Steuerberater im Belagerungszustand -Ein Anreiz zum Nachdenken

| Im Mai 2012 wurde Michael Garcia aus dem Kalifornischen Stockton zu 57 Monaten Gefängnis verurteilt, weil er sich als Angestellter eines IT-Dienstleisters unberechtigt Zugang zu den Kundenservern seines Arbeitgebers verschafft und Mandanten-Daten von Anwalts- und Steuerberatungskanzleien heruntergeladen haben soll. Garcia ist ein beliebiges Beispiel in einer Kette: Die organisierte Datenkriminalität hat erkannt, dass die Steuerberater zwar über jede Menge interessanter Kundendaten, aber im Gegensatz zu ihren gewerblichen Kunden über keine Sicherheitsabteilung verfügen. |

Trojaner im pdf-Dokument

Bereits vor Jahren wurde eine Steuerberatungskanzlei in Hessen angegriffen - vermutlich aus Lateinamerika: Die „Cracker“ schickten ein sogenanntes „Trojanisches Pferd“ an die Kanzlei und infizierten so 12 PC des Unternehmens. Dieser Trojaner wurde in einem gewöhnlichen pdf-Dokument versteckt, einem Dateiformat, das in der Wirtschaft genauso verbreitet ist wie der Kaffeeautomat auf dem Büroflur.

Mit diesem digitalen Schädling konnten die Eindringlinge Tastatureingaben protokollieren und Bildschirmkopien, die elektronische Post und digitale Bürodokumente aller Art auf Server in Russland übertragen. Erst ein halbes Jahr nachdem die Daten gesaugt wurden, forderten die Kriminellen im März 2008 100.000 EUR. Falls nicht gezahlt werde, würden die Mandantendaten im Internet veröffentlicht, so die Drohung. Das Geld sollte auf ein Konto in Argentinien überwiesen werden.

Der Grund für die Wartezeit: „Die Daten waren innerhalb von wenigen Stunden kopiert. Die Erpresser hatten aber dabei festgestellt, dass die Kanzlei nicht ausreichend „flüssig“ war und deshalb gewartet, bis wieder Geld auf dem Kanzleikonto war“, so der Sicherheitsberater Götz Schartner. Was ihn besonders überraschte, war die hohe Professionalität der Erpresser: „Die hatten sehr gutes betriebswirtschaftliches Wissen und detaillierte Kenntnisse aktueller - deutscher! Steuerberatungssoftware.“

Bemerkenswert fand Schartner auch: Die technischen Systembetreuer hätten nichts falsch gemacht. Den einzigen Tipp, den der Sicherheitsspezialist geben konnte, war, die Dienstleistungen der DATEV eG in Anspruch zu nehmen. Schartner riet trotz allem von einer Zahlung ab: „Woher wissen Sie, dass die Täter die Daten tatsächlich vernichten und keine weiteren Forderungen stellen?“ Zu dieser Einsicht kommt nicht jeder. Als Beweis ihrer Durchsetzungsstärke hätten die Kriminellen gleich eine Liste mit Kanzleien geschickt, die bereits gezahlt hätten. Auch Schartners Kunde hat sich letztlich dazu durchgerungen.

Angreifer verfeinern ihre Technik

Mittlerweile haben die Angreifer ihre Techniken weiter verfeinert: Im Dezember letzten Jahres warnte das American Institut of CPA‘s (AICPA) - das Institut der ‚Certified Public Accountants‘ - vor einer Betrugsmasche, bei dem das Logo und die Mail-Adresse der AICPA missbraucht werden, um die Empfänger der elektronischen Post in Sicherheit zu wiegen und so dazu zu verleiten, gedankenlos auf den gefährlichen Link zu klicken.

Der Antivirenentwickler McAfee erwartet, dass die Kriminellen künftig in der Lage sein werden, detaillierte Profile von Entscheidern und anderen Zielpersonen automatisiert zu bilden, um so die menschliche Schwachstelle ausfindig zu machen, an die sich der Hebel anschließend optimal ansetzen lässt. Detailkenntnisse über die finanziellen Verhältnisse der Zielperson können da nicht schaden.

Das National Research Council und die National Academy of Engineering der USA beschreiben in einem gemeinsamen Bericht, wie gehebelt wird: Insider könnten etwa durch Bestechung, Erpressung, ideologische oder psychologische Neigung oder erfolgreiche Infiltration kompromittiert werden. Schließlich sei es möglich, unwissende Insider durch Manipulation zu einem wohlgefälligen Verhalten zu bewegen. Im Ergebnis könnten sie dazu gebracht werden, mit ihrem Wissen in ihrer jeweiligen Position den Angriff unwissentlich zu unterstützen. Dies kann zum Beispiel dadurch geschehen, dass ein mit Schadsoftware infizierter USB-Speicher zur rechten Zeit in den rechten Steckplatz geschoben wird. Dass das tatsächlich funktionieren kann, hat sich am Beispiel von „Stuxnet“ gezeigt. Der Schädling soll das Iranische Atomprogramm 2009 massiv sabotiert haben. Das Magazin Wired berichtete, dass entweder ein Insider an der Operation beteiligt gewesen sei oder ein Unwissender benutzt worden wäre. Angeblich sollen die US-Amerikanische und die Israelische Regierung für die Operation verantwortlich sein.

Merke | Kritische Stimmen in der Sicherheitsbranche sagen: „Du kannst einen Rechner so sicher machen wie Du willst - ein Angreifer wird immer einen Dummen finden, der diesen Rechner wieder kompromittiert.“

Ausbildung im Bereich Datensicherheit

Im Herbst 2012 forderte die Organisation „Deutschland sicher im Netz“ (DsiN), dass 10 % einer jeden Informatikvorlesung auf das Thema „Sicherheit“ entfallen sollte. Es sei bislang immer noch möglich, ein Informatik-Studium abzuschließen, ohne sich jemals mit dem Thema „Sicherheit“ auseinandergesetzt zu haben. Es ist zu befürchten, dass dieser Zustand bei Ingenieuren, Architekten, Ärzten, Anwälten und weiteren Berufsgruppen nicht besser ist. Für Steuerberater und Wirtschaftsprüfer veranstaltet der Verein DsiN bereits Tagungen zum Thema Datensicherheit. Folgen sollen in diesem Jahr Tagungen für freie Berufe, Anwälte und Unternehmensberater.

Zum Autor | Der Autor ist freier Journalist und will mit seiner Kampagne „Frei + Fit im Web 2.0“ und einem „Datenschutzmobil“ freie Berufe und ähnliche dienstleistende KMU in 240 Vorträgen für den Datenschutz sensibilisieren. Weitere Informationen: https://privatsphaere.org/?p=399