Cyber-gestützter Frachtdiebstahl: Wie die Methoden der Cyberkriminellen ganze Lkw-Ladungen verschwinden lassen

Zusammenfassung

Das aus der Ransomware-Welt bekannte Vorgehen — gestohlene Zugangsdaten, kompromittierte E-Mail-Konten, Aufklärung des Ziels — wird zunehmend dazu genutzt, um ganze Lkw-Ladungen zu stehlen. Darauf weist Ben Wilkens, Director of Cybersecurity bei der National Motor Freight Traffic Association (NMFTA), hin. Statt eines bewaffneten Überfalls steht am Anfang dieser Taten häufig eine erfolgreiche Phishing-Mail, die zu einer betrügerischen Abholung führt: Die Ware landet nicht beim rechtmäßigen Empfänger, sondern in einem von Kriminellen kontrollierten Lager und taucht später auf dem Schwarzmarkt wieder auf. Gestohlen wird praktisch alles — von Flaschenwasser, Eiern und Krabbenfleisch über Energydrinks, Lego und Sneaker bis zu Arzneimitteln und Pistazien. Laut Branchenschätzungen hat die Mehrheit der Frachtkriminalität in den USA inzwischen eine cyber-gestützte Komponente. Für eine Sicherheitsgemeinschaft, die Frachtdiebstahl bislang als Problem der physischen Sicherheit verstand, bedeutet das einen Perspektivwechsel. Die Täter sind hochprofessionell; viele gehören organisierten Kriminellengruppen an, die vom Ausland aus operieren. Ihre Techniken sind für jeden, der schon einmal an der Aufarbeitung klassischer Cyberangriffe beteiligt war, sofort wiederzuerkennen.

Wilkens stellt den beiden Phänomenen Zahlen gegenüber: Für 2025 meldete Verisk CargoNet rund 725 Millionen US-Dollar Schäden durch Frachtkriminalität in Nordamerika. Das Internet Crime Complaint Center (IC3) des FBI bezifferte die Cyberkriminalitätsschäden im selben Zeitraum auf etwa 21 Milliarden US-Dollar. Beide Werte erfassen jeweils nur die gemeldeten Verluste — gerade kleinere private Unternehmen zeigen weder gestohlene Fracht noch Cyberangriffe häufig an.

Der typische Ablauf beginnt wie viele andere Cyberstraftaten mit der Aufklärung. Öffentlich zugängliche Quellen werden ausgewertet: USDOT-Nummern, Registereinträge der Federal Motor Carrier Safety Administration (FMCSA), MC-Nummern von Frachtführern, Versicherungsdaten und Beschäftigte. Anschließend gehen Phishing-Mails an Mitarbeiter in Disposition, Kundenservice oder Buchhaltung — also an jene mit Zugang zu sensiblen Informationen. Zugangsdaten werden gestohlen, E-Mail-Konten kompromittiert.

An diesem Punkt trennen sich die beiden Vorgehensweisen. Statt mit den erbeuteten Zugangsdaten in ein Firmensystem vorzudringen und Ransomware auszubringen, nutzen die Täter das gekaperte E-Mail-Konto, um Versandbenachrichtigungen, neue Frachtangebote und Frachtbriefe laufender Sendungen mitzulesen. Aus dem vertrauenswürdigen Konto heraus schalten sie sich in die Kommunikation ein und nehmen subtile Änderungen vor — eine angepasste Palettenzahl hier, ein geänderter Zielort dort —, um eine legitime Ladung an einen von ihnen kontrollierten Ort umzuleiten.

Alternativ registrieren sie bei der FMCSA einen neuen, betrügerischen Frachtführer und verwenden dafür gestohlene, aber gültige Identifikationsdaten einer echten Flotte. Unter dieser falschen Identität buchen sie reale Ladungen über reale Frachtbörsen. Abgeholt werden diese oft von professionellen Lkw-Fahrern, die nichts ahnen und glauben, für legitime Auftraggeber zu fahren.

Im kriminellen Lager wird die Ware sofort zerlegt, auf andere Lkw umgeladen — mit weiteren gefälschten Papieren — und unmittelbar zurück in die Lieferkette geschleust. Viele der so gestohlenen Konsumgüter sind innerhalb von Stunden verkauft und wegen ihrer begrenzten Haltbarkeit binnen Tagen verbraucht, was Ermittlung und Rückgewinnung erheblich erschwert. Bis Versender, Makler oder Frachtführer den Vorgang durchschauen, ist die Ware fort und der betrügerische Frachtführer verschwunden. Eine einzige mit Arzneimitteln beladene Sattelzugmaschine kann einen Wert in Millionenhöhe haben, eine Ladung Pistazien mehrere Hunderttausend Dollar.

Das Abwehr-Repertoire ist laut Wilkens vertraut: phishing-resistente Mehr-Faktor-Authentifizierung, Verifizierung über einen zweiten Kanal vor kritischen Änderungen an Bank-, Routing- oder Versanddaten, striktes Lieferantenmanagement und E-Mail-Sicherheit. Nichts davon sei neu — doch im Transportgewerbe seien solche Kontrollen unterversorgt, besonders bei kleinen und mittleren Flotten, die einen Großteil der Fracht bewegen. Ein Unternehmen mit hundert oder zweihundert Lkw erzeuge ebenso viel Cyberrisiko wie eine deutlich größere Dienstleistungsfirma, arbeite aber mit dünnen Margen und einem Bruchteil des Sicherheitsbudgets.

Die Angreifer hätten erkannt, dass der Sektor ein weiches Ziel mit hochwertigen, verderblichen und leicht zu waschenden Beutezügen sei und dass die rechtlichen Folgen geringer ausfallen als bei Angriffen auf den Finanzsektor oder ein Krankenhaus. Viele Flotten meldeten Angriffe zudem nicht aus Sorge um den Ruf. So funktionierten dieselben Maschen Woche für Woche.

Die NMFTA veröffentlichte ein Cybersecurity Cargo Crime Reduction Framework, das Sicherheitskontrollen konkreten Bedrohungsvektoren zuordnet und um sechs Kategorien aufgebaut ist: organisierte Kriminalität, Innentäter und Kollusion, Social Engineering und Täuschung, Identitätsdiebstahl und Betrug sowie technische Ausnutzung. Das Framework ist ebenso kostenlos verfügbar wie die Leitfadenreihe Road to Resilience. Diese passt etablierte Standards wie das NIST CSF und die CIS Controls für ein Publikum ohne eigene Sicherheitsexpertise an. Zudem betreibt die NMFTA den Freight Fraud Prevention Hub als zentrale Anlaufstelle für Frachtführer, Logistikdienstleister, Makler, Versender und Fahrer.

Cyber-gestützter Frachtdiebstahl: Wie die Methoden der Cyberkriminellen ganze Lkw-Ladungen verschwinden lassen

Ähnliche Artikel

Neueste Artikel