Zum Seiteninhalt
News

Unternehmensbetrug: Diese Gefahren sollten Unternehmen und ihre MitarbeiterInnen kennen!

Gepostet am 18.10.2021 von Watchlist Internet

Internetbetrug betrifft nicht nur Privatpersonen, auch Unternehmen sind eine beliebte Zielscheibe für Cyberkriminelle. Angegriffen wird allerdings nicht nur die technische Infrastruktur von Unternehmen, vielmehr zielen Attacken hauptsächlich auf die MitarbeiterInnen ab. Im Rahmen des Projekts „CyberSec“ will sich die Watchlist Internet daher verstärkt dem Thema Unternehmensbetrug widmen, um Betriebe im Bereich der Internetsicherheit zu stärken.

Immer wieder berichten wir von Betrugsmaschen, die sich speziell an Unternehmen richten. Beliebt sind dabei Phishing-Mails, gefälschte Rechnungen, die Verbreitung von Schadsoftware oder Erpressungsversuche. Damit der Schaden für die Unternehmen möglichst gering bleibt, ist es zentral, dass die MitarbeiterInnen die Gefahren erkennen.

Was ist Unternehmensbetrug?

Wie bei den Betrugsmaschen, die auf KonsumentInnen und Privatpersonen abzielen, kann auch Unternehmensbetrug vieles bedeuten. Weitverbreitete Fallen sind zum Beispiel:

  • Phishing ist eines der zentralsten Risiken für Unternehmen. Dabei versuchen Cyber-Kriminelle an Daten von MitarbeiterInnen zu kommen. Meist wird dafür eine E-Mail oder auch eine SMS (Smishing) verschickt, manchmal rufen die Kriminellen auch an (Vishing). In den Nachrichten befinden sich Links oder Dateianhänge, in denen die Opfer persönliche Daten eingeben sollen.
  • Business E-Mail Compromise bzw. CEO-Fraud ist eine Betrugsmasche, bei der sich AngreiferInnen als MitarbeiterInnen oder Geschäftsführer eines Unternehmens ausgeben. Kriminellen verschaffen sich entweder Zugang zu einem E-Mail-Konto des Unternehmens oder ahmen die reguläre Firmenadresse nach, mit dem Ziel an Geld oder Daten zu kommen.
  • Ransomware ist eine spezielle Form von Schadsoftware, die Unternehmen häufig betrifft. Dabei schränkt die Schadsoftware den Zugriff auf unternehmensinterne Daten oder Systeme ein, um anschließend Lösegeld für diese Daten zu verlangen.
  • Fake-Shops gehören zu den „Klassikern“ des Internetbetrugs. Bereits jetzt gibt es Fake-B2B-Shops, die sich konkret an Unternehmen richten. So wurden im Zuge der Corona-Pandemie Fake-Shops eingerichtet, die beispielsweise mit günstigen Covid-19 Tests für Unternehmen lockten. Wir gehen davon aus, dass diese Form des Betrugs künftig zunehmen wird.
  • Cloaking ist eine Methode zur Suchmaschinenoptimierung (SEO), die immer öfter für betrügerische Zwecke verwendet wird. Dabei werden gehackte Webseiten missbraucht, um auf Fake-Shops weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen. 

Wie können sich Unternehmen und MitarbeiterInnen schützen?

Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die MitarbeiterInnen. Mit diesen Informationen wird versucht die MitarbeiterInnen so zu täuschen, dass sie vertrauliche Informationen oder Daten preisgeben, Überweisungen tätigen oder den Kriminellen unternehmensinterne Zugriffe gewähren.

Die Stärkung der MitarbeiterInnen in puncto Cybersicherheit ist zentral, um das gesamte Unternehmen zu schützen. Folgende Tipps sollten daher beachtet werden:

  • Ist die Quelle vertrauenswürdig? Bevor Sie Aufforderungen, die Sie per Mail, SMS oder telefonisch erhalten, befolgen, sollten Sie sich fragen, von wem diese Aufforderung kommt. Stimmt die Absender-Adresse tatsächlich mit der echten Firmenadresse überein? Kennen Sie die Rufnummer? Wird die Telefonnummer unterdrückt? Wenn ja, ist das nicht etwas ungewöhnlich für den Geschäftsführer?
  • Was weiß der Absender über Sie und das Unternehmen? Cyberkriminelle können viele Informationen über Sie oder ein Unternehmen herausfinden, manchmal fehlen aber wichtige Informationen. Auch hier heißt es, einen Moment darüber nachzudenken, ob Sie überhaupt bestimmte Änderungen oder Daten preisgeben dürfen oder ob nicht noch zusätzliche Schritte oder Informationen dafür notwendig sind.
  • Macht die Aufforderung Sinn? Ihr Geschäftsführer braucht unbedingt jetzt mehrere Millionen Euro, da ein Deal abgeschlossen wurde? Aber gab es in letzter Zeit überhaupt Verhandlungen für so einen Millionen-Deal? Und würde Ihr Geschäftsführer den Deal nicht auf einem anderen Weg abschließen? Bevor Sie handeln, sollten Sie sich auch über die Sinnhaftigkeit der Aufforderung Gedanken machen. Dass Ihre Bank die Zugriffsdaten per Telefon will, ist zum Beispiel unüblich.
  • Nutzen Sie offizielle Wege! Geheime Daten sollten Sie nicht über das Telefon oder über einen Link in einem unseriösen E-Mail eingeben. Loggen Sie sich immer über offizielle Webseiten ein und nutzen Sie zur Überprüfung der Identität zusätzliche Kommunikationswege!
  • Lassen Sie sich nicht drängen! Wird betont, wie dringend eine Angelegenheit sei, sollten Sie besonders vorsichtig sein. Mit dieser Methode versuchen die Kriminellen auf ein rasches Handeln zu drängen, ohne dass die Opfer über die Forderung nachdenken können. Erklären Sie, dass Sie mehr Zeit benötigen und mit Ihrem Vorgesetzten darüber reden müssen.

Was will das Projekt CyberSec?

Diese Tipps helfen dabei, das Unternehmen zu schützen. Wichtig ist jedoch eine fortlaufende Schulung der MitarbeiterInnen, da sich auch die Maschen der Kriminellen fortlaufend ändern und komplexer werden. Die Watchlist Internet will ihren Teil dazu beitragen und startet daher das Projekt „CyberSec“, das sich an kleine und mittlere Unternehmen (KMU) richtet.

Im Rahmen des Projekts wollen wir die Watchlist Internet für KMU weiterentwickeln und maßgeschneiderte Schwerpunkte setzen sowie eine Meldestelle und einen Informationsfeed für KMU-relevante Betrugsfallen einrichten.

Zusätzlich werden Tools und Methoden entwickelt, um die Unternehmen und die MitarbeiterInnen im Bereich der Cybersicherheit langfristig zu stärken. So soll ein funktionaler Prototyp eines „Cybercrime-Simulators“ entwickelt werden.

 

Wie können Sie helfen?

Diese Entwicklungen wollen wir in enger Zusammenarbeit mit österreichischen KMU umsetzen. Damit sich sowohl der „Cybercrime Simulator“ als auch die Watchlist Internet an die Bedürfnisse der KMU richtet, ist ein entsprechender Austausch notwendig. Daher freuen wir uns, wenn Sie uns über kontaktwatchlist-internetat kontaktieren und für ein Gespräch zu Ihren Erfahrungen und Wünschen in diesem Bereich zur Verfügung stehen.

Unterstützt von:

Ein Projekt der:

Internet Ombudsmann