WiWo App 1 Monat für nur 0,99 €
Anzeigen

"Wir kämpfen um unsere Existenz" Ein Mittelständler in den Fängen von Hackern

Hacker treiben ein kleines Unternehmen fast in den Konkurs: Sie stehlen die Identität eines Managers aus der Datenbank eines Großkonzerns und vergeben fortan perfekt fingierte Aufträge. Das Protokoll einer Attacke.

  • Artikel teilen per:
  • Artikel teilen per:
Daniel Meffert (l), Carsten Lenz (r) Quelle: Frank Beer für WirtschaftsWoche

Wegen eines Cyberangriffs in die Insolvenz schlittern? „Nein, dass die Schäden so hoch sein können, hätten wir nicht für möglich gehalten.“ Carsten Lenz und Daniel Meffert sitzen im Konferenzraum ihrer Meerbuscher Firma und schütteln den Kopf. Links und rechts stapeln sich Werbeartikel mit Logos von Unternehmen, die ihren Kunden vor Weihnachten noch ein kleines Präsent zukommen lassen: Notizblöcke, Kugelschreiber, Kaffeetassen, Smartphone-Halter. Doch dies ist im Moment nebensächlich. Denn die Geschäftsführer der S&P Werbeartikel GmbH kämpfen derzeit dagegen, nicht als erstes Unternehmen in Deutschland von Hackern in den Ruin getrieben zu werden.

Ja, man hat das schon häufiger gehört: Die Netzökonomie bringt nicht nur viele neue Möglichkeiten, sondern auch große Risiken. Und viele Unternehmen sind nicht richtig gegen Cyberkriminalität geschützt. Dabei ist schon jedes zweite Unternehmen in Deutschland Opfer eines Hackerangriffs geworden. Doch so gut wie nie wollen sich die Betroffenen äußern, zu groß ist die Angst vor Reputationsschäden. Die beiden Mittelständler aus Meerbusch aber wollen – und schildern die Chronik ihres Falls so:

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

3. September 2015: Wir öffnen extrem optimistisch unsere Werbeartikel-Messe. Der Tag läuft super. Viele Geschäftspartner besuchen unseren Stand, eine Stammkundin, die für Deutschland verantwortliche Marketingchefin eines amerikanischen Konzerns, will uns ihren Kollegen in Paris empfehlen. Mit denen könnten wir weltweit expandieren.

10. September: Aus Paris meldet sich Herr Bernard* per E-Mail. Er nimmt Bezug auf unsere langjährigen Geschäftsbeziehungen und fragt an, ob wir auch größere Mengen USB-Sticks ohne Vorkasse mit einem Rechnungsziel 30 Tage liefern würden. Ich rufe umgehend zurück. Bernard stellt sich als Einkäufer für das französischsprachige Afrika vor. Er braucht für eine größere Werbeaktion 20.000 USB-Sticks. Wert: 60.000 Euro. Die sollen wir nach Togo liefern.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    “Datenklau 2015” - Die Ergebnisse im Überblick

    25. September: Die Bestellung geht per E-Mail ein. Alles läuft sehr korrekt ab. Die Formulare mit den Logos des Auftraggebers, der Unterschrift und dem Firmenstempel sehen exakt so aus wie bei früheren Aufträgen. Wir bedanken uns telefonisch bei der deutschen Tochtergesellschaft für die Empfehlung. Herr Bernard ist unserer Stammkundin bestens bekannt. Alle Rückfragen zeigen: Bernard kennt das Geschäft. Trotzdem gehen wir auf Nummer sicher und wenden uns an einen Kreditversicherer, der unsere Forderung absichert.

    28. September: Wir bestellen 20.000 USB-Sticks bei einem Produzenten in China. Per Luftfracht soll die Ware in vier Wochen zuerst nach Frankfurt am Main und dann weiter nach Lomé, der Hauptstadt von Togo, ausgeliefert werden.

    2. Oktober: Herr Bernard lockt mit einem Folgeauftrag. Eine Promotion wie in Togo sei jetzt auch im Senegal geplant. Weil der Markt größer sei, benötige er dort 30.000 USB-Sticks. Der Kreditversicherer segnet auch diesen Auftrag ab.

    * Name geändert

    "Wir haben Ihre Rechnung erhalten, aber den Auftrag nie erteilt"

    28. Oktober: Unser Produzent in China liefert die erste Charge für Togo aus und übergibt sie an UPS. Wir schreiben umgehend die Rechnung. Herr Bernard besteht auf einen Versand per E-Mail. Das ist durchaus üblich. Wir schicken die E-Mail, parallel geht die Rechnung aber auch per Brief nach Paris.

    30. Oktober: Herr Richard*, Controller in der französischen Niederlassung, meldet sich um 11.05 Uhr telefonisch, kurz darauf auch per E-Mail. Der Inhalt trifft uns mit voller Wucht: „Wir haben Ihre Rechnung erhalten, aber den Auftrag nie erteilt.“ Richard erklärt auf Nachfrage, dass Herr Bernard tatsächlich Einkaufsleiter im Unternehmen ist. Das Unternehmen sei aber Opfer eines Hackerangriffs geworden. Dabei sei offensichtlich auch die Identität des Einkaufsleiters gestohlen worden. Die Rechnung will Richard auf keinem Fall bezahlen.

    Verbrechen 4.0 - das ist möglich

    Während des Telefonats rufen wir live die Tracking-Nummer unserer Ware auf der UPS-Webseite auf. Wir sehen: Die UPS-Maschine mit den USB-Sticks an Bord hebt gerade in Richtung Lomé ab. Fast zeitgleich legt die zweite Charge für den Senegal gerade ihren Zwischenstopp in Frankfurt ein. Wir können die Übergabe der Ware noch stoppen. Eine zweite Hiobsbotschaft wirft uns aber vollständig aus der Bahn. Der Kreditversicherer teilt mit, dass Betrug nicht abgedeckt ist. Wir schalten unseren Anwalt ein. Uns drohen Schäden in Höhe von 160.000 Euro. Das wäre der Todesstoß für ein Unternehmen unserer Größe.

    31. Oktober: Nach einer schlaflosen Nacht gucken wir uns den Schriftverkehr noch mal genau an. Die vom Betrüger Bernard genutzte Domain unterscheidet sich marginal von der offiziellen Webadresse. Auch die Signatur der E-Mail ist professionell gefälscht. Hinter dem Firmennamen folgt – wie bei Konzernen durchaus üblich – der Zusatz „-france“. Bis dahin gab es keine Indizien, dass irgendetwas faul sein könnte. Angemeldet hatte Herr Bernard die gefälschte Domain natürlich mit seiner Firmen-Identität. Die Bankverbindung ist natürlich auch falsch. Merkwürdig: Dem Versicherer ist das nicht aufgefallen.

    Top-Jobs des Tages

    Jetzt die besten Jobs finden und
    per E-Mail benachrichtigt werden.

    Standort erkennen

      Mittelstand und Weltmarktführer



      2. November: Wir halten weiter Kontakt zum Betrüger und erstatten Anzeige bei der Polizei in Meerbusch. Wir könnten Lockvogel spielen und helfen, die Bande – etwa durch Fangschaltungen – aufzuspüren. Doch der Kommissar winkt ab. Das seien Profis – da seien sie machtlos. Der Schaden sei auch nicht hoch genug, um eine europaweite Fahndung einzuleiten.

      4. November: Wir ordnen den Rückversand der Ware nach Deutschland an und haben Glück im Unglück. Der Hersteller in China ist sehr kulant und streckt die Zahlungsziele bis weit ins Jahr 2016. Die 50.000 USB-Sticks füllen jetzt ein Lager im Schwarzwald. Uns bleibt nur eine Hoffnung: Wir müssen die USB-Sticks so schnell wie möglich an andere Kunden verkaufen. Nur so können wir unseren Schuldenberg abtragen. Wir starten einen Notverkauf und verschleudern die USB-Sticks zum Stückpreis – je nach Menge – zwischen 3,80 und 5,00 Euro.

      © Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
      Zur Startseite
      -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%