lösegeld fordert.

₂: Social Engineering kann man sich als digitalen „Enkeltrick“ vorstellen. Er bezeichnet konkreter den Vorgang, sich mittels öffentlich verfügbarer Informationen als jemand anders ausgeben, um im Kontakt mit einer anderen Person, an sensible Daten zu gelangen.