Wie sicher ist Ihr Bankkonto? – Wenn ein Albtraum persönlich wird.
Hackerangriffe auf Geschäftskonten – Ein Erfahrungsbericht
„Ich konnte es einfach nicht glauben und merkte wie sich Panik in mir breitmachte“, so berichtet mir ein Geschäftsführer eines renommierten mittelständischen Konzerns, wie er live im Online-Banking seiner Hausbank dabei zusehen musste, wie das gesamte Bankkonto vor seinen Augen wie durch Geisterhand plötzlich leergeräumt wurde.[1] Eine automatisierte E-Mail aus dem Online-Banking machte ihn lediglich auf die Erhöhung des Tageslimits aufmerksam. Verwundert prüft er unverzüglich das Bankkonto und sieht, dass nicht nur das Tageslimit erhöht, sondern das gesamte Guthaben auf ein unbekanntes drittes Konto transferiert wurde.
In einem persönlichen Gespräch bittet er mich nun als Beraterin um Hilfe. Leider erst viele Tage nach diesem Hacker-Angriff auf eines seiner Hauptgeschäftskonten bei einem bekannten Bankinstitut – leider erst viele Tage nachdem er und seine Hausbank immer wieder nervenaufreibende E-Mails, Schreiben, Telefonate miteinander ausgetauscht haben und sich ein Streit zwischen der Bank und dem Geschäftsführer zuspitzt, rein um nicht enden wollende sich gegenseitig vorgeworfene verpatzte Sorgfaltspflichten. Inzwischen steht das Bankkonto dick im Minus wegen Überziehungszinsen.
Der Geschäftsführer war naiver Weise davon ausgegangen, dass die Bank das richten kann oder eine solchen unberechtigten Kontentransfer digital zurückdrehen kann oder auf seiner Seite steht. Schließlich hatte er jedenfalls keine Zugangs- oder Passwortdaten leichtsinnig aufbewahrt oder weggegeben. Lediglich erhöhte TAN-Phishing-Versuche waren ihm zuvor aufgefallen, welche er der Bank allerdings bereits gemeldet hatte. Nachdem er zur Krönung ein formelles, fast standardisiert anmutendes Schreiben des Justiziars der Bank erhält, mit dem Vorwurf der groben Fahrlässigkeit gegenüber dem Geschäftsführer, er habe sicherlich einen ausspähenden Virus auf seinen mobilen Endgeräten gehabt, will der Geschäftsführer dies nicht nur sauber juristisch beleuchtet wissen, sondern will auch, dass die Öffentlichkeit hiervon erfährt. Die Bank selbst muss gehackt worden sein, nicht er. Seit vielen Tagen zermürbt ihn der Fall nun bereits und er hat seit vielen Nächten kaum noch ein Auge zugetan.
Der deutsche Mittelstand im Lähmungszustand
Das größte Problem: Nach einem solchen Angriff zählt jede Sekunde, um den Schaden zu minimieren. Die unbekannten Hacker-Gangster sind wieder einmal die Gewinner; schon lange über alle Berge mit Säcken voll Geld durch die Massen an parallel ergaunerten Online-Banktransfers. Der hinterlassene Schaden ist meistens höher als das überzogene Konto oder Imageschäden. Das Trauma aus dem Betrug scheint unaufhörlich nachzubeben. Man fühlt sich alleine gelassen, erst recht wenn die Hausbank dann noch meint, man sei selbst daran schuld. Aber wer löst nun das Dilemma auf?
Der Digitalverband BITKOM beziffert inzwischen eine Gesamtschadenshöhe von mehr als 220 Mrd. Euro pro Jahr in Deutschland, die durch Cyberangriffe verursacht wurden. Auch kleinere und mittlere Unternehmen sind signifikant betroffen; neben den aus der Presse dominierenden größeren Fällen inzwischen auch Arztpraxen, Kanzleien, Agenturen oder etwa Wirtschaftsprüfungsgesellschaften. Aber kaum jemand weiß, wie man gegen diese Plage ankommt und an wen man sich im Notfall wenden kann. Haftungsstreitigkeiten halten unnötig auf und spielen den Hackern in die Karten.
Kann man den Faktor Mensch versichern?
Abseits von Technologien bleibt in den meisten Unternehmen der Faktor Mensch in der Sicherheitsstrategie unberücksichtigt. Gerade das sog. „Social Engineering“ ist so erfolgreich, weil viele in ihren Sicherheitsüberlegungen die eigenen Mitarbeiter oder auch sich selbst als Geschäftsführer außen vorlassen. Hacker sind Menschenkenner und zielen genau auf die Menschlichkeit, um wertvolle Daten zu ergaunern, wie Zugangsdaten, Passwörter oder PINs oder TANs. Bspw. Phishing-E-Mails oder SMS auf dem Handy sowie professionell nachgebaute Webseiten der eigenen Hausbank sind immer noch hoch im Kurs.
Regelmäßige Mitarbeiter- und Führungskräfteschulungen zu Sicherheitsthemen sollten mittlerweile eine Selbstverständlichkeit sein. Auch das regelmäßige Überprüfen der eigenen IT-Systeme auf Schlupflöcher oder das Simulieren des Ernstfalls sind hilfreiche Maßnahmen.
Außerdem ist der Abschluss einer Cyberversicherung empfehlenswert. Die Erstevaluierung des Stands der IT- und Datensicherheit eines Unternehmens durch die Versicherungsunternehmen und Cybersecurity-Experten helfen, sich intensiver mit Schutzmaßnahmen, wie Sensibilisierungsmaßnahmen, technologischen Frühwarnsystemen und möglichen Ernstfällen auseinanderzusetzen. Aber auch hier gilt: Je höher das errechnete Risiko, desto teurer die Prämie, zu der sich der Versicherer bereit erklärt, das Risiko zu übernehmen und im Schadenfall Ersatzleistungen zu erbringen. Einige Versicherungsunternehmen nehmen inzwischen sogar renommierte Unternehmen nicht mehr auf, wenn hohe Standards gar nicht erst erfüllt werden bereits bei der Erstevaluierung. Auch die Versicherungen bleiben auf immer mehr Schadenskosten ihrer versicherten Unternehmen sitzen.
Über die Autorin
Der Markt an Sicherheitsdienstleistern, -produkten und -versicherungen wächst und bevor Unternehmen aus Überforderung diese Themen schleifen lassen und keine nachhaltigen Maßnahmen ergreifen, sollten sie auf qualifizierte und erfahrene Berater zurückgreifen. Da die digitale Transformation inzwischen eine Mammutaufgabe geworden ist, begleitet Frau Prof. Dr. Mana Mojadadr als Expertin der Digitalen Transformation und Cybersicherheit Unternehmen und große Organisationen dabei, sich auch für Ernstfälle besser zu rüsten und Datensicherheit ganzheitlich in den Transformationsprozess zu integrieren. Gerade kleinen und mittelständischen Unternehmen bietet Frau Prof. Mojadadr gerne ein kostenloses Aufklärungserstgespräch an. Oder Sie sind interessiert an der Auflösung des oben beschriebenen Hacker-Vorfalls?
Kontaktdaten: mana.mojadadr@htwsaar.de
[1] Da die Rechtsstreitigkeiten zwischen beiden Parteien noch andauern, muss auf die Nennung der Namen zu diesem Zeitpunkt verzichtet werden.