East Side Fab e.V. Live-Portal

Wie sicher ist Ihr Bankkonto? – Wenn ein Albtraum persönlich wird.

Hackerangriffe auf Geschäftskonten – Ein Erfahrungsbericht

 „Ich konnte es einfach nicht glauben und merkte wie sich Panik in mir breitmachte“, so berichtet mir ein Geschäftsführer eines renommierten mittelständischen Konzerns, wie er live im Online-Banking seiner Hausbank dabei zusehen musste, wie das gesamte Bankkonto vor seinen Augen wie durch Geisterhand plötzlich leergeräumt wurde.[1] Eine automatisierte E-Mail aus dem Online-Banking machte ihn lediglich auf die Erhöhung des Tageslimits aufmerksam. Verwundert prüft er unverzüglich das Bankkonto und sieht, dass nicht nur das Tageslimit erhöht, sondern das gesamte Guthaben auf ein unbekanntes drittes Konto transferiert wurde.

In einem persönlichen Gespräch bittet er mich nun als Beraterin um Hilfe. Leider erst viele Tage nach diesem Hacker-Angriff auf eines seiner Hauptgeschäftskonten bei einem bekannten Bankinstitut – leider erst viele Tage nachdem er und seine Hausbank immer wieder nervenaufreibende E-Mails, Schreiben, Telefonate miteinander ausgetauscht haben und sich ein Streit zwischen der Bank und dem Geschäftsführer zuspitzt, rein um nicht enden wollende sich gegenseitig vorgeworfene verpatzte Sorgfaltspflichten. Inzwischen steht das Bankkonto dick im Minus wegen Überziehungszinsen.

Der Geschäftsführer war naiver Weise davon ausgegangen, dass die Bank das richten kann oder eine solchen unberechtigten Kontentransfer digital zurückdrehen kann oder auf seiner Seite steht. Schließlich hatte er jedenfalls keine Zugangs- oder Passwortdaten leichtsinnig aufbewahrt oder weggegeben. Lediglich erhöhte TAN-Phishing-Versuche waren ihm zuvor aufgefallen, welche er der Bank allerdings bereits gemeldet hatte. Nachdem er zur Krönung ein formelles, fast standardisiert anmutendes Schreiben des Justiziars der Bank erhält, mit dem Vorwurf der groben Fahrlässigkeit gegenüber dem Geschäftsführer, er habe sicherlich einen ausspähenden Virus auf seinen mobilen Endgeräten gehabt, will der Geschäftsführer dies nicht nur sauber juristisch beleuchtet wissen, sondern will auch, dass die Öffentlichkeit hiervon erfährt. Die Bank selbst muss gehackt worden sein, nicht er. Seit vielen Tagen zermürbt ihn der Fall nun bereits und er hat seit vielen Nächten kaum noch ein Auge zugetan.

Der deutsche Mittelstand im Lähmungszustand

Das größte Problem: Nach einem solchen Angriff zählt jede Sekunde, um den Schaden zu minimieren. Die unbekannten Hacker-Gangster sind wieder einmal die Gewinner; schon lange über alle Berge mit Säcken voll Geld durch die Massen an parallel ergaunerten Online-Banktransfers. Der hinterlassene Schaden ist meistens höher als das überzogene Konto oder Imageschäden. Das Trauma aus dem Betrug scheint unaufhörlich nachzubeben. Man fühlt sich alleine gelassen, erst recht wenn die Hausbank dann noch meint, man sei selbst daran schuld. Aber wer löst nun das Dilemma auf?

Der Digitalverband BITKOM beziffert inzwischen eine Gesamtschadenshöhe von mehr als 220 Mrd. Euro pro Jahr in Deutschland, die durch Cyberangriffe verursacht wurden. Auch kleinere und mittlere Unternehmen sind signifikant betroffen; neben den aus der Presse dominierenden größeren Fällen inzwischen auch Arztpraxen, Kanzleien, Agenturen oder etwa Wirtschaftsprüfungsgesellschaften. Aber kaum jemand weiß, wie man gegen diese Plage ankommt und an wen man sich im Notfall wenden kann. Haftungsstreitigkeiten halten unnötig auf und spielen den Hackern in die Karten.  

Kann man den Faktor Mensch versichern?

Abseits von Technologien bleibt in den meisten Unternehmen der Faktor Mensch in der Sicherheitsstrategie unberücksichtigt. Gerade das sog. „Social Engineering“ ist so erfolgreich, weil viele in ihren Sicherheitsüberlegungen die eigenen Mitarbeiter oder auch sich selbst als Geschäftsführer außen vorlassen. Hacker sind Menschenkenner und zielen genau auf die Menschlichkeit, um wertvolle Daten zu ergaunern, wie Zugangsdaten, Passwörter oder PINs oder TANs. Bspw. Phishing-E-Mails oder SMS auf dem Handy sowie professionell nachgebaute Webseiten der eigenen Hausbank sind immer noch hoch im Kurs.

Regelmäßige Mitarbeiter- und Führungskräfteschulungen zu Sicherheitsthemen sollten mittlerweile eine Selbstverständlichkeit sein. Auch das regelmäßige Überprüfen der eigenen IT-Systeme auf Schlupflöcher oder das Simulieren des Ernstfalls sind hilfreiche Maßnahmen.

Außerdem ist der Abschluss einer Cyberversicherung empfehlenswert. Die Erstevaluierung des Stands der IT- und Datensicherheit eines Unternehmens durch die Versicherungsunternehmen und Cybersecurity-Experten helfen, sich intensiver mit Schutzmaßnahmen, wie Sensibilisierungsmaßnahmen, technologischen Frühwarnsystemen und möglichen Ernstfällen auseinanderzusetzen. Aber auch hier gilt: Je höher das errechnete Risiko, desto teurer die Prämie, zu der sich der Versicherer bereit erklärt, das Risiko zu übernehmen und im Schadenfall Ersatzleistungen zu erbringen. Einige Versicherungsunternehmen nehmen inzwischen sogar renommierte Unternehmen nicht mehr auf, wenn hohe Standards gar nicht erst erfüllt werden bereits bei der Erstevaluierung. Auch die Versicherungen bleiben auf immer mehr Schadenskosten ihrer versicherten Unternehmen sitzen.


Über die Autorin

Prof. Dr. Mana Mojadadr am Cybersecurity Day im East Side Fab

Der Markt an Sicherheitsdienstleistern, -produkten und -versicherungen wächst und bevor Unternehmen aus Überforderung diese Themen schleifen lassen und keine nachhaltigen Maßnahmen ergreifen, sollten sie auf qualifizierte und erfahrene Berater zurückgreifen. Da die digitale Transformation inzwischen eine Mammutaufgabe geworden ist, begleitet Frau Prof. Dr. Mana Mojadadr als Expertin der Digitalen Transformation und Cybersicherheit Unternehmen und große Organisationen dabei, sich auch für Ernstfälle besser zu rüsten und Datensicherheit ganzheitlich in den Transformationsprozess zu integrieren. Gerade kleinen und mittelständischen Unternehmen bietet Frau Prof. Mojadadr gerne ein kostenloses Aufklärungserstgespräch an. Oder Sie sind interessiert an der Auflösung des oben beschriebenen Hacker-Vorfalls?

Kontaktdaten: mana.mojadadr@htwsaar.de


[1] Da die Rechtsstreitigkeiten zwischen beiden Parteien noch andauern, muss auf die Nennung der Namen zu diesem Zeitpunkt verzichtet werden.

How secure is your bank account? – when a nightmare becomes personal.

Hacker attacks on business accounts – a field report

“I just couldn’t believe it and felt panic spreading through me”, says a managing director of a well-known medium-sized company telling me how he had to watch live in his bank’s online banking service as the entire account was suddenly emptied before his very eyes, as if by magic.[1] An automated e-mail from online banking merely alerted him to the increase in the daily limit. Astonished, he immediately checks the bank account and sees that not only has the daily limit been increased, but the entire balance has been transferred to an unknown third account.

In a personal conversation, he now asks me for help as an advisor. Unfortunately, only many days after this hacker attack on one of his main business accounts at a well-known banking institution – unfortunately, only many days after he and his bank repeatedly exchanged nerve-racking e-mails, letters, phone calls with each other and a dispute between the bank and the managing director comes to a head, purely over never-ending mutual accusations of botched due diligence. Now the bank account is seriously in the red because of overdraft interest.

The manager had naively assumed that the bank could fix it or digitally reverse such an unauthorised account transfer, or would at least be on his side. He certainly was not careless or had given away any access or password data after all. He had only noticed increased TAN phishing attempts, which he had already reported to the bank. To top it off, he receives a formal, almost standard letter from the bank’s legal advisor, accusing the managing director of gross negligence, saying that surely had a spying virus on his mobile terminal devices, and so the managing director not only wants to have the case scrutinised legally, but also wants the public to know about it. The bank itself must have been hacked, not him. For many days now, the case has been wearing him down and he has hardly slept a wink for many nights.

The German SME sector in a state of paralysis

The biggest problem: After such an attack, every second counts to minimise the damage. The unknown hacker-gangsters are once again the winners; long gone with bags of money through the masses of parallel scammed online bank transfers. The damage left behind is usually higher than the overdrawn account or image loss. The trauma caused by the fraud continues to reverberate. You feel left alone, especially when your bank thinks it’s your own fault. But who will solve the dilemma?

The digital association BITKOM now puts the total amount of damage caused by cyber attacks in Germany at more than 220 billion euros per year. Small and medium-sized enterprises are also significantly affected; in addition to the larger cases that dominate the press, there are now also medical practices, law firms, agencies or, for example, auditing companies. But hardly anyone knows how to combat this plague and who to turn to in an emergency. Liability disputes cause unnecessary delay and play into the hackers’ hands.  

Can the human factor be insured?

Apart from technologies, the human factor remains unconsidered in the security strategy of most companies. So-called “social engineering” is so successful because many people leave their own employees or even themselves as managing directors out of their security considerations. Hackers are connoisseurs of human nature and precisely target our human side in order to scam valuable data, such as access data, passwords or PINs or TANs. For example, phishing e-mails or text messages on mobile phones as well as professionally copied websites of your own bank are still very popular.

Regular staff and management training on security topics should be a matter of course by now. Regularly checking your own IT systems for loopholes or simulating an emergency are also helpful measures.

It is also advisable to take out cyber insurance. The initial evaluation of the state of IT and data security of a company by the insurance companies and cybersecurity experts help to deal more intensively with protective measures, such as awareness-raising measures, technological early warning systems and possible emergencies. However, it is the case that the higher the calculated risk, the more expensive the premium at which the insurer agrees to assume the risk and provide compensation in the event of a claim. Some insurance companies now even refuse to accept renowned companies if high standards are not met at the initial evaluation. Insurance companies are also left to bear more and more of the damage costs of their insured companies.


About the author

Prof. Dr. Mana Mojadadr during the Cybersecurity Day at East Side Fab

The market of security service providers, products and insurances is growing and before companies let these issues slide out of excessive demands and do not take sustainable measures, they should resort to qualified and experienced consultants. As the digital transformation has become a mammoth task, Prof. Dr Mana Mojadadr, as an expert in digital transformation and cybersecurity, supports companies and large organisations in better equipping themselves for emergencies and integrating data security holistically into the transformation process. Prof. Mojadadr is happy to offer small and medium-sized companies in particular a free initial consultation. Or you are interested in how the hacking incident described above was solved?

Contact data: mana.mojadadr@htwsaar.de


[1] As the legal disputes between the two parties are still ongoing, it is necessary to refrain from naming them at this time.