Lokales
Cybercrime-Attacke auf Meckenbeurer Firma yuri – So lief sie ab
Meckenbeuren / Lesedauer: 7 min
Einen mutigen, einen ungewöhnlichen Schritt ist Mark Kugel gegangen – den in die Öffentlichkeit. Der Mitgründer und Co-CEO der Yuri GmbH hat jüngst bei einem Cybercrime-Kooperationsevent erzählt, wie die junge Firma aus Meckenbeuren um eine beträchtliche Geldsumme geprellt wurde.
Verfolgt hat dies ein Publikum, das hybrid unterwegs war. Etwa 50 Gäste konnte Jürgen Jähnert (Geschäftsführer bwcon) vor Ort im kup in Ravensburg begrüßen. Etwa ebensoviele hatten sich in den zweieinhalb Stunden online zugeschaltet.
Offen, authentisch und verständlich legte Mark Kugel die Abläufe und Knackpunkte dar – womit er dem Anspruch und Untertitel des Abends gerecht wurde: „Aus einer abstrakten Bedrohung wird eine reale Gefahr“. Dass immer wieder Unternehmen das Opfer von Cyber-Attacken werden, beleuchteten zudem Tizian Kohler (Polizeipräsidium Ravensburg), Torsten Seeberg von Cybercrime/Digitale Spuren (ZAC-LKA) und Michael Kirsch (Vorstandsmitglied der Isegrim X AG, im Bereich Informationssicherheit tätig).
Den „Zahlungs-Meilenstein“ ausgespäht
Im Mittelpunkt aber stand der reale Schaden, den die Yuri GmbH erlitten hat. Mark Kugel stellte kurz das Portfolio des 2019 mit vier Mitarbeitern gestarteten Labordienstleisters vor, der heute in der Forschung, Anwendung, Service und Experimenten in puncto Schwerelosigkeit 38 Frauen und Männer beschäftigt. Vertreten sind ihre Mini-Labore unter anderem auf der ISS , die Liste der Interessenten reicht von der Charité bis ins Silicon Valley.
Global vertreten sieht Kugel die aufstrebende Firma mit einem „Geschäftsmodell, das abhängig ist von internationalen Partnern“. Gang und gebe sei es, bei größeren Aufträgen „Zahlungs-Meilensteine“ freizugeben – prozentual zum Vertragsvolumen also Summen in der Größenordnung 50 000 Euro aufwärts zu überweisen.
Wenn der Hacker mitliest
2021, das Jahr als yuri den deutschen Gründerpreis in der Kategorie StartUp gewinnt, sieht im Frühjahr eine solche Rechnungsstellung durch einen Partner in den USA. „Hier muss der Hacker bereits unsere E-Mails mitgelesen haben“, hat Mark Kugel im Nachhinein im Austausch mit der Polizei und deren Cyberforensikern erfahren.
Der eigentliche Betrug geht dann an einem Freitag vor den Ferien über die Bühne, als nachmittags nur noch eine Person bei yuri zugange ist, die auf die Rechnungsstellung aus Übersee wartet. „Schauerlich professionell“ bis hin zur Verwendung des Logos des Lieferanten, sei der Hacker vorgegangen, so Mark Kugel.
Mark KugelWir sind in vielen Bereichen online zum gläsernen Menschen geworden.
Von einem Fake-E-Mailkonto, das sich in der Adresse nur in einem Buchstaben von dem des tatsächlichen Partnerunternehmens unterschied, sandte er eine Nachricht. Der Inhalt: Man habe endlich in Europa ein Konto, sodass sich beidseits Gebühren sparen ließen. An diese neue Bankverbindung möge doch der höhere fünfstellige Betrag überwiesen werden.
Was geschah – und zwar im Zeitfenster von einer Stunde, bis der tatsächliche Rechnungssteller mailte und der Betrug offenkundig wurde.
Was Mark Kugel heute noch den Kopf schütteln lässt
Der Weg zur Polizei erfolgte prompt, und für Beratung wie und forensische Untersuchungen dort bedankte Mark Kugel sich noch einmal ausdrücklich bei Tizian Kohler. Ansonsten aber herrscht Frust: „Ich bin schockiert, wie schlecht unser Rechtssystem aufgestellt ist“, gab Kugel in Ravensburg weiter.
Auf SZ-Anfrage verdeutlicht er: „Wir sind in vielen Bereichen online zum gläsernen Menschen geworden“, mit Informationen, die in Millisekunden fließen. Andererseits dauere es zwei Monate, bis die deutsche Polizei aus Belgien eine Antwort erhielt – dorthin war das Geld auf ein Konto transferiert worden, das auch einem Inhaber zugeordnet werden konnte.
Als der sich freilich der Rücküberweisung der Summe verweigerte, „war der Fall für die belgische Bank erledigt“, ist Kugels Unverständnis auch 18 Monate später noch greifbar. Einen Funken Hoffnung schürt ein Rechtshilfeersuchen, nur: Inzwischen scheint der Betrag weitertransferiert – „das Geld konnte einer Firma zugeordnet werden, welche enge Lieferbeziehungen mit Nigeria unterhält. Dort verliert sich aktuell die Spur des Geldes“, benennt Tizian Kohler als Stand der Dinge, der momentan noch Ermittlungen beinhaltet.
„Zum Glück haben wir uns gut entwickelt“, kann er mit Blick auf die Meckenbeurer Firma sagen. Sonst hätte der Betrug existenzbedrohende Folgen haben können, ist Kugels ungeschminkter Schilderung zu entnehmen.
Verbessertes Sicherheitslevel – das gehört dazu
„Die Methoden werden immer perfider“, musste der Co-CEO erfahren. Auf Gesetz und Gesetzgeber sei da kein Verlass – „ein Unternehmen muss aktiv investieren in den eigenen Schutz“, ist Kugels Grunderkenntnis. Geschehen ist dies in der Wiesentalstraße unter etlichen Aspekten: Alle Accounts wurden von der Polizei geprüft, ein professioneller IT-Dienstleister an Bord geholt.
Das Vier-Augenprinzip ist bei Geld-Transaktionen Pflicht – wie auch die 2-Faktor-Authentifizierung bei bestimmten Vorgängen. Damit soll Logins von Fremdgeräten ein Riegel vorgeschoben sein – „das Einfallstor schlechthin“, wie Kugel heute weiß. Zudem gehört die Sensibilisierung der Mitarbeiter zum „business continuity management“, dem koordinierten Vorgehen der Firma.
„Ein ganz anderes Sicherheitslevel“ sieht Mark Kugel nun bei yuri gegeben – und hat mit der ungeschminkten Schilderung dafür geworben, dass dies auch anderswo einzieht, ohne dass ein höherer fünfstelliger Betrag dafür zu berappen ist.
Blick hinter die Kulissen
„Das Feedback während des Events war positiv“, sagt Martin Köppe (Leiter bwcon-Geschäftsstelle Ravensburg) auf Anfrage. Die Resonanz habe sich, so Köppe, in der guten Aktivität der Teilnehmer im Chat wie vor Ort gezeigt, weshalb es auch eine halbe Stunde länger ging.
Und: „Auch von den Referenten und Eventpartnern haben wir im Nachgang und bis heute durchweg positives Feedback erhalten. Einige Referenten und Eventpartner haben noch vor Ort besprochen, wie wir den Themenkomplex Cybercrime mit FolgeEvents 2023 zusammen bespielen wollen. Zudem gab es vor Ort von einigen Teilnehmern spezifische Nachfragen an die Experten, wie eine Umsetzungsstrategie in deren Unternehmen aussehen kann.“
Kriminalhauptkommissarin Sigrid Blenke weist darauf hin, „dass die Anzahl der Cyber-Angriffe auf Unternehmen steigt. Die Täter agieren oft vom Ausland aus, und polizeiliche Ermittlungen gestalten sich oft schwierig“. Daher rät die Fachfrau vom Referat Prävention des Polizeipräsidiums Ravensburg den Unternehmen, „Vorsorge zu betreiben, damit es erst gar nicht zu einem schädigenden Ereignis kommt“.
Rechtsstaat ist den Tätern auf den Fersen
Zugleich zeige dies, wie wichtig solche Veranstaltungen wie im kup seien, die „das Polizeipräsidium Ravensburg in Kooperation mit verschiedenen Partnern durchführt“. Das Referat Prävention und die Kriminalpolizei des Polizeipräsidiums Ravensburg würden hier „Hand in Hand“ zum Schutz der Unternehmen arbeiten.
Kriminalrat Tizian Kohler ergänzt: „Sollte es trotzdem zu einem Schadensfall kommen, rate ich dringend die Polizei zu informieren und Anzeige zu erstatten“.
Neben fachkundiger Beratung im Krisenfall könnten betroffene Unternehmen „auch einen wichtigen Beitrag zur Aufklärung von Cyberkriminalität und Warnung anderer Unternehmen beitragen“. Und: Zudem zeige man so künftigen Tätern, „dass unser Rechtsstaat ihnen auf den Fersen ist“.
