DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Social Engi­neering

CERT-Bund warnt vor CEO-Fraud: Was DsiN-Experten raten

Immer häu­figer ver­suchen Online­be­trüger, Mit­ar­beiter in Unter­nehmen mit gefälschten Mails im Namen vom Chef zu hohen Über­wei­sungen von Geschäfts­konten zu ver­leiten. Die Vor­fälle sind so stark ange­stiegen, dass sogar das Not­fallteam des Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) kürzlich Alarm schlug. Auch DsiN-Experten raten zu erhöhter Vor­sicht und geben Rat.

Für diese Form der sozialen Mani­pu­lation – soge­nanntes Social Engi­neering – werden die E-Mails des Unter­nehmens in Gestaltung und For­mu­lie­rungen so gut nach­ge­bildet, dass die Fäl­schung für Mit­ar­beiter auf den ersten Blick schwer zu erkennen ist. Ziel sind vor allem Unter­nehmen: von kleinen und mit­tel­stän­di­schen Unter­nehmen ange­fangen bis hin zum DAX-Konzern. Die Erfolgs­quote der Täter liegt dabei je nach Unter­neh­mens­größe bei bis zu 50 Prozent. Die Schäden gehen in die Mil­lionen. Wie ein solcher Angriff abläuft und sich erkennen lässt, beschreibt Dirk Kunze vom Lan­des­kri­mi­nalamt bereits 2017 aus­führlich im DsiN-Blog. Auch gibt er Tipps, wie Unter­nehmen sich schützen können und was im Ernstfall zu tun ist. Dass es ins­be­sondere kleine Unter­nehmen treffen kann, berichtet DsiN-Blog-Autor Bernd Bosch von der DATEV an einem Fall aus dem eigenen Umfeld. Um sich vor CEO-Fraud und anderen IT-Angriffen zu schützen, kommt den Chefs selbst, so Awa­­reness-Experte Reinhard Muth, eine besondere Ver­ant­wortung zu: Sie müssen Mit­ar­beiter regel­mäßig für Vor­fälle dieser Art sen­si­bi­li­sieren. Damit Awa­­reness-Maß­­nahmen auch ankommen, müssen sie, so Jen­nifer Zahl von der DATEV, lebendig und auf keinen Fall trocken ver­mittelt werden.

Auch eine neue Studie des WIK Wis­sen­schaft­liches Institut für Infra­struktur und Kom­mu­ni­ka­ti­ons­dienste zur aktu­ellen Lage der IT-Sicherheit in kleinen und mitt­leren Unter­nehmen (KMU) unter­mauert die die Rolle von Sicher­heits­be­wusstsein und rich­tigem Sicher­heits­ver­halten bei Mit­ar­beitern für den IT-Schutz. Danach sei der Faktor Mensch die Haupt­ur­sache für IT-Sicher­heits­­­pro­bleme in Betrieben. Eine Kurz­fassung der reprä­sen­ta­tiven Befragung wurde in einem Workshop der Initiative „IT-Sicherheit in der Wirt­schaft” des Bun­des­mi­nis­te­riums für Wirt­schaft und Energie (BMWi) vor­ge­stellt.

Die wich­tigsten Regeln in Kürze:

  • Seien Sie bei unge­wöhn­lichen Zah­lungs­auf­for­de­rungen skep­tisch und prüfen Sie jede E-Mail kri­tisch auf Ihre Echtheit.
  • Kon­trol­lieren Sie die öffentlich ein­seh­baren Infor­ma­tionen ihres Unter­nehmens. Achten Sie auf Publi­ka­tionen durch Sie und Ihre Mit­ar­beiter.
  • Führen Sie Unter­schei­dungs­merkmale ein, mit denen Mit­ar­beiter echte Auto­ri­sie­rungen von gefälschten unter­scheiden können.
  • Bedenken Sie die Ein­führung von Regeln im Falle von Abwe­sen­heiten und schaffen Sie interne Kon­troll­me­cha­nismen.
  • Klären Sie Mit­ar­beiter an neur­al­gi­schen Stellen über die Gefahren von „CEO-Fraud“ und „Social Engi­neering“ auf.
  • Wenn es zu spät ist: Infor­mieren Sie Ihren Vor­ge­setzten, Ihre Bank, die IHK und: Erstatten Sie Anzeige!

Mehr im Leit­faden “Ver­hal­tens­regeln zum Social Engi­neering” von DsiN und DATEV.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Anita Möl­lering, DsiN

Anita Möl­lering leitet die Öffent­lich­keits­arbeit von Deutschland sicher im Netz e.V. und betreut in diesem Zusam­menhang auch den DsiN-Sicher­heitsblog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.