24.11.2014

KriminalitätDie Dotcom-Räuber

Hackerbanden klinken sich in den Mailverkehr zwischen Firmen und Lieferanten ein und lenken Zahlungen um. Ermittler schauen machtlos zu.
Zu den großen Verdiensten - und Verdienstquellen - der Firma Engelbert Strauss gehört es, den deutschen Handwerker nach Jahrzehnten des unauffälligen Handwerkens endlich aus seinem Blaumann befreit zu haben. Die Softshell-Jacke "Roughtough" zum Beispiel, angeblich der ultimative Sauwetterschutz für die ganz harten Jungs unter den Baggerfahrern, Baumfällern, Betonbauern, gibt es nun auch in den modischen Farben Thymian, Titan und Rubin. Alles zu kaufen im Internet sowie in drei - nein, bewahre, nicht Läden, sondern "Workwearstores".
Die Marke hat es mit Dreitagebart-Models, jeder Menge Rough-Tough-Englisch und der Bandenwerbung bei Spielen der deutschen Nationalelf geschafft, sich in den Hipster-Händler unter den Arbeitskleidungsherstellern zu verwandeln. Einen dreistelligen Millionenumsatz macht das Unternehmen im Jahr, beschäftigt 1000 Mitarbeiter. Ohne den weißen Strauß auf rotem Grund geht der stilsichere Malocher heute nicht mehr zum Schweißvergießen.
Man kann sagen, dass die Firma aus dem hessischen Biebergemünd in den vergangenen Jahren nicht viel falsch gemacht hat. Aber das eine dann doch: diese Überweisung nach Jakarta im Dezember 2013. Ausgerechnet die angesagten, ausgeschlafenen Marketingprofis sind auf eine neue Cybercrime-Masche hereingefallen. Eine, die exemplarisch für den Trend steht, den Ermittler seit einiger Zeit beobachten - hin zu immer raffinierteren, aufwendigeren Attacken.
Eine Hackerbande hatte sich in den Mailverkehr zwischen Strauss und einem Lieferanten eingeklinkt, hatte sich mit Inhalt und Stil der Korrespondenz vertraut gemacht, um dann mit echt wirkenden, bestens getimten Mails knapp 200 000 Dollar auf ein eigenes Konto umzuleiten. Anders als bei den E-Mail-Massenabwürfen, bei denen die Täter hoffen, dass unter Millionen Empfängern schon 20, 30 Dumme sein werden, die an das Märchen vom Erbonkel in Nigeria glauben, zielte die Attacke nur auf ein Opfer. Dafür bastelten die Hacker Mails, die genau für diesen Betrug taugten.
Der Berliner IT-Strafrechtler Daniel Gutman spricht von der "zweiten Welle" des Internetbetrugs; die erste, mit billig gemachten Bettelmails, oft in schlechtem Englisch, bringe immer weniger Erfolg. "Deshalb investieren die Täter zunehmend in die Qualität." Und der Angriff auf Strauss sei sicher einer der professionellsten gewesen.
Das Vehikel für den Betrug ist im aktuellen Katalog auf Seite 411 zu sehen: sechs Ledergürtel, passend zum Strauss-Anspruch, lifestylebewusste Schwerstarbeiter auch am Feierabend nicht nackt dastehen zu lassen. Geliefert hatte die Riemen die Firma Samo Belt aus Beirut im Libanon, 27 960 Stück für 199 455 Dollar. Die Geschäftskorrespondenz zwischen Biebergemünd und Beirut lief per Mail, bei den Libanesen, langjährigen Geschäftspartnern von Strauss, ging die Post unter der Mailadresse info@samobelt.com ein.
Im Dezember 2013 kam die Ware wie vereinbart in Deutschland an. Strauss reklamierte bei ein paar Gürteln die Länge, keine große Sache, die mit 650 Dollar Nachlass aus der Welt geschafft werden sollte. Ansonsten war alles, wie es sein sollte, und damit klar, dass Strauss nun zahlen würde.
Am Nikolaustag erhielt Strauss daraufhin erst mal eine Mail, angeblich aus Beirut, dass Samo Belt mit dem Nachlass einverstanden sei - man solle doch die 650 Dollar einfach von der Rechnung abziehen. Kein Grund also für den zuständigen Strauss-Einkäufer, argwöhnisch zu werden. Und selbst wenn das Schreiben sein Misstrauen geweckt hätte: Vermutlich hätte er auch dann kaum gemerkt, dass diese Mail nicht von "info@samobelt.com" gekommen war, sondern von "info@samobelts.com", mit einem s hinter "-belt". Also drückte der Strauss-Mann wie immer auf den Antwort-Button - und schickte seine Mails damit, ohne es zu ahnen, nicht mehr an die Firma in Beirut, sondern an Hacker, die sich in den Mailverkehr hineingemogelt und die Fake-Adresse mit dem Extra-s angelegt hatten.
Zwar waren die Mails der Bande in schlechtem Englisch geschrieben, mit Schreib- und Grammatikfehlern; allerdings hatten auch die echten libanesischen Lieferanten bislang nicht mit makellosem Oxford-Englisch aufgewartet - gut möglich also, dass selbst die Fehler in den fingierten Mails nicht zufällig waren. Fest steht jedenfalls, dass sich die Täter mit dem Schreibstil in der Geschäftsbeziehung zwischen Samo Belt und Strauss gut auskannten, offenbar hatten sie schon länger mitgelesen. Und so fing am 9. Dezember eine Mail der Täter mit denselben Worten "Please check the attached file" an, "Prüfen Sie den Anhang", mit der auch die echte Samo Belt Tage vorher noch eine Mail eingeleitet hatte.
Mit dieser neuen Mail ließen die Betrüger die Strauss-Leute nun wissen, dass Samo Belt kurzfristig die Kontoverbindung geändert habe - angeblich, weil die Überweisungskosten bei der alten Bank zu hoch gewesen seien, außerdem aus ein paar anderen Gründen, über die sich der Versender der Mail nicht ganz klar ausließ. Das Geld - selbstverständlich abzüglich 650 Dollar "Compensation" - solle deshalb nun an die United Overseas Bank in Jakarta, Indonesien, gehen; jede weitere Zahlung auf das frühere Konto könne leider nicht verbucht werden.
Um ihre Glaubwürdigkeit zu untermauern, schickten die Täter eine Rechnung über die gelieferten Gürtel mit; sie enthielt die Namen der Modelle, die Stückpreise. Offenbar hatten sich die Gauner die Zahlen und Angaben von einem Rechner besorgt. Für Strauss wirkte das alles plausibel. Nachdem die Hintermänner von "Samo Belts" auch noch geschrieben hatten, sie brauchten das Geld jetzt wirklich dringend, man sei gerade knapp bei Kasse, überwies Strauss Mitte Dezember.
Erst als der echte Lieferant nachfragte, wann denn mal das Geld ankomme, die Ware sei doch längst geliefert, merkten die Hessen, dass sie Betrügern aufgesessen waren. Der Versuch, die Überweisung nach Asien rückgängig zu machen, lief ins Leere; das Geld war weg.
Dass Computerkriminalität weiter zunimmt, steht schon im Lagebild des Bundeskriminalamts für 2013. Der Fall Strauss bestätigt nun auch den Trend, dass die Täter professioneller vorgehen. "Die Angriffe erfolgen zunehmend zielgerichtet und sind technologisch immer ausgereifter und komplexer", heißt es dazu in einem Gesetzentwurf der Bundesregierung für ein IT-Sicherheitsgesetz, das Anfang 2015 beschlossen werden soll.
Auch ein Kaufmann aus dem Rheinland fiel auf diese Masche herein. Er hatte 8000 Euro verloren, weil er das Geld auf ein neues Konto überwiesen hatte, das ihm scheinbar sein chinesischer Geschäftspartner genannt hatte - in Wahrheit hatte eine Hackergruppe die Zahlung auf ihr Konto umgelenkt.
Der Trick, bei Experten als "Bankmandatsbetrug" bekannt, erfordert beides: Vorarbeit und Vorsicht. Und selbst wenn die Täter sich Mühe geben, steigt mit jeder verschickten Mail das Risiko aufzufliegen. Sind sie erfolgreich, winkt am Ende der große Preis, und den vermuten sie vornehmlich bei Unternehmen. "Firmen anzugreifen kommt immer mehr in Mode, weil dort meist mehr zu holen ist als bei Privatleuten", sagt Florian Oelmaier von der Beratungsfirma Corporate Trust.
Dabei gilt grundsätzlich, dass "jede Firma gehackt werden kann, es ist nur eine Frage des Aufwands", wie Jan Wolter sagt, Geschäftsführer des ASW-Bundesverbands Allianz für Sicherheit in der Wirtschaft. Das ist zwar im Grunde keine Neuigkeit; früher aber kam das große Instrumentenbesteck meist nur dann zum Einsatz, wenn es um eine besonders wertvolle Beute ging, um Firmengeheimnisse. Heute nutzen es Betrüger dagegen auch schon für den schnöden Geldklau.
Die Täter sitzen oft in Asien oder in Russland. Gerade Russland hat ein Heer gut ausgebildeter, aber schlecht bezahlter IT-Spezialisten, die sich leicht von der organisierten Kriminalität ködern lassen. Sie kennen sich mit dem Hacken aus und wissen, wie man solche Attacken verschleiert. So laufen 75 Prozent aller Angriffe auf Servern, die nur für einen Tag im Internet stehen, klagt ASW-Mann Wolter.
Kein Wunder also, dass die Fahnder sich schwertun, die Täter zu erwischen. Vorausgesetzt, dass die Ermittler überhaupt etwas von den Fällen erfahren, denn eine Untersuchung des Landeskriminalamts Niedersachsen zeigt, dass nur neun Prozent aller Cybercrime-Angriffe angezeigt werden. Zu groß ist die Angst von Firmen, sie könnten auf dem Markt als unzuverlässig gelten, infiziert, schlecht geschützt. Und damit nicht mehr als vertrauenswürdig. Häufig sind sie der Auffassung, eine Anzeige bringe ohnehin nichts. Fakt ist: Computerbetrügereien erfordern in der Regel Ermittlungen im Ausland, und das kann dauern - nicht nur wegen der nötigen Rechtshilfeersuchen. "Die Spuren verlaufen oft im Sand", gibt ein Cybercrime-Experte zu, egal ob man der Spur der Computerserver oder der Spur des Geldes folge.
Das war auch im Fall Engelbert Strauss so. Als die Firma den Betrug bemerkte, erstattete sie Strafanzeige bei der Staatsanwaltschaft Hanau. Detailliert beschrieb der Anwalt der Firma, wie die Täter vorgegangen waren und dass sie, kurz bevor das Geld von Strauss auf dem Konto in Indonesien landete, auch noch ein Konto in Großbritannien angegeben hatten. Das schien ein Ermittlungsansatz zu sein, Rechtshilfeersuchen an die Briten sind Tagesgeschäft. Aber "wir konnten keinerlei Aktivitäten der Staatsanwaltschaft feststellen", sagt Engelbert-Strauss-Einkaufschef Christoph Piecha enttäuscht.
Was zu tun war, klärten die Strafverfolger in nur 20 Tagen: nämlich nichts. Sie teilten mit, dass "weitere Nachforschungen zurzeit keinen Erfolg versprechen". "Zurzeit keinen" - das kann man in solchen Fällen auch anders sagen: nie.
Von Jürgen Dahlkamp und Jörg Schmitt

DER SPIEGEL 48/2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 48/2014
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

Kriminalität:
Die Dotcom-Räuber

Video 00:43

Drohnenvideo aus Australien Walkuh schiebt Kajak beiseite

  • Video "Drohnenvideo aus Australien: Walkuh schiebt Kajak beiseite" Video 00:43
    Drohnenvideo aus Australien: Walkuh schiebt Kajak beiseite
  • Video "Sturm der gefährlichsten Kategorie: Hurrikan Maria bedroht Karibikinseln" Video 00:59
    Sturm der gefährlichsten Kategorie: Hurrikan "Maria" bedroht Karibikinseln
  • Video "#1TagDeutschland: Bundeskanzlerin Weidel oder Wagenknecht, Herr Scheuer?" Video 01:35
    #1TagDeutschland: Bundeskanzlerin Weidel oder Wagenknecht, Herr Scheuer?
  • Video "Überraschung: Ex-Trump-Sprecher Spicer tritt bei Emmy-Verleihung auf" Video 01:24
    Überraschung: Ex-Trump-Sprecher Spicer tritt bei Emmy-Verleihung auf
  • Video "Das Tote Meer Chinas: Salzsee färbt sich grell pink" Video 00:00
    Das "Tote Meer Chinas": Salzsee färbt sich grell pink
  • Video "Militärmanöver Sapad: Das Misstrauen ist sehr groß" Video 02:31
    Militärmanöver "Sapad": "Das Misstrauen ist sehr groß"
  • Video "Dokumentation über Flüchtlingskrise: Unfassbar, was da draußen stattfindet!" Video 02:30
    Dokumentation über Flüchtlingskrise: "Unfassbar, was da draußen stattfindet!"
  • Video "Europäer über die Bundestagswahl: Ich hoffe, Schulz wird Finanzminister" Video 01:38
    Europäer über die Bundestagswahl: "Ich hoffe, Schulz wird Finanzminister"
  • Video "Radikalisierung der AfD: Der Einzug in den Bundestag ist eine Zäsur" Video 05:04
    Radikalisierung der AfD: "Der Einzug in den Bundestag ist eine Zäsur"
  • Video "Webvideos der Woche: Einparken in luftiger Höhe" Video 01:58
    Webvideos der Woche: Einparken in luftiger Höhe
  • Video "Rapper trifft Familienministerin: N Sack Kartoffeln is ´n Sack Kartoffeln" Video 31:45
    Rapper trifft Familienministerin: "N Sack Kartoffeln is ´n Sack Kartoffeln"
  • Video "Blinder Passagier: Koala klammert sich unter fahrendem Auto fest" Video 01:02
    Blinder Passagier: Koala klammert sich unter fahrendem Auto fest
  • Video "Zufallsfund in Norwegen: 1100 Jahre altes Wikingerschwert entdeckt" Video 01:25
    Zufallsfund in Norwegen: 1100 Jahre altes Wikingerschwert entdeckt
  • Video "Roboter als Dirigent: YuMi stiehlt Bocelli die Show" Video 01:29
    Roboter als Dirigent: "YuMi" stiehlt Bocelli die Show
  • Video "Selbstversuch: Wissenschaftler testet Stromschlag-Stärke von Zitteraalen" Video 00:29
    Selbstversuch: Wissenschaftler testet Stromschlag-Stärke von Zitteraalen