Social Engi­neering

CERT-Bund warnt vor CEO-Fraud: Was DsiN-Experten raten

Immer häu­figer ver­suchen Online­be­trüger, Mit­ar­beiter in Unter­nehmen mit gefälschten Mails im Namen vom Chef zu hohen Über­wei­sungen von Geschäfts­konten zu ver­leiten. Die Vor­fälle sind so stark ange­stiegen, dass sogar das Not­fallteam des Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) kürzlich Alarm schlug. Auch DsiN-Experten raten zu erhöhter Vor­sicht und geben Rat.

Für diese Form der sozialen Mani­pu­lation – soge­nanntes Social Engi­neering – werden die E‑Mails des Unter­nehmens in Gestaltung und For­mu­lie­rungen so gut nach­ge­bildet, dass die Fäl­schung für Mit­ar­beiter auf den ersten Blick schwer zu erkennen ist. Ziel sind vor allem Unter­nehmen: von kleinen und mit­tel­stän­di­schen Unter­nehmen ange­fangen bis hin zum DAX-Konzern. Die Erfolgs­quote der Täter liegt dabei je nach Unter­neh­mens­größe bei bis zu 50 Prozent. Die Schäden gehen in die Mil­lionen. Wie ein solcher Angriff abläuft und sich erkennen lässt, beschreibt Dirk Kunze vom Lan­des­kri­mi­nalamt bereits 2017 aus­führlich im DsiN-Blog. Auch gibt er Tipps, wie Unter­nehmen sich schützen können und was im Ernstfall zu tun ist. Dass es ins­be­sondere kleine Unter­nehmen treffen kann, berichtet DsiN-Blog-Autor Bernd Bosch von der DATEV an einem Fall aus dem eigenen Umfeld. Um sich vor CEO-Fraud und anderen IT-Angriffen zu schützen, kommt den Chefs selbst, so Awa­­reness-Experte Reinhard Muth, eine besondere Ver­ant­wortung zu: Sie müssen Mit­ar­beiter regel­mäßig für Vor­fälle dieser Art sen­si­bi­li­sieren. Damit Awa­­reness-Maß­­nahmen auch ankommen, müssen sie, so Jen­nifer Zahl von der DATEV, lebendig und auf keinen Fall trocken ver­mittelt werden.

Auch eine neue Studie des WIK Wis­sen­schaft­liches Institut für Infra­struktur und Kom­mu­ni­ka­ti­ons­dienste zur aktu­ellen Lage der IT-Sicherheit in kleinen und mitt­leren Unter­nehmen (KMU) unter­mauert die die Rolle von Sicher­heits­be­wusstsein und rich­tigem Sicher­heits­ver­halten bei Mit­ar­beitern für den IT-Schutz. Danach sei der Faktor Mensch die Haupt­ur­sache für IT-Sicher­heits­­­pro­­bleme in Betrieben. Eine Kurz­fassung der reprä­sen­ta­tiven Befragung wurde in einem Workshop der Initiative „IT-Sicherheit in der Wirt­schaft” des Bun­des­mi­nis­te­riums für Wirt­schaft und Energie (BMWi) vorgestellt.

Die wich­tigsten Regeln in Kürze:

• Seien Sie bei unge­wöhn­lichen Zah­lungs­auf­for­de­rungen skep­tisch und prüfen Sie jede E‑Mail kri­tisch auf Ihre Echtheit.
• Kon­trol­lieren Sie die öffentlich ein­seh­baren Infor­ma­tionen ihres Unter­nehmens. Achten Sie auf Publi­ka­tionen durch Sie und Ihre Mitarbeiter.
• Führen Sie Unter­schei­dungs­merkmale ein, mit denen Mit­ar­beiter echte Auto­ri­sie­rungen von gefälschten unter­scheiden können.
• Bedenken Sie die Ein­führung von Regeln im Falle von Abwe­sen­heiten und schaffen Sie interne Kontrollmechanismen.
• Klären Sie Mit­ar­beiter an neur­al­gi­schen Stellen über die Gefahren von „CEO-Fraud“ und „Social Engi­neering“ auf.
• Wenn es zu spät ist: Infor­mieren Sie Ihren Vor­ge­setzten, Ihre Bank, die IHK und: Erstatten Sie Anzeige!

Mehr im Leit­faden “Ver­hal­tens­regeln zum Social Engi­neering” von DsiN und DATEV.