Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Social Engineering
CERT-Bund warnt vor CEO-Fraud: Was DsiN-Experten raten
Immer häufiger versuchen Onlinebetrüger, Mitarbeiter in Unternehmen mit gefälschten Mails im Namen vom Chef zu hohen Überweisungen von Geschäftskonten zu verleiten. Die Vorfälle sind so stark angestiegen, dass sogar das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich Alarm schlug. Auch DsiN-Experten raten zu erhöhter Vorsicht und geben Rat.
Für diese Form der sozialen Manipulation – sogenanntes Social Engineering – werden die E-Mails des Unternehmens in Gestaltung und Formulierungen so gut nachgebildet, dass die Fälschung für Mitarbeiter auf den ersten Blick schwer zu erkennen ist. Ziel sind vor allem Unternehmen: von kleinen und mittelständischen Unternehmen angefangen bis hin zum DAX-Konzern. Die Erfolgsquote der Täter liegt dabei je nach Unternehmensgröße bei bis zu 50 Prozent. Die Schäden gehen in die Millionen. Wie ein solcher Angriff abläuft und sich erkennen lässt, beschreibt Dirk Kunze vom Landeskriminalamt bereits 2017 ausführlich im DsiN-Blog. Auch gibt er Tipps, wie Unternehmen sich schützen können und was im Ernstfall zu tun ist. Dass es insbesondere kleine Unternehmen treffen kann, berichtet DsiN-Blog-Autor Bernd Bosch von der DATEV an einem Fall aus dem eigenen Umfeld. Um sich vor CEO-Fraud und anderen IT-Angriffen zu schützen, kommt den Chefs selbst, so Awareness-Experte Reinhard Muth, eine besondere Verantwortung zu: Sie müssen Mitarbeiter regelmäßig für Vorfälle dieser Art sensibilisieren. Damit Awareness-Maßnahmen auch ankommen, müssen sie, so Jennifer Zahl von der DATEV, lebendig und auf keinen Fall trocken vermittelt werden.
Auch eine neue Studie des WIK Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste zur aktuellen Lage der IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) untermauert die die Rolle von Sicherheitsbewusstsein und richtigem Sicherheitsverhalten bei Mitarbeitern für den IT-Schutz. Danach sei der Faktor Mensch die Hauptursache für IT-Sicherheitsprobleme in Betrieben. Eine Kurzfassung der repräsentativen Befragung wurde in einem Workshop der Initiative „IT-Sicherheit in der Wirtschaft” des Bundesministeriums für Wirtschaft und Energie (BMWi) vorgestellt.
Die wichtigsten Regeln in Kürze:
- Seien Sie bei ungewöhnlichen Zahlungsaufforderungen skeptisch und prüfen Sie jede E-Mail kritisch auf Ihre Echtheit.
- Kontrollieren Sie die öffentlich einsehbaren Informationen ihres Unternehmens. Achten Sie auf Publikationen durch Sie und Ihre Mitarbeiter.
- Führen Sie Unterscheidungsmerkmale ein, mit denen Mitarbeiter echte Autorisierungen von gefälschten unterscheiden können.
- Bedenken Sie die Einführung von Regeln im Falle von Abwesenheiten und schaffen Sie interne Kontrollmechanismen.
- Klären Sie Mitarbeiter an neuralgischen Stellen über die Gefahren von „CEO-Fraud“ und „Social Engineering“ auf.
- Wenn es zu spät ist: Informieren Sie Ihren Vorgesetzten, Ihre Bank, die IHK und: Erstatten Sie Anzeige!
Mehr im Leitfaden “Verhaltensregeln zum Social Engineering” von DsiN und DATEV.
Anita Möllering leitet die Öffentlichkeitsarbeit von Deutschland sicher im Netz e.V. und betreut in diesem Zusammenhang auch den DsiN-Sicherheitsblog.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare