DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Warum es sinnvoll sein kann kri­tisch nach­zu­fragen, wenn sich der Chef meldet

Abzocke vom ver­meint­lichen Chef

Warum es sinnvoll sein kann kri­tisch nach­zu­fragen, wenn sich der Chef meldet

Eine Betrugs­ma­schine macht Kar­riere. Der ver­breitete Enkel­trick, bei dem ältere Men­schen um Ihre Rente gebracht werden indem man sich als Ver­wandter ausgibt, erlebt eine Auf­er­stehung. Betrüger geben sich als Chefs aus, um Geld von Unter­nehmen zu ergaunern.

Eine E-Mail vom angeb­lichen Chef mit der Auf­for­derung Geld für einen extrem wich­tigen und zeit­kri­ti­schen Geschäfts­ab­schluss auf ein Konto ins Ausland zu über­weisen – so funk­tio­niert kurz zusam­men­ge­fasst die „Chef-Masche” oder auch „CEO-Fraud” genannt. Das hierbei nicht nur große Unter­nehmen oder Kon­zerne im Mit­tel­punkt der Betrüger stehen, zeigt ein Warn­hinweis der Polizei Unter­franken. Denn in letzter Zeit wurden auch kleinere Firmen und sogar Ehren­amt­liche von Vereine in das Port­folio der Betrüger auf­ge­nommen.

Achtung ist hier geboten: Denn mit Zufall und ohne Hin­ter­grund­wissen erfolgen solche Angriffe nicht. Zuerst ver­schaffen sich die Täter Infor­ma­tionen über die internen Struk­turen des Unter­nehmens, um einen über­wei­sungs­be­rech­tigten Mit­ar­beiter aus­findig zu machen. Im Name des ver­meint­lichen Chefs erhält dieser dann per E-Mail einen „Befehl von oben” eine Über­weisung für eine geschäft­liche Trans­aktion durch­zu­führen. Natürlich hat dabei der Mit­ar­beiter Still­schweigen zu wahren und sämt­liche internen Kon­trollen zu igno­rieren. Die E-Mail vom ver­meint­lichen Chef kommt natürlich aus­ge­rechnet dann, wenn der wahre Chef im Urlaub ist. Dabei wird ent­weder das private E-Mail-Konto des Chefs gehackt oder eine E-Mail­adresse ver­wendet, die zum Ver­wechseln ähnlich ist. Zusätzlich wird noch Insi­der­wissen in die E-Mail ein­gebaut, die die Kri­mi­nellen über die sozialen Netz­werke erhalten. So wird z.B. zum Abschluss sonnige Grüße aus dem Golf­urlaub in Spanien gewünscht, weil der Chef auf Facebook die aktu­ellen Bilder dort bereit­ge­stellt hat.

Warum ist die Masche so gefährlich?

  • Tech­no­lo­gische Schutz­maß­nahmen vor Angriffen von außen bleiben in diesem Fall wir­kungslos. Denn die Lücke im System ist der Mit­ar­beiter.
  • Es erfolgt ein gezieltes Ansprechen der Person, die im Unter­nehmen Über­wei­sungen tätigen darf.
  • Den Betrügern gelingt es häufig eine Ver­trautheit her­zu­stellen. Hierzu werden bspw. Infor­ma­tionen aus Pres­se­mit­tei­lungen oder dem Website-Auf­­­tritt ver­wendet, um den internen Sprach­ge­brauch zu adap­tieren.
  • Das psy­cho­lo­gische Geschick der Betrüger ist beachtlich. Auf der einen Seite schmei­cheln sie Mit­ar­beitern, indem sie deren Ver­läss­lichkeit und Ver­trau­ens­wür­digkeit her­vor­heben. Auf der anderen Seite bauen Sie Druck auf, weil die Über­weisung sofort, ganz schnell und ganz geheim zu erfolgen hat.
  • Durch tech­nische Ver­schleierung ist es schwer auf den ersten Blick die Fäl­schung der E-Mail zu erkennen. Denn die Betrüger fäl­schen im Regelfall die Adresse und tau­schen ein­zelne Buch­staben. So wird aus @firma.com schnell mal @firma.c0m.
  • Die gesamte Geschichte hört sich schlüssig an. So wird in der ver­meint­lichen E-Mail vom Chef darauf hin­ge­wiesen, dass auf­grund der hohen Ver­trau­lichkeit lediglich per E-Mail kom­mu­ni­ziert werden darf oder es wird eine Tele­fon­nummer von einer Anwalts­kanzlei ange­geben, die sich um die Trans­aktion kümmert. Nur befindet sich hinter der Tele­fon­nummer keine Anwalts­kanzlei, sondern die Betrüger selber.

Wie kann man sich vor der Betrugs­masche schützen?

Ein per­fekter und hun­dert­pro­zen­tiger Schutz ist schwierig. Aber mit ein paar klaren Regeln und Hin­weisen kann ein Unter­nehmen es den Betrügern deutlich schwerer machen:

  • Achten Sie darauf, was das Unter­nehmen und die Mit­ar­beiter im Internet ver­öf­fent­lichen.
  • Für Abwe­sen­heiten sollte klare Abwe­sen­heits­re­ge­lungen und interne Kon­troll­me­cha­nismen vor­handen sein, die auch zwingend ein­ge­halten werden.
  • Infor­mieren Sie Mit­ar­beiter im Unter­nehmen über die neue Betrugs­masche.
  • Im Falle von unge­wöhn­lichen Zah­lungs­an­wei­sungen sollten vor Ver­an­lassung der Zahlung fol­gende Punkte beachtet werden:
    1. Über­prüfung der E-Mail auf Absen­der­adresse und kor­rekter Schreib­weise
    2. Veri­fi­zieren der Zah­lungs­auf­for­de­rungen durch Rückruf oder Rück­frage
    3. Kon­takt­auf­nahme mit dem Chef, egal was in der E-Mail steht
  • Bei Auf­fäl­lig­keiten oder Fragen wenden Sie sich an die Polizei oder an das zuständige Lan­des­kri­mi­nalamt

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.