Direkt zum Inhalt
zurück
Internet-Betrug, Fallen und Fakes im Blick
icon Internetfalle melden

Falle melden

online seit 18.10.2021

Unternehmensbetrug: Diese Gefahren sollten Unternehmen und ihre MitarbeiterInnen kennen!

Internetbetrug betrifft nicht nur Privatpersonen, auch Unternehmen sind eine beliebte Zielscheibe für Cyberkriminelle. Angegriffen wird allerdings nicht nur die technische Infrastruktur von Unternehmen, vielmehr zielen Attacken hauptsächlich auf die MitarbeiterInnen ab. Im Rahmen des Projekts „CyberSec“ will sich die Watchlist Internet daher verstärkt dem Thema Unternehmensbetrug widmen, um Betriebe im Bereich der Internetsicherheit zu stärken.

Immer wieder berichten wir von Betrugsmaschen, die sich speziell an Unternehmen richten. Beliebt sind dabei Phishing-Mails, gefälschte Rechnungen, die Verbreitung von Schadsoftware oder Erpressungsversuche. Damit der Schaden für die Unternehmen möglichst gering bleibt, ist es zentral, dass die MitarbeiterInnen die Gefahren erkennen.

Welche Betrugsmaschen gibt es?

  • Phishing ist eines der zentralsten Risiken für Unternehmen. Dabei versuchen Cyber-Kriminelle an Daten von MitarbeiterInnen zu kommen. Meist wird dafür eine E-Mail oder auch eine SMS (Smishing) verschickt, manchmal rufen die Kriminellen auch an (Vishing). In den Nachrichten befinden sich Links oder Dateianhänge, in denen die Opfer persönliche Daten eingeben sollen.

  • Business E-Mail Compromise bzw. CEO-Fraud ist eine Betrugsmasche, bei der sich AngreiferInnen als MitarbeiterInnen oder Geschäftsführer eines Unternehmens ausgeben. Kriminellen verschaffen sich entweder Zugang zu einem E-Mail-Konto des Unternehmens oder ahmen die reguläre Firmenadresse nach, mit dem Ziel an Geld oder Daten zu kommen.

  • Ransomware ist eine spezielle Form von Schadsoftware, die Unternehmen häufig betrifft. Dabei schränkt die Schadsoftware den Zugriff auf unternehmensinterne Daten oder Systeme ein, um anschließend Lösegeld für diese Daten zu verlangen.

  • Fake-Shops gehören zu den „Klassikern“ des Internetbetrugs. Bereits jetzt gibt es Fake-B2B-Shops, die sich konkret an Unternehmen richten. So wurden im Zuge der Corona-Pandemie Fake-Shops eingerichtet, die beispielsweise mit günstigen Covid-19 Tests für Unternehmen lockten. Wir gehen davon aus, dass diese Form des Betrugs künftig zunehmen wird.

  • Cloaking ist eine Methode zur Suchmaschinenoptimierung (SEO), die immer öfter für betrügerische Zwecke verwendet wird. Dabei werden gehackte Webseiten missbraucht, um auf Fake-Shops weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen. 

Wie können sich Unternehmen und MitarbeiterInnen schützen?

  • Ist die Quelle vertrauenswürdig? Bevor Sie Aufforderungen, die Sie per Mail, SMS oder telefonisch erhalten, befolgen, sollten Sie sich fragen, von wem diese Aufforderung kommt. Stimmt die Absender-Adresse tatsächlich mit der echten Firmenadresse überein? Kennen Sie die Rufnummer? Wird die Telefonnummer unterdrückt? Wenn ja, ist das nicht etwas ungewöhnlich für den Geschäftsführer?

  • Was weiß der Absender über Sie und das Unternehmen? Cyberkriminelle können viele Informationen über Sie oder ein Unternehmen herausfinden, manchmal fehlen aber wichtige Informationen. Auch hier heißt es, einen Moment darüber nachzudenken, ob Sie überhaupt bestimmte Änderungen oder Daten preisgeben dürfen oder ob nicht noch zusätzliche Schritte oder Informationen dafür notwendig sind.

  • Macht die Aufforderung Sinn? Ihr Geschäftsführer braucht unbedingt jetzt mehrere Millionen Euro, da ein Deal abgeschlossen wurde? Aber gab es in letzter Zeit überhaupt Verhandlungen für so einen Millionen-Deal? Und würde Ihr Geschäftsführer den Deal nicht auf einem anderen Weg abschließen? Bevor Sie handeln, sollten Sie sich auch über die Sinnhaftigkeit der Aufforderung Gedanken machen. Dass Ihre Bank die Zugriffsdaten per Telefon will, ist zum Beispiel unüblich.

  • Nutzen Sie offizielle Wege! Geheime Daten sollten Sie nicht über das Telefon oder über einen Link in einem unseriösen E-Mail eingeben. Loggen Sie sich immer über offizielle Webseiten ein und nutzen Sie zur Überprüfung der Identität zusätzliche Kommunikationswege!

  • Lassen Sie sich nicht drängen! Wird betont, wie dringend eine Angelegenheit sei, sollten Sie besonders vorsichtig sein. Mit dieser Methode versuchen die Kriminellen auf ein rasches Handeln zu drängen, ohne dass die Opfer über die Forderung nachdenken können. Erklären Sie, dass Sie mehr Zeit benötigen und mit Ihrem Vorgesetzten darüber reden müssen.

Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die MitarbeiterInnen. Mit diesen Informationen wird versucht die MitarbeiterInnen so zu täuschen, dass sie vertrauliche Informationen oder Daten preisgeben, Überweisungen tätigen oder den Kriminellen unternehmensinterne Zugriffe gewähren.

nach oben

Unterstützt von:

Gehe zu Sozialministerium
Gehe zum Bundesministerium für Inneres
Gehe zum Bundesministerium für Finanzen
Gehe zur Arbeiterkammer
Gehe zur netidee
Gehe zu willhaben
Gehe zum ÖIAT
Gehe zur Internet Ombudsstelle
Gehe zu saferinternet.at
Gehe zur Erste Bank Sparkasse
Gehe zur WKO
Gehe zur BAWAG
Link kopiert