Nach einem Bericht der NCSC, der nationalen britischen Organisation für Cybersicherheit, sind Sportverbände und -Vereine im gesamten Vereinigten Königreich dazu aufgefordert ihre digitalen Sicherheitsmaßnahmen zu verbessern. Offenbar kam es zu einer Reihe von Cyberangriffen auf Vereine, unter anderem wurde versucht Zahlungen aus Transferverhandlungen in dunkle Kanäle umzuleiten.
In seinem ersten Bericht zur Cyber-Bedrohungslage für Sportorganisationen hat das britische National Cyber Security Centre (NCSC) den Betrug per sogenanntem Business Email Compromise (BEC) als Hauptbedrohung für Sportorganisationen bezeichnet. Der finanzielle Gewinn stellt dabei die Hauptmotivation für BEC-Angreifer dar. Kein Wunder, denn die britische Sportbranche stellt mit Ihrem Umsatz von umgerechnet 40,5 Milliarden Euro ein lukratives Ziel dar.
Angriffsvektor „Business email compromise“
Als Beispiel nannte die NCSC einen Angriff auf das E-Mail-Konto eines Geschäftsführers eines Premier League-Clubs. Dabei versuchten sich die Angreifer in Transferverhandlungen im Wert von ca. 1,1 Millionen Euro (1 Mio. britische Pfund) einzuklinken und den Geldbetrag auf ein eigenes Konto umzuleiten. Der Geschäftsführer wurde dabei Opfer eines Spear-Phishing-Angriffs: Mit einer böswilligen E-Mail wurde er zu einer gefälschten Office365-Anmeldeseite geleitet und gab dort unabsichtlich seine persönlichen Anmeldeinformationen preis.
„Die Angreifer nahmen die Identität des Geschäftsführers an und kommunizierten mit einem europäischen Club. Gleichzeitig erstellten sie ein falsches E-Mail-Konto und gaben sich gegenüber dem angegriffenen Geschäftsführer als der europäische Club aus “, heißt es in dem Bericht. Zum Glück für den Verein verhinderte eine beteiligte Bank in letzter Minute den geplanten Betrug. Dieser Angriff hat Ähnlichkeit zu einem Betrugsfall mit einem Schaden von ca. 1,9 Millionen Euro, dessen Opfer der Lazio Rom angeblich geworden ist.
Spiele durch Ransomware gefährdet
Die NCSC berichtete außerdem von einem Ransomware-Angriff auf alle Clients und mehrere Server eines englischen Football League-Clubs. Der Angriff verschlüsselte nicht nur die Maschinen, sondern machte auch die Überwachungskameras und Drehkreuze unbrauchbar, was fast zu einer Absage des Spiels führte. Das Team weigerte sich das Lösegeld in Höhe von 400 Bitcoin (heute ca. 3,4 Millionen Euro) zu zahlen, erlitt jedoch Verluste in Höhe von mehreren hunderttausend Euro.
VERWANDTER ARTIKEL: Expertenrat zum Umgang mit Ransomware
Bei der anschließenden Überprüfung der Systeme stellte das Team fest, dass die Sicherheitsmaßnahmen nicht ausreichend waren, kein Notfallplan existierte und allgemein nicht genügend in die Cyber-Sicherheitsinfrastruktur investiert worden war. Regelmäßiges Patchen, Systemupdates und Backups sind Standardmaßnahmen, die Unternehmen umsetzen sollten. Weitere Ratschläge zum Schutz vor Ransomware finden Sie in diesem Whitepaper.
In einem anderen, vom NCSC vorgestellten Fall wollte ein Mitarbeiter einer britischen Rennbahn ein Gerät zur Bodenpflege bei eBay kaufen und einigte sich mit dem Verkäufer schließlich auf einen Kaufpreis von 15.000 britischen Pfund (etwa 16.500 Euro USD) für den Artikel. "Zu diesem Zeitpunkt schickte der Verkäufer dem Mitarbeiter Zahlungsdaten per eBay-Nachricht. Dadurch gelangte der Mitarbeiter jedoch auf eine gefälschte eBay-Seite. Als der Käufer seinen Fehler bemerkte, war die Zahlung schon geleistet und das Geld konnte nicht mehr zurückgefordert werden.
VERWANDTER ARTIKEL: eBay‑Betrug: Wie du dich vor gängigen Gaunereien schützt
Mit Sicherheitsvorfällen ist weiter zu rechnen
Laut dem NCSC-Bericht kommt es bei mindestens 70% der befragten Sportorganisationen jedes Jahr zu einem Cyber-Sicherheitsvorfall und in 3 von 10 Fällen entsteht den Vereinen dabei ein direkter finanzieller Schaden. Die durchschnittlichen Kosten lagen dabei bei mehr als 10.000 britischen Pfund (umgerechnet knapp 11.000 Euro), während der größte Einzelverlust unglaubliche 4 Millionen britische Pfund (ca. 4,38 Millionen Euro) betrug.
"Während Cybersicherheit in Pandemie-Zeiten im Sportsektor wahrscheinlich nicht an erster Stelle steht, zeigen unsere Ergebnisse, dass die Schäden durch Cyberkriminelle auf die Branche sehr real sind", sagte Paul Chichester, Leiter des NCSC. Er forderte Sportorganisationen dazu auf, ihre Cybersicherheit zu verbessern, um sich selbst und Millionen von Fans zu schützen. Zur Verringerung des Risikos von erfolgreichen BEC-Betrugsversuchen, sollten Unternehmen beispielsweise Multi-Faktor-Authentifizierung implementieren. Auch Sir Hugh Robertson, Vorsitzender des Nationalen Olympischen Komitees, erkannte die Ergebnisse des Berichts an und sieht ihn als ersten Schritt zur Verbesserung der Cybersicherheit.