Im folgenden Interview mit Christian Anton v. Banhans, dem Geschäftsführer der Multiconnect GmbH, wird erklärt, wie es zu internationalem Telefonbetrug kommt und was man dagegen machen kann:
Journalist: Ich habe von einer Augenlaserklinik in Sofia gehört, die normalerweise 2.000 € im Monat an Telefonkosten hat und dann an einem Montag ziemlich überrascht war, als sie plötzlich eine 97.000 € Rechnung hatten und dann wurde ihnen erklärt, dass ihre Telefonanlage gehackt wurde und dass da ein Schaden von 97.000 € entstanden ist. Jetzt würde mich interessieren, wie so etwas passiert. Werden da internationale Calls drüber geroutet? Sind da Hacker, die sich mit Telefon-Call-Anbietern zusammentun oder was ist da der Hintergrund? Wie funktioniert so was?
v. Banhans: Also erstens ist das leider ein häufiges Phänomen und diese Hackerangriffe kommen immer wieder in Wellen. Das ist eine besonders gemeine Art der Arbitrage, eigentlich sogar Diebstahl, weil es darauf basiert, dass Carrier sich untereinander dafür bezahlen, dass sie sich Gespräche zustellen. Das kann eine sehr lange Kette sein, also zum Beispiel, wenn man einen Anschluss von Kabel Deutschland hat und damit nach China telefoniert, kann es sein, dass Kabel Deutschland, also der Carrier, keine direkte Verbindung nach China hat und über einen anderen Anbieter wie die Telekom gehen muss, aber auch die haben vielleicht keine direkte Verbindung und gehen dann beispielsweise über ein indisches Unternehmen um den Call dann zu tätigen.
An jedem dieser Übergabepunkte, an denen das Gespräch übergeben wird, fallen Kosten an, die natürlich Schritt für Schritt teurer werden, damit jeder was daran verdient und diese Leistung erbringen kann. Jetzt ist es so, dass immer wieder Zonen neu dazukommen, die unglaublich teuer sind. Das sind zum Beispiel kleinere Mobilfunker in irgendwelchen afrikanischen Ländern, die neu auf der Zonenkarte dazukommen und plötzlich gibt es eine Destination, die 3 Euro pro Minute kostet. Der nächste Schritt ist, dass die Hacker sich mit den Anbietern zusammentun und etwas von den 3 Euro haben möchten. Dazu sind die natürlich bereit, weil sie ja nicht 3 Euro Kosten, sondern eher 0,1 Cent echte Kosten, für das Gespräch haben.
Deswegen sagen die gut, wenn du mir jetzt 100.000 Minuten schickst, dann gebe ich dir pro Minute 2,90€ Auszahlung. Entweder so- oder noch schlimmer: Einer dazwischen macht das. Also er tut nur so als würde er das Gespräch zustellen, weil dort eh nie jemand anruft, weil das eine neue Zone ist und der nimmt das Gespräch dann einfach entgegen. Da sitzt aber gar kein Mensch, der das Gespräch entgegennimmt, sondern da ist einfach nur eine Maschine, die abhebt und Musik spielt.
Dieser International Call Fraud kann passieren, wenn Telefonanlage und Carrier beide keine automatische Kostenkontrolle betreiben
Dann gibt es Hacker, die darauf spezialisiert sind Telefonanlagen zu kapern und wenn diese Telefonanlagen keine Kostenkontrolle eingebaut haben, beziehungsweise nicht sperren, sondern alles durchlassen was angerufen werden soll und gleichzeitig, und das ist jetzt der wichtige Punkt, ein Carrier angeschlossen ist, der da auch nicht aufpasst, dann passiert das.
Journalist: Bestohlen wird dann also die Firma, die die Telefonanlage hat, die ungeschützt war und die Kosten entstehen, weil die Provider zusammenarbeiten?
v. Banhans: Genau, das ist das, was es so schwierig macht so was zu unterbinden und die Zahlungsströme zu stoppen, weil der Betroffene natürlich eine Anzeige bei der Polizei machen wird und das nicht zahlen will, weil es Betrug ist, aber da muss man schnell sein, weil das Geld spätestens nach 30 Tagen bei jemandem ist, der es nicht zurück gibt.
Journalist: Da das eine Kette ist, die international quasi über mehrere Provider gereroutet wird, müsste man also innerhalb dieser 30 Tage erst mal herausfinden wo diese Punkte sind und die betreffenden Firmen ausfindig machen?
v. Banhans: Genau, es ist immer in unmittelbarem Interesse des Carriers, der das Geld nicht bekommt, den Nächsten in der Kette dazu zu drängen den darauffolgenden nicht auszuzahlen.
Journalist: Wir haben von diesem Fall in Sofia gehört, aber sie kennen da noch andere Fälle?
v. Banhans: Ja, da gab es einen Fall am ersten April-Wochenende, da gab es in Deutschland eine große Welle. Das waren meistens Firmenkunden, die auch eine entsprechende ungesicherte Internetleitung haben. Was in Deutschland gerne gemacht wird ist Betrug via Call-by-Call. Das kennt man noch von früher um billig mit einer Vorwahl irgendwohin zu telefonieren. Da wird ein Call ungeprüft nicht von deinem Vertragscarrier, sondern einem dritten Carrier abgewickelt, dem der Call geschickt wird. Das macht es ja noch schlimmer, weil das Vertragsverhältnis mit dem zu dem Zeitpunkt entsteht, in dem der Kunde sich entscheidet diese Call-By-Call Vorwahl zu wählen. Das heißt, wenn das ein Telefonanschluss ist, leitet die Telekom ungeprüft massenhaft Calls an den Drittanbieter weiter und dann ist der derjenige, der den Call wieder weiterleitet und Kosten über die Telekom berechnen kann.
Journalist: Das kommt in Wellen, weil es darauf spezialisierte Hacker und Hackergruppen gibt, die dann im Prinzip einfach ein Projekt abwickeln und an verschiedenen Stellen in Deutschland einen regelrechten Raubzug durchführen?
v. Banhans: Wellen deshalb, weil es immer wieder neue Sicherheitslücken gibt, die entdeckt werden. Sobald eine Lücke entdeckt wird, stürzen sich natürlich sofort alle darauf.
Die Angriffe passieren in Wellen, immer dann, wenn neue Sicherheitslücken entdeckt werden
Journalist: Sie haben im Vorgespräch mehrfach Asterisk erwähnt. Birgt dieses System ein höheres Risiko als andere Systeme?
v. Banhans: Ja, aber nicht, weil es ein schlechtes Produkt ist, sondern weil man jemanden braucht, der das einrichtet, dass da eben nichts passieren kann und weil man eine ordentliche Firewall braucht, die verhindert, dass da Anrufe gestartet werden. An sich ist das ein mächtiger Telefonserver, der sehr viel kann, wie zum Beispiel Home Office Arbeitsplätze über das Internet anbieten: Man ist zuhause ohne irgendeine Sicherheit mit dem Büroserver verbunden und kann so tun als wäre man im Office, was auf der anderen Seite aber auch eine Möglichkeit ist, wie ein Hacker reinkommen kann, der so tut als wäre er ein Telefon.
Da müssten Sicherheitsvorkehrungen getroffen werden, die schwierig sind und für die man Experten braucht um das gut zu machen. Da hat man aber nicht 100% Sicherheit, dass es keinen Bug gibt um diese zu umgehen. Jetzt kommen wir zu dem Punkt was diese Sicherheit ausmacht. Die besteht zum Einen darin, einen Carrier dahinter zu haben, der selbst schaut was passiert und alles Verdächtige einfach blockt und die zweite Variante ist, dass man zum Prinzip übergeht, dass manches nicht erlaubt und ausdrücklich verboten ist, weil kein normales Büro in alle 5.000 Zonen der Welt anrufen können muss. Es ist vollkommen in Ordnung, wenn man nur in die EU und die USA freischaltet. Da kann dann nichts passieren. Da kann kein Hacker, der das Ding übernimmt, nach Ghana anrufen.
Journalist: Ist dem Hersteller nicht bewusst, dass es da solche klaffenden Sicherheitslücken gibt oder wird das einfach totgeschwiegen?
v. Banhans: Nein, erst mal ist das ja ein Open Source Produkt, das heißt es entwickeln ganz viele Menschen daran, was auch wieder etwas sehr Gutes ist. Linux ist ja bekannt und auch Open Source und das funktioniert super. Der Punkt ist einfach der, dass keine Software perfekt ist und Sicherheitslücken nicht hinein programmiert werden, sondern einfach da sind. Das sind einfach Bugs wo sich irgendein Code anders verhält als geplant. Das ist nichts Absichtliches, das sind einfach Fehler, die Menschen passieren, die so etwas unglaublich Komplexes produzieren.
Journalist: Hat nicht eigentlich ein System wie eures gegenüber der Asterisk den Vorteil, dass eine fixe Mannschaft mit fixen Arbeitszeiten fix damit beschäftigt ist die Systeme zu pflegen, zu warten und weiterzuentwickeln? Open Source ist ja eigentlich immer per Definition ein ehrenamtliches Projekt und kann gar nicht in dieser Intensität weiterentwickelt werden, weil die ja auch von etwas, in dem Fall anderem, leben müssen?
v. Banhans: Jein, die Entwicklungs- und Userbase bei Asterisk ist sicher 10 Mal oder gar 100 Mal größer als unsere Mannschaft. Der Unterschied ist halt zum einen die Haftung. Wenn wir gehackt werden ist das unser Problem und nicht deines.
Multiconnect bietet eine vollständige Haftungsübernahme und ausgeklügelte Anti-Fraud-Maßnahmen
Das führt dazu, dass wir sehr ausgeklügelte Mechanismen haben. Wir machen uns eher wenig Sorgen, dass wir gehackt werden, weil wir Firewalls haben und das alles sehr aktuell halten, aber abgesehen davon ist unser Source Code auch nicht einfach irgendwo im Netz und kann nach Fehlerstellen durchsucht werden, was beim Asterisk natürlich geht. Selbst wenn man einen Asterisk verwenden und uns als Lieferanten nimmt, dann haben wir die Möglichkeit zu sehen ob Anomalien auftreten. Unser System vergleicht die ganze Zeit den abgewickelten Verkehr über die gesamte Plattform mit dem abgewickelten Verkehr in Vergleichsperioden und wenn da was auftaucht was nicht normal ist und Kosten produziert, die jeden Rahmen sprengen, wird automatisch gesperrt und ein Mensch alarmiert, damit dieser sich anschauen kann ob das gut oder schlecht ist.
Journalist: D.h. wenn man normalerweise an einem schwachen Tag 10 eingehende Anrufe und zu Spitzenzeiten 60 eingehende Anrufe habt, aber niemals 120 oder mehr, würde die Anlage dann ab da melden, dass da etwas nicht stimmt?
v. Banhans: Alle Geheimnisse kann ich jetzt natürlich nicht preisgeben, aber man kann getrost sagen, dass Anomalien verlässlich erkannt werden und dann Menschen alarmiert werden, die sich das anschauen. So kann ein Schaden von 5,10 oder 50 € eintreten, aber nicht von 100.000 €.
Journalist: Wie nennt man diese Art des Verbrechens eigentlich, respektive eure Lösung dafür?
v. Banhans: Wir nennen das Fraud Prevention und Fraud Detection.
Journalist: Und im Kontext von gehackten Telefonanlagen?
v. Banhans: Man nennt das International Telephone Fraud. Das ist ein Hackerangriff mit Betrugsabsicht, genaugenommen ist das Diebstahl.
Journalist: Herr v. Banhans, ich danke für das Gespräch.
v. Banhans: Gern.
—
Wenn Sie weitere Fragen zu diesem Thema haben, vielleicht bereits betroffen sind oder sich idealerweise absichern wollen bevor Ihrer Firma so etwas passiert, vereinbaren Sie doch eine kostenlose Beratung mit uns- wir zeigen ihnen gern die automatisierbaren, technischen Sicherungs-Möglichkeiten für ihr bestehendes System auf.
Sie erreichen uns telefonisch unter +49 (89) 44 288-000 oder über das Kontaktformular.