Cyber-Risiken sind für Unternehmen wie Radioaktivität

Cyber-Risiken sind für Unternehmen wie Radioaktivität

Michael Krausz - seit 20 Jahren im Dienste der IT-Security, kaum bekannt, weil diskret.

Der Cyber-Security-Experte Michael Krausz spricht im Interview mit trend. über Cyberbetrug, über eine Schockwelle in den IT-Abteilungen von Unternehmen, unfähige Manager und warum gerade bei hohen Geldbeträgen wenige verantwortliche Manager Verdacht schöpfen.

trend: Mit dem FACC-Fall ist das Thema Cyberbetrug in Österreich angekommen. Zynisch gesprochen, war das für die Bewusstseinsbildung ein Glücksfall?
Michael Krausz: Das kann man so sehen. Mit der FACC-Geschichte ging eine veritable Schockwelle durch das Land. Die meisten Unternehmen hatten bisher ja die Angewohnheit zu schlafen, bis ihnen die Dinge um die Ohren fliegen.

Warum waren die Opfer dieser Betrugsmasche bislang fast ausschließlich in der Industrie zu finden?
Weil sich die Angreifer gezielt Unternehmen suchen, von denen sie wissen, dass deren Prozesse dementsprechend schlecht organisiert sind, dass die Masche Erfolg hat.


Linkedin-Profile zu fälschen oder auszuspionieren ist eine gängige Methode, da haben sie dann im Prinzip eh schon ein schönes Organigramm des Unternehmens.

Dass die Betrüger hohe Geldbeträge aus den Unternehmen schleusen können, setzt aber eine hohe Kenntnis der internen Vorgänge voraus.
Die haben sie auch. Sie spionieren das Unternehmen, Kunden oder Lieferanten über Wochen, ja oft Monate aus. Das ist nicht eine E-Mail, die da kommt und schon wieder überwiesen. Das geht über einen längeren Zeitraum, wo sich die Angreifer unter Vorspiegelung falscher Tatsachen in die Prozesse einklinken, leider immer wieder ohne Argwohn zu erwecken.


Zur Person

Michael Krausz ist seit 1996 im IT-Security-Geschäft: Er wollte als Kind Detektiv werden, hat Jus, Informatik und Physik studiert, ist heute Geschäftsführer der Firma i.s.c. (information security consulting), die Beratung, Ermittlung und Schulung anbietet.


Sind Mitarbeiter zu gutgläubig oder die Angreifer zu raffiniert?
Es ist ein Mix aus beidem. Ich nenne Ihnen ein Beispiel. Die Buchhaltung erreichte ein E-Mail, das auch an den richtigen Sachbearbeiter ging: „Danke, dass Du bezahlt hast, aber die letzten 80.000 Euro sind noch offen. Wenn Du diese Überweisung machst, berücksichtige bitte die neue Bankverbindung.“ Hier passierte es glücklicherweise nicht, weil das Unternehmen noch einmal Rücksprache mit dem Kunden hielt. Die neue Bankverbindung wurde von einem APT (Anm.: Advanced Persistent Threat) eingesetzt, sie war in der ursprünglichen Mail nicht enthalten.
In einem anderen Fall kam das E-Mail von einer honorigen Anwaltskanzlei. Das betroffene Unternehmen hatte tatsächlich gerade einen Merger, auf den die Absender Bezug nahmen und im Namen der Anwaltskanzlei um einen Überweisung von 150.000 Euro baten. Dieser E-Mail-Verkehr ging über Wochen, war ziemlich gut vorgespiegelt.


Lesen Sie auch:
COVER-STORY im neuen trend. 10/2016 vom 11. März 2016:
+CYBERKRIEG+ Angriffe auf Unternehmen werden immer gefährlicher


Warum überweist man so hohe Geldbeträge, da müsste doch jemand stutzig werden?
Gerade bei hohen Geldbeträgen schöpft man oft weniger Verdacht. Bei M&A-Geschichten ist es ja tatsächlich so, dass binnen weniger Tage oft hohe Summe überwiesen werden müssen.


Es verhält sich mit IT-Risiken wie mit Radioaktivität. Wenn Sie nicht danach suchen, wissen Sie nicht, ob Sie verstrahlt sind.

Wie finden die Angreifer die „richtigen“ Ansprechpartner?
Linkedin-Profile zu fälschen oder auszuspionieren ist eine gängige Methode, da haben sie dann im Prinzip eh schon ein schönes Organigramm des Unternehmens. Wenn man die Namen kennt, sind die E-Mail-Adressen auch meist leicht zu erraten. An der Stelle haben die Angreifer aber noch nichts gewonnen, erst dann, wenn jemand in der Firma dann auf einen Link in einer vorgeblich seriösen E-Mail klickt und damit den Schadcode aktiviert, der den Datenverkehr innerhalb des Firmennetzwerks ausspioniert. So können dann auch TAN ausgelesen werden. Und irgendwann stehen die Sterne für die Angreifer so günstig, dass sie zuschlagen können.

Warum versagen hier die Security-Systeme in der IT, wenn man sie denn überhaupt hat?
Es verhält sich mit IT-Risiken wie mit Radioaktivität. Wenn Sie nicht danach suchen, wissen Sie nicht, ob Sie verstrahlt sind. Man braucht schon bestimmte Produkte und Methoden, um überhaupt zu wissen, was im eigenen Netzwerk los ist.

Ist das Phänomen „CEO Fraud“, so wir es derzeit beobachten, neu?
Nein, wirklich nicht. Das heißt jetzt halt so. Das gezielte Ausspionieren von Unternehmen ist auch in Österreich seit dem Jahr 2004 dokumentiert. In dieser Form und Intensität gibt es ihn allerdings erst seit zwei Jahren.


Es gibt generell viele Schwammerl auf Entscheiderebene, also Manager, die sich von bekannten Namen der IT-Industrie einfach etwas andrehen lassen.

Warum gerade jetzt?
Weil sich die Sicherheitsverantwortlichen in Sicherheit wiegen, aus falsch verstandenem Kostendruck. Wir hatten eine ganze Manager-Generation, die Kosten gedrückt hat und dem Glauben anhing, IT-Security brauche es nicht. Wenn man sich die betroffenen Unternehmen ansieht, und ich kenne leider auch jene Fälle, die nicht in der Öffentlichkeit stehen, dann hat es dort gekracht, wo jahrelang unterinvestiert wurde in Sachen Security.

Sind jüngere Manager denn sensibilisierter?
In der Regel schon, allein weil sie mit den Technologien an sich vertrauter sind. Davon abgesehen, gibt es aber generell viele Schwammerl auf Entscheiderebene, also Manager, die sich von bekannten Namen der IT-Industrie einfach etwas andrehen lassen.

Anders gefragt, welche Unternehmen in Österreich schützen sich vorbildlich?
Erstaunlicherweise fallen mir da vor allem zwei Unternehmen im halbstaatlichen Bereich ein, das Bundesrechenzentrum und die ÖBB, die mit internationalen Standards mithalten können. Hauptgrund dafür ist einfach, dass die Sicherheitsagenden dort in einer Abteilung vereint sind und die Sicherheitsbeauftragten extrem gut, engagiert und durchsetzungsstark sind.

Ihr Unternehmen bietet Beratung, Ermittlung und Schulung an. Sie werden oft mit Ermittlungen beauftragt, wenn schon etwas passiert ist. Warum ruft man Sie und nicht das BKA?
Weil wir einfach schneller sind. Wenn das Geld erst einmal am Weg ist oder die DDOS-Erpressung bereits läuft, müssen Sie schnellstens handeln. Das BKA sollten Sie natürlich trotzdem kontaktieren. Aber das BKA kann sich nicht um jeden Fall in dieser Intensität kümmern und hat nicht denselben Grad an zeitnaher, schlagkräftiger internationaler Vernetzung.

Wie groß ist eigentlich Ihr Team?
Dazu geben wir keine Informationen. Der Umstand, dass wir bald seit 20 Jahren im Geschäft sind, aber trotzdem kaum bekannt, spricht für unsere Geheimhaltung und das soll auch so bleiben – von diesem Interview abgesehen.

Aktuell arbeiten Sie gerade im mittleren Osten, warum?
Weil das Spektrum unserer Dienstleistungen und die damit verbundene internationale Schlagkraft im Ausland höher wertgeschätzt und damit auch honoriert werden.

Lesen Sie auch dazu die COVER-STORY im neuen trend. Nr. 10/2016 vom 11. März 2016:
+CYBERKRIEG+ Angriffe auf Unternehmen werden immer gefährlicher

Wirtschaft

Nach Air Berlin Pleite: Zittern bei Niki-Mitarbeitern

Wirtschaft

Do & Co muss den Gürtel etwas enger schnallen

Wienerberger CEO Heimo Scheuch

Wirtschaft

Baukonjunktur verhilft Wienerberger zu Gewinnsprung