Der Dieb, der aus der Nähe kam

Der Dieb aus der Nähe
Niklas Wirminghaus und Bratislav Milenkovic (Illustrationen)

Kreditech ist jung, digital und wächst wie verrückt – ein Start-up wie aus dem Lehrbuch. Doch dann kommen sensible Nutzerdaten abhanden und landen im Netz. Kann das Unternehmen den Vorfall überleben?

Als Kreditech im Sommer 2014 auf seine schwerste Krise zusteuert, steht das Unternehmen eigentlich glänzend da. In den zwei Jahren nach der Gründung ist das Hamburger Start-up von zwei auf fast 150 Mitarbeiter angewachsen und hat in elf Länder expandiert; Investoren haben mehr als 60 Millionen US-Dollar an Fremd- und Eigenkapital bereitgestellt; schon werden Börsenpläne geschmiedet – Kreditech ist die Nachwuchshoffnung der jungen Online-Finanzbranche.

Die zwei Gründer des Unternehmens sind da noch keine 30. Im Jahr 2012 hatten die beiden, die sich noch aus Kindertagen kennen, die Kreditplattform Kreditech gestartet. Die Idee: kleinere Kredite mit kurzer Laufzeit schneller und einfacher vergeben, als es Banken können.
Die Nutzer zahlen dafür deutlich höhere Zinsen und erlauben Kreditech Einblick in private Daten, damit das Unternehmen die Kreditwürdigkeit eines Interessenten möglichst genau berechnen kann. Für das sogenannte Kreditscoring werden bis zu 20.000 Datenpunkte herangezogen, von der Zahl der Facebook-Freunde bis zu früheren Bestellungen bei Amazon oder der Frage, ob der Kandidat schon einmal Onlinepoker gespielt hat.
Die Big-Data-Kreditvergabe ruft schnell Datenschützer auf den Plan, Verbraucheranwälte kritisieren die teils exorbitanten Zinsen. Als die Finanzaufsicht BaFin eine Prüfung ankündigt, zieht sich Kreditech aus dem deutschen Markt zurück. Die Kredite werden jetzt vor allem in Ländern Ost- und Südeuropas vergeben.
Das funktioniert. In der Zentrale werden Länderteams aufgebaut, die sich um das Geschäft in Polen, Spanien, Russland und so weiter kümmern. In der Hamburger HafenCity bezieht man schicke Büros, die Technologie wird weiter verfeinert. Nach gerade mal einer halben Minute soll der Kreditech-Algorithmus nun wissen, wie kreditwürdig ein potenzieller Kunde ist. Und schon nach maximal 15 Minuten lande das Geld auf dem Konto, wirbt das Unternehmen.

Technologieentwicklung, Fundraising, Marketing, Internationalisierung: Es läuft bei der digitalen Bank der Zu-kunft – bis zu jenem Vorfall, den das Unternehmen später ein „einzelnes internes Sicherheitsereignis“ nennen wird.
Irgendwann in der zweiten Jahreshälfte 2014 stellt man bei Kreditech fest, dass große Mengen an Daten abgefischt wurden: Informationen über Antragsteller, die bei den ausländischen Tochterfirmen ihre Chancen auf einen Kredit ausloten wollen. Der Datenschatz enthält mehrere Gigabyte an Logdateien, Tausende individuelle Angebote für Darlehensverträge, mehr als 2.000 Bilder mit eingescannten Ausweisdokumenten – und ist frei zugänglich im Darknet zu finden. Im Material enthalten sind höchst sensible persönliche Informationen: Klarnamen, E-Mail-Adressen, Geburtsdaten, Telefonnummern, Ausweisdaten.

Dank der digitalen Transformation haben wir heute Zugang zu ganz neuen Produkten und Diensten, vieles ist billiger, fast alles zugänglich. Die Wirtschaft profitiert davon, weil sich neue Geschäftsfelder öffnen und die Unternehmen ihre eigenen Prozesse effizienter gestalten können. Doch bei allen Vorteilen sind mit der Digitalisierung auch neue Bedrohungen entstanden: Betrüger, Hacker, Spione, Datendiebe – wer einem Unternehmen schaden will, für den gibt es heute vielfältige digitale Einfallstore. In einer Studie der Bundesdruckerei* geben sich fast zwei Drittel der befragten Unternehmen überzeugt, dass im Zuge der Digitalisierung IT-Sicherheitsrisiken zunehmen. Wer vernetzt ist, ist verwundbar.
Am besten ist natürlich, ein Datenleck komplett zu vermeiden. Aber was, wenn doch einmal etwas passiert ist? Dann müssen Unternehmen gleich mehrere Dinge beachten, sagt Arne Becker vom IT-Sicherheitsspezialisten genua, einem Tochterunternehmen der Bundesdruckerei. „Als Erstes sollte man nach einem Angriff die Polizei einschalten – die kann die Systeme von Forensikexperten prüfen lassen. Wichtig ist auch, die Rechner keinesfalls auszuschalten: In den Speichern finden sich oft noch flüchtige Informationen und Spuren, die der Angreifer hinterlassen hat.“ Erst danach gehe es ans Aufräumen und vor allem auch darum, mithilfe von Spezialisten dafür zu sorgen, dass die Möglichkeit neuer Angriffe minimiert wird.
Kreditech zieht zunächst externe Fachleute hinzu. Die bestätigen, dass der Angreifer nicht von außen auf das System habe zugreifen können – es muss sich um einen „Inside Job“ handeln. Der Dieb gelangte von innen in den Zwischenspeicher der Kreditech-Website und bemächtigte sich dort der Daten. Ist ein unzufriedener Mitarbeiter verantwortlich? Gut möglich.
Kreditech will das herausfinden, informiert Polizei und Staatsanwaltschaft. Ein Jahr später wird das Ermittlungsverfahren jedoch wieder eingestellt, ergebnislos – einen Täter habe man nicht ermitteln können, erklärt der Staatsanwalt damals. Nur so viel ist klar: Er oder sie wollte der Reputation der Firma schaden. Einige Monate nach dem Abfischen der Daten vermeldeten Hunderte automatisch erstellte Twitter-Accounts, Kreditech sei gehackt worden, dazu wurde der Link zu den Daten gepostet. Vermutlich steckte der Datendieb auch hinter dieser Aktion.
Dass Mitarbeiter für den Verlust von Daten verantwortlich sind, ist gar nicht so selten. Meist handeln sie dabei nicht in krimineller Absicht, sondern einfach sorglos. Die Befragung der Bundesdruckerei hat ergeben: Mangelndes Sicherheitsbewusstsein der eigenen Angestellten ist – nach den hohen Kosten – das größte Hindernis, das einer verbesserten IT-Sicherheit entgegensteht.

Wie können sich Unternehmen vor ihren eigenen Angestellten schützen? Experte Becker sagt: „Die Unternehmen müssen dafür sorgen, dass es ehemaligen und aktuellen Mitarbeitern nicht zu einfach gemacht wird, Zugriff auf sensible Systeme zu bekommen.“ Etwa durch Zweifaktor-Authentifizierungen. Das Log-in funktioniert dann nur, wenn man neben dem Passwort noch eine zweite Methode zur Authentifizierung nutzt – beispielsweise eine Chipkarte.

 

Viele Unternehmen haben Nachholbedarf

Auch wenn das Problem grundsätzlich bekannt ist: Viele Unternehmen tun Becker zufolge dennoch nicht genug gegen die Gefahren von außen und innen. „In einigen Branchen sieht es recht gut aus, etwa bei Autoherstellern und Unternehmen mit wertvollem geistigen Eigentum. In anderen Bereichen ist zwar das Bewusstsein da: Wir müssen was für unsere Sicherheit tun. Aber es passiert nicht viel“, sagt Becker. Häufig führe der Kostendruck in den Unternehmen dazu, dass sie erst nach einem Vorfall im eigenen Haus in Hardware, Software und geschulte Mitarbeiter investierten. Bitkom schätzt: Datenlecks, Sabotage und Wirtschaftsspionage kosten die deutsche Wirtschaft jährlich mehr als 50 Milliarden Euro.

Der Marke Kreditech hat das verspätete Bekanntwerden des Vorfalls nicht gutgetan, von Medien und Datenschützern bezog das Start-up ein weiteres Mal Kritik. Aber das Unternehmen hat auch diese Krise überstanden. Heute steht das eingesammelte Investorengeld bei 125 Millionen Euro Eigen- und 190 Millionen Euro Fremdkapital. Die Mitarbeiterzahl ist auf gut 300 gestiegen. Und die Hamburger haben IT-Sicherheit zur Chefsache erklärt: Ein neu geschaffenes „Security Department“ unterstehe „mit höchster Wichtigkeit“ direkt dem Geschäftsführer.

 

 

Mehr Informationen zur Sicherheit in der digitalen Welt in unserem Whitepaper

Lösungen & Produkte

Sicherheit in der Industrie 4.0

Sichern Sie sich hier Ihr kostenloses Whitepaper zu: Sichere Identitäten, starke Verschlüsselung, starke Netzwerke.

Dateigröße: 691.47 KB

Format: PDF

Was wir tun

Eine Firewall für alle Fälle

Die Bundesdruckerei-Tochter genua schützt die sensiblen Daten vieler Unternehmen und Behörden. Einen effektiven Schutz vor Hackern bieten dabei spezielle Gateways. Zum Beispiel können sogenannte Zonenfirewalls eingesetzt werden, um bestimmte Teilbereiche eines Firmennetzwerks gegen unbefugte Zugriffe abzuschirmen. Maximalen Schutz vor externen Angriffen bieten sogenannte Datendioden wie die cyber-diode von genua. Sie erlauben Datentransfers nur in eine Richtung. Und stellen sicher, dass zwar Daten aus dem Unternehmensnetzwerk nach außen gesendet werden können, der umgekehrte Weg jedoch nicht möglich ist.

 

 

Cyberkriminalität

Cyber-Gefahren - drei akute Einfallstore in Ihr Unternehmen

Cyberkriminalität

Cyberkriminalität: deutsche Unternehmen beliebtes Ziel der Attacken

Erfahren Sie, vor welchen Cyber-Gefahren Sie Ihr Unternehmen schützen müssen.

Digitale Sicherheit

Für ein Quantum Sicherheit

Verschlüsselungstechnik: Warum „PQCRYPTO“ die alles knackenden Quantencomputer aushebeln soll