2 Millionen EUR: Erpressungen mit Datendiebstahl

Immer mehr organisierte Banden haben es auf Unternehmen und deren Manager abgesehen. Häufig erfolgen die Angriffe im Zug – die Angreifer stehlen Laptops, Tablets und Smartphones und erpressen die Unternehmen mit den gestohlenen Daten. Vermehrt werden auch Server von Unternehmen gekapert. Die Erpresser erzielen dabei teils Rekordsummen in Millionenhöhe.

Analoger Angriff, digitale Beute

Bereits in der letzten Ausgabe unseres Newsletter haben wir auf die Gefahren analoger Angriffe auf Unternehmensdaten hingewiesen: Social Engineering und Visual Hacking sind weit verbreitete Methoden. Und sie sind erfolgreich. Die Wirtschaftswoche macht nun ebenfalls auf das Thema analoger Angriffe aufmerksam. Ihre Recherchen zeigen, dass Datendiebstähle mit anschließender Erpressung weiter verbreitet sind, als die meisten wohl denken.

»Ich ärgere mich am meisten über mich selbst«

Der Diebstahl von Daten, auch ohne anschließende Erpressung, hat mittlerweile organisierte Ausmaße angenommen. Nun häufen sich Berichte über organisierte Banden, die gezielt Manager in Zügen ausspähen, um in einem geeigneten Augenblick Laptops, Tablets oder Smartphones zu entwenden. Opfer wurde schon mehrmals auch Prof. Dieter Kempf, Chef der DATEV e.G. und des Branchenverbandes Bitkom e.V.: »Ich ärgere mich am meisten über mich selbst. In Zürich ist mir das schon mal passiert.«

Allerdings hielt sich in diesem Fall der Schaden in Grenzen, da das gestohlene Smartphone mit einer neunstelligen PIN gesichert war. Der Zugriff auf das Firmennetz war zusätzlich mittels achtstelliger PIN gesichert. Laut Kempf erfährt er in persönlichen Gesprächen von vielen Kollegen, dass er keinesfalls ein Einzelfall ist. Dieses Beispiel zeigt, dass mit geeigneten Sicherheitsmaßnahmen Datendiebstähle auch bei mehrmaligen Angriffen erfolgreich verhindert werden können.

90.000 EUR für das Laptop, mehr als 2 Millionen EUR für den Server

Andere Fälle gehen weit weniger gut für die Betroffenen aus. Die Wirtschaftswoche berichtet von einem Rechtsanwalt, der für sein entwendetes Laptop 90.000 EUR Lösegeld gezahlt hat. Diebe hatten es gestohlen, während er kurz im Bordbistro war. Die zwei kapitalen Fehler: die Datenbanken der Rechtsanwaltskanzlei waren nicht verschlüsselt, das Laptop nicht ausreichend gesichert. So hatten die Angreifer leichtes Spiel und der Rechtsanwalt zahlte das Lösegeld, um einen Imageschaden zu vermeiden.

Noch härter traf es einen bayerischen Dax-Konzern. Ein Angreifer hatte die Kontrolle über den Web-Server des Unternehmens übernommen und gedroht, alle Besuche auf eine gefälschte Seite umzuleiten. Um die Kontrolle über den Web-Server wiederzuerlangen, zahlte das Unternehmen mehr als 2 Millionen EUR Lösegeld.

Teilweise nehmen die Angriffe »mafiöse Konturen« an. In einigen Unternehmen wurden Fälle registriert, in denen Päckchen mit infizierten USB-Sticks an Verantwortliche geschickt wurden. Darin enthalten auch persönliche Drohungen, dass der Familie Schaden zugefügt werden würde, sollte die IT des Unternehmens nicht infiziert werden.

Es handeln »viele grob fahrlässig«

So beschreibt es ein Karlsruher Strafverteidiger, im Hinblick auf den Umgang der Manager mit ihren mobilen Geräten. Viele lassen bspw. bei Tagungen in Hotels ihre Laptops unbeaufsichtigt in der Kaffeepause im Tagungsraum liegen. Auch aus der eigenen Praxis wissen wir, dass viele Verantwortliche noch immer „Anfängerfehler“ begehen: zu einfache oder teilweise gar keine Passwörter, mangelnde Trennung von geschäftlicher und privater Nutzung, keine oder unzureichende Verschlüsselung von Datenträgern, fehlende Richtlinien zum ordnungsgemäßen und datenschutzkonformen Umgang im Unternehmen und eine mangelnde Awareness von Verantwortlichen bzw. Mitarbeitern. An diesen Stellen lassen sich bereits einfache und kostengünstige Lösungen etablieren, die den Schutz vor Datendiebstählen deutlich erhöhen.

Wir helfen weiter!

Die obigen Beispiele machen deutlich, dass es bei Datendiebstählen zwei Gefahren für Unternehmen gibt. Zum einen den Schaden durch die entwendeten Daten an sich und zum anderen den Schaden durch Erpressung. In den obigen Fällen wurden Daten gezielt zu Erpressungszwecken entwendet. Aber auch Industriespione dürften mit diesen Methoden ähnlich erfolgreich sein.

Haben Sie zu diesem Thema Fragen? Wollen Sie den Schutz Ihrer Unternehmensdaten sichtbar erhöhen? Sollen Mitarbeiter geschult und Awareness geschaffen werden? Dann kontaktieren Sie uns! Die TMC steht Ihnen mit langjähriger Erfahrung und Fachwissen zur Seite.