So schützen Sie sich und Ihr Unternehmen vor Betrug!
Internetbetrug betrifft nicht nur Privatpersonen, auch Unternehmen sind eine beliebte Zielscheibe. Cyberkriminelle fokussieren dabei oftmals den Faktor Mensch und versuchen Mitarbeiter:innen zu manipulieren, damit diese mit Geld, geheimen Daten oder sensiblen Informationen rausrücken. Wir zeigen Ihnen, wie Sie sich und Ihr Unternehmen vor gängigen Betrugsmaschen schützen.
Meist beginnt es mit irgendeiner Art von Nachricht. Oft ist es eine E-Mail, manchmal eine SMS oder sogar ein Anruf - mit dem Kriminelle versuchen einem Unternehmen zu schaden. Doch auch technische Sicherheitslücken oder Daten-Leaks können ein Grund für einen erfolgreichen Cyber-Angriff sein.
Um das eigene Unternehmen zu schützen, müssen Mitarbeiter:innen wissen, wie sie Internetbetrug und Cyber-Angriffe erkennen können. Dabei gilt es folgende Grundregeln zu beachten.
Absender:in überprüfen
Bevor Links angeklickt, Dateianhänge geöffnet oder geheime Informationen preisgegeben werden, sollten Nachrichten überprüft werden. Folgende Fragen können dabei helfen:
-
Wer steckt hinter der Nachricht?
-
Kennen Sie die Person oder das Unternehmen?
-
Stimmt die Absenderadresse oder die Telefonnummer?
-
Wird die Telefonnummer unterdrückt?
Stimmen Absenderadresse oder Rufnummern, muss das leider nicht immer bedeuten, dass die Nachricht vertrauenswürdig ist.
Sinnhaftigkeit hinterfragen
Meist gehen betrügerische Nachrichten mit einer Aufforderung einher (Datenauskunft, Geldforderung, Öffnen eines Anhangs etc.). Hier gilt es kurz innezuhalten und zu überlegen ob die Forderung überhaupt Sinn ergibt:
-
Stimmen die gemachten Behauptungen?
-
Dürfen Sie die geforderten Daten überhaupt per Mail oder am Telefon preisgeben?
-
Muss für eine Überweisung nicht noch ein zusätzlicher Schritt erfolgen?
-
Ist es üblich, dass das Gegenüber bestimmte Informationen per E-Mail oder Anruf fordert?
Wie Sie betrügerische Nachrichten erkennen können, erklären wir ausführlich im Artikel So schützen Sie sich vor Phishing-Versuchen.
Regeln zur Passwortsicherheit einhalten
Kennen Kriminelle Passwörter, können diese damit an geheime Informationen genauso wie an Geld kommen – auch Identitätsmissbrauch ist durch das Knacken eines Passworts möglich. Das betifft Privatpersonen genauso wie Unternehmen. Die Belegschaft sollte daher sowohl im privaten als auch im beruflichen Umfeld auf Passwortsicherheit achten:
-
Für jedes Konto nur ein Passwort verwenden
-
Lange Passwörter wählen
-
Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
-
Passwort-Manager und Zwei-Faktor-Authentifizierung nutzen
-
Keine persönlichen Informationen in einem Passwort verstecken
Wir haben für Sie noch mehr Tipps zur Passwortsicherheit zusammengefasst.
Technischen Schutz nicht vergessen
Damit schädliche Programme erst gar nicht installiert werden können und auch Sicherheitslücken im Betriebssystem oder in installierten Programmen kein Einfallstor für Cyber-Kriminelle bieten, muss die technische Ebene mitbedacht werden:
-
Das eigene Gerät und die installierten Programme regelmäßig aktualisieren. Nur so werden die jeweils aktuellen Patches mitinstalliert und bekannte Sicherheitslücken geschlossen.
-
Anti-Viren-Programme erkennen Angriffsmuster und warnen vor Schadsoftware. Gegebenenfalls entfernen sie das gefährliche Programm.
-
Durch das Anlegen von umfangreichen Backups können Daten, die bei einem Cyber-Angriff verloren gingen, wiederhergestellt werden.
Sicherheitskritische Unternehmensabläufe definieren und kommunizieren
Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die Mitarbeiter:innen. Damit versuchen die Kriminellen zu manipulieren. Gibt es jedoch klare, interne Richtlinien, wird es für Kriminelle schwieriger.
Umgekehrt profitieren die Angreifer:innen, wenn die Belegschaft Unternehmensabläufe nicht kennt: Weiß jemand zum Beispiel nicht, wie Zahlungen im Unternehmen freigegeben und durchgeführt werden, kann es leichter passieren, dass Geld in den Händen von Kriminellen landen. Daher müssen sicherheitskritische Abläufe klar definiert und kommuniziert werden.
Um Cyber-Kriminellen nicht ausgeliefert zu sein, ist es zentral, deren Tricks zu kennen. Das sind häufige Maschen, die vor allem Unternehmen betreffen:
-
Spear-Phishing: Phishing ist die weitverbreitetste Betrugsart. Kriminelle versenden dabei Nachrichten (meist im Namen eines Unternehmens) und erfinden Vorwände, damit Opfer mit Ihren Daten rausrücken. Während normale Phishing-Nachrichten willkürlich versendet werden, handelt es sich beim Spear-Phishing, um gezielte Angriffe. Diese Art des Phishings ist glaubwürdiger und somit gefährlicher.
-
Business E-Mail Compromise bzw. CEO-Fraud: Angreifer:innen geben sich als Geschäftsführung oder Mitarbeiter:innen des gleichen Unternehmens aus. Dabei verschaffen Sie sich entweder Zugang zum jeweiligen E-Mail-Konto oder ahmen die reguläre E-Mail-Adresse nach. Meist fordern die Kriminellen hohe Geldbeträge - wie zum Beispiel bei diesen Nachrichten, in denen eine vermeintliche Vereinsvorsitzende um das Begleichen einer Rechnung bittet.
-
Ransomware: Es gibt verschieden Arten von Schadsoftware. Unternehmen sind oftmals mit Ransomware (oder auch Verschlüsselungstrojaner/Erpressungstrojaner) konfrontiert. Diese Art von Schadsoftware sorgt dafür, dass das infizierte Gerät, bestimmte Daten oder sogar das gesamte Unternehmensnetzwerk verschlüsselt werden. Die Angreifer:innen fordern Lösegeld (auf engl. „ransom“), im Gegenzug würden sie die Verschlüsselung aufheben.
-
Gefälschte Rechnungen: Immer wieder versuchen Kriminelle mit gefälschten Rechnungen an das Geld Ihre Opfer zu bekommen. Unternehmenerhalten beispielsweise Nachrichten im Namen von Wirtschaftsdiensten, Branchenverzeichnissen oder Domainregistraren, in denen fälschlicherweise behauptet wird, dass eine Rechnung offen sei.
-
Fake-Shops: Es gibt zahlreiche Fake-Shops im Internet, manche davon richten sich als B2B-Shops gezielt an Unternehmen. So wurden im Zuge der Corona-Pandemie Fake-Shops erstellt, die mit günstigen Covid-19 Tests für Unternehmen lockten.
-
Bestellbetrug bzw. „Fake Customer Trick“: Kriminelle bieten aber nicht nur selbst Produkte an, sondern geben sich als Großkund:innen aus und bestellen zahlreiche Produkte. Unternehmen die liefern, erhalten jedoch niemals das Geld. Wie diese Masche genau funktioniert, erklären wir hier am Beispiel von Fake-Bestellungen im Namen von ATOS.
-
Cloaking: Beim Cloaking missbrauchen Kriminelle gehackte Webseiten, um auf Fake-Shops oder andere betrügerische Angebote weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen. Der Schaden ist dennoch nicht zu unterschätzen, da die Unternehmenswebseiten oftmals nicht mehr über gängige Suchmaschinen zu finden sind.