Herr Becker bittet um Diskretion. Das Thema ist heikel: Die Bundesregierung benötige für den Freikauf deutscher Geiseln hohe Lösegelder, berichtet der Referent des Bundeskanzleramts am Telefon. Da es um zwei- bis dreistellige Millionenbeträge gehe, sei sie auf Spenden aus der Wirtschaft angewiesen. Etwa 40 Millionen Euro fehlten immer noch – ob der Geschäftsführer das wichtige Anliegen unterstützen könne?
So mancher Vorstand und Familienpatriarch hat sich diese spektakuläre Geschichte in den vergangenen Wochen vermutlich angehört. Am anderen Ende spricht allerdings – wie viele wohl gleich vermuten – kein Beamter, sondern ein Betrüger. Es handelt sich um eine Masche, die Experten als CEO Fraud bezeichnen, auf Deutsch: Chefbetrug. Dabei geht es darum, Unternehmen unter einem Vorwand zu Zahlungen ins Ausland zu bewegen.
Das Bundeskriminalamt (BKA) warnt vor einer Welle von Anrufen im Namen eines Herrn Becker aus dem Kanzleramt. Diese steht stellvertretend für die Karriere eines kriminellen Geschäftsmodells. „Das Phänomen hat in den letzten drei bis vier Jahren eine besondere Bedeutung erlangt“, sagte BKA-Vizepräsident Peter Henzler am Montag in Wiesbaden. Gemeinsame Ermittlungen mit sieben Bundesländern zeigen, dass allein eine Bande aus Israel einen Schaden in Höhe von 175 Millionen Euro verursacht hat – und andere Kriminelle sie sich zum Vorbild nehmen.
Bislang ließ sich das Problem CEO Fraud höchstens umreißen. Nur wenige Fälle sind publik geworden, beispielsweise beim Autozulieferer Leoni, der 40 Millionen Euro verlor, gestückelt in zahlreiche kleine Zahlungen. Die US-Bundespolizei FBI schätzte 2016, dass Betrüger rund eine Milliarde Dollar erbeuten konnten. Eine halbwegs repräsentative Statistik für Deutschland gibt es aber nicht – nur Polizeiberichte über anonyme Einzelfälle.
Wie groß die Schäden sind, lassen nun Zahlen erahnen, die das BKA mit anderen Polizeibehörden ermittelt hat: Es sei gelungen, „eine Tätergruppierung zu identifizieren, die aus Israel heraus agiert“, sagte Sabine Vogt, die die Abteilung „Schwere und Organisierte Kriminalität“ leitet. Diese habe es in Deutschland seit 2014 rund 800 Mal versucht, in gut 100 Fällen mit Erfolg. Dabei seien den Opfern 175 Millionen Euro verloren gegangen.
Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.
Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.
Das sind jedoch nur die Schäden, die eine einzelne, wenn auch professionelle Gruppe verursacht hat. Dass das BKA und andere Polizeibehörden gemeinsam einige Täter festnehmen konnten, darf nicht als Entwarnung gelten. „Wir wissen, dass auch andere Täterstrukturen aktiv sind“, sagte Vogt. Das BKA erwarte, dass CEO Fraud auch künftig ein Problem sein werde. Damit nicht genug: „Die Täter werden ihre Methoden weiterhin verändern.“ Unternehmen müssen also wachsam bleiben.