IT-Sicherheit beginnt schon bei jedem Einzelnen und beim Einhalten der Regularien. Die Finanzbehörde der kanadischen Großstadt Ottawa hielt sie nicht ein und das wurde sogleich ausgenutzt von aufmerksamen Betrügern. Eine Geschichte wie aus dem Drehbuch:
Am 6. Juli 2018 erhielt Ottawas Schatzmeisterin eine sehr persönliche und in vertrauter Form verfasste E-Mail des Stadtverwalters. Darin die Anweisung 97.797,20 US-Dollar zu überweisen auf das Konto einer US-Firma als Anzahlung für vorvertragliche Leistungen. Die Sache sei noch hoch vertraulich und eile ziemlich, hieß es weiter und sie solle sich bitte persönlich darum kümmern. Also recherchiert die Schatzmeisterin ein wenig über die genannte Firma und schloss daraus, dass das Geschäft wohl im Zusammenhang mit dem bevorstehenden Ottawa Homepage-Relaunch stehen musste. Sie fragte intern noch nach, ob eine so schnelle Zahlung umzusetzen sei, und gab ihrem Kollegen Rückmeldung. Prompt folgte eine E-Mail mit der Bankverbindung und die Überweisung wurde vorgenommen. Der Kollege in der Stadtverwaltung erhielt sogar eine Information darüber. Aber fünf Tage später trudelte noch ein E-Mail bei der Schatzmeisterin ein. Der restliche Betrag wäre nun zur Überweisung fällig. Wie es der Zufall will, trafen sich Schatzmeisterin und Stadtverwalter auf einer Ratssitzung und nach einem kurzen Gespräch über die E-Mails war klar – sie waren betrogen worden. Dem echten Stadtverwalter war der Vorgang nämlich völlig unbekannt.
Das setzte verschiedene Aktionen in Gang. Zum einen wurde die Polizeibehörde eingeschaltet. Zum Glück wurde festgestellt, dass der Betrag auf ein US-Konto eingezahlt wurde, das der US-Geheimdienst ohnehin überwachte. 88.000 US-Dollar wurden beschlagnahmt und an die Stadtverwaltung in Ottawa zurückgegeben. Der Rest wird wohl als Lehrgeld abgeschrieben werden müssen.

Eine aufwendige interne Revision des Falls brachte zutage, dass keinem in der Stadtverwaltung etwas Betrügerisches zur Last gelegt werden konnte. Allerdings waren einige vorhandene Richtlinien und Verfahren nicht befolgt worden und es gab auch eine Reihe anderer Probleme, wie eine auffallende Kontrollschwäche und dass Mitarbeiter noch nie ein Schulungsprogramm zur Betrugsaufklärung durchlaufen hätten. Im Revisionsbericht hieß es:

„Wenn die vorhandenen Richtlinien und Verfahren der Stadt befolgt worden wären, wäre die betrügerische Zahlungsaufforderung auf dem Formular ‚Zahlung ohne Bezug‘ dokumentiert worden. Es wäre entweder durch die Kreditorenbuchhaltung oder die Abteilung für Finanzdienstleistungen gegangen. Unserer Meinung nach ist es unwahrscheinlich, dass die Zahlung geleistet worden wäre, wenn eine dieser Gruppen die Anfrage bearbeitet hätte.“

SANS Sicherheitsexperte John Pescatore sieht diesen Fall als wunderbar praktische Vorlage für eine Übung im Management- und dem Verwaltungsapparat von Unternehmen. Es würde aufzeigen, wie gezielt betrügerische Angriffe sein können, wie einfach nicht authentifizierte E-Mails gefälscht werden können und wie oft Vorsichtmaßnahmen von manuellen oder formularbasierten Prozessen regelmäßig umgangen werden, nur damit der Fall schnell vom Tisch kommt. Betrügereien können nur gestoppt werden, wenn Prozesse aktiv eingehalten und gelebt werden.

Artikel von itworldcanada.com, 09.04.2019: How the city of Ottawa was stung by email fraud

Siehe auch:

• Ähnlicher Fall mit 5o Millionen Euro Schaden bei FACC in Österreich, Oberösterrreichische Nachrichten

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0