Joomla SEF URLs by Artio

HOME > MANAGEN > Cybercrime Teil 2: Human Hacking

Bildquelle: catavic/shutterstock.com

MANAGEN

Cybercrime Teil 2: Human Hacker

Warum Social Engineering für Unternehmen so gefährlich ist

Lesedauer: 5 Minuten | Erstellungsdatum: 11.07.2018

Drohen, schmeicheln, täuschen: Seit einiger Zeit finden auch in Deutschland Cyberattacken auf Unternehmen durch Social Engineering statt. Wie die Täter dabei vorgehen und wie Sie sich vor den raffinierten Angriffen schützen können, erfahren Sie in unserem Interview mit Dr. Boris Hemkemeier, Direktor für Customer Security bei der Commerzbank.

Herr Hemkemeier, warum ist Social Engineering für Unternehmen so gefährlich?

Bis heute denken die meisten Menschen bei Cyberangriffen an Hacker, die in Computersysteme eindringen, um an wertvolle Daten zu kommen, die sich zu Geld machen lassen. Aber tatsächlich ist die Zeit der Angriffe mit Schadsoftware auf das Onlinebanking heute eher selten. Fast alle relevanten Cyberattacken auf Kunden erfolgen inzwischen über Social Engineering, weil es viel einfacher geworden ist, den Menschen anzugreifen als die Technik. Und wenn es um viel Geld geht, ist gerade das Firmen- und Geschäftskundenumfeld besonders gefährdet. Hier sind viele verschiedene Banking-Produkte im Einsatz, auf die sich die Täter gar nicht erst einstellen wollen. Stattdessen machen sie sich an die Menschen in den Unternehmen heran, die dann Überweisungen vornehmen, ohne zu merken, dass sie betrogen worden sind. Für die Angreifer ist das einfach der erfolgreichere und schnellere Weg.

Dr. Boris Hemkemeier, Direktor für Customer Security bei der Commerzbank Bildquelle: Commerzbank AG

Dr. Boris Hemkemeier, Direktor für Customer Security bei der Commerzbank, Bildquelle: Commerzbank AG

Wie gehen die Angreifer vor?

Das Ziel ist die Manipulation von Menschen. Dazu bedienen sich die Täter psychologischer Tricks, indem sie Mitarbeiter durch Schmeicheleien, Täuschung oder erhöhten Druck dazu bringen, Dinge zu tun, die diese Menschen niemals tun wollten. Das funktioniert, weil die Täter in die Rolle des Chefs schlüpfen oder weil sie vorgeben, Servicemitarbeiter einer Bank oder eines IT-Dienstleisters zu sein, die Zugriff auf den Computer des Mitarbeiters benötigen.

Haben Sie ein typisches Beispiel aus der Praxis?

Besonders tückisch ist der Mandatsbetrug. Hier kann sich zum Beispiel ein „Lieferant“ melden. Per E-Mail teilt er dem Unternehmen mit, dass sich die Bankverbindung geändert hat, verbunden mit der Forderung, die zukünftigen Rechnungsbeträge auf das neue Konto zu überweisen. Die E-Mail ist gefälscht und sieht aus, als ob sie vom echten Lieferanten kommt. Das neue Zielkonto gehört natürlich den Tätern. Diese Art von Betrug fällt zudem erst auf, wenn der echte Lieferant seine ausstehenden Zahlungen anmahnt. Es hat solche Fälschungen auch auf Briefpapier im Layout des Lieferanten gegeben.

Dann natürlich der Chef-Betrug, auch als CEO-Fraud bekannt: Hier beauftragt vermeintlich der Chef einen Mitarbeiter per E-Mail mit einer größeren Überweisung, zum Beispiel im Rahmen einer Firmenübernahme. Garniert wird das Ganze mit der Bitte um Verschwiegenheit. Weitere Rückfragen seien nicht erforderlich. Damit die Sache ins Rollen kommt, soll der Mitarbeiter mit einer Kanzlei in Verbindung treten und ihr alle erforderlichen Unterlagen zukommen lassen. Natürlich ist der Chef ein Betrüger, die Kanzlei sein Helfer und das Geld im schlimmsten Fall für immer weg.

Sind kleine Firmen stärker gefährdet als große?

Die Unternehmensgröße spielt kaum eine Rolle. Es kommt vielmehr auf die Unternehmenskultur an. Besonders anfällig sind Unternehmen mit einer patriarchalischen Struktur, wo der Chef sagt, was getan wird, und sich keiner traut, Rückfragen zu stellen. Die Unternehmenskultur ist ein Schlüsselfaktor.


Gerade Xing oder LinkedIn sind
beliebte Einfallstore, weil sich
hier leicht die Daten von
Mitarbeitern ausspähen lassen,
die beispielsweise in den
Bereichen Finance bzw.
Rechnungswesen arbeiten und
zwei Hierarchieebenen unter
der Firmenspitze angesiedelt sind.

Wie sehen die ersten Warnzeichen aus?

Die Alarmglocken sollten angehen, wenn Unbekannte sich am Telefon durch das Unternehmen fragen, per E-Mail Verantwortliche für den Zahlungsverkehr suchen oder kalte Kontaktanfragen in sozialen Netzen stellen. Gerade Xing oder LinkedIn sind beliebte Einfallstore, weil sich hier leicht die Daten von Mitarbeitern ausspähen lassen, die beispielsweise in den Bereichen Finance bzw. Rechnungswesen arbeiten und zwei Hierarchieebenen unter der Firmenspitze angesiedelt sind. Die Kontaktdaten dieser Mitarbeiter sind besonders begehrt, weil hier der Chef-Betrug die größte Erfolgsquote hat. Interessant für Betrüger sind aber auch die Kontaktdaten von Mitarbeitern in der HR-Abteilung, weil hier kaum jemand einen Betrug vermutet, obwohl auch von dort aus eine Änderung der Stammdaten veranlasst werden kann, beispielsweise wenn ein vermeintlicher Mitarbeiter oder Vorstand per E-Mail die neue Bankverbindung für das Gehaltskonto durchgibt.

Vorsicht ist außerdem bei Anrufen von vermeintlichen Servicemitarbeitern einer Bank oder von Microsoft geboten, die eine Fernwartung des Computers durchführen wollen. Handelt es sich um Betrüger, wollen sie an Zugangsdaten zum Onlinebanking herankommen, was immer wieder gelingt, wenn die Opfer zu gutgläubig sind. Oder die Täter installieren auf dem Computer eine Fernwartungssoftware, mit der sie Zahlungen auslösen können.


Praxisleitfaden „Hackerziel Mitarbeiter“

Bei Social Engineering machen Täter aus Mitarbeitern eines Unternehmens unfreiwillige Komplizen beim Onlinebetrug. Solange Mitarbeiter und Führungskräfte unvorbereitet sind, helfen dagegen weder sichere Passwörter noch starke Firewalls. Dieser Praxisleitfaden zeigt, mit welchen Taktiken die Angreifer vorgehen, wie sich Unternehmer schützen können und was zu tun ist, wenn sie doch Opfer eines Angriffs geworden sind.

Dieses Angebot ist kostenfrei, wenn Sie der werblichen Nutzung Ihrer E-Mail Adresse zustimmen.

Wie kann ich mich als Unternehmer vor Social Engineering schützen?

Der beste Schutz ist eine offene Unternehmenskultur. Jeder muss angstfrei nachfragen können, wenn ihm etwas seltsam vorkommt. Natürlich gibt es auch konkrete Schutzmaßnahmen. So raten wir jedem Unternehmen dringend, den beleghaften Zahlungsverkehr zu sperren und komplett auf Onlinebanking oder Electronic-Banking-Produkte umzusteigen. Onlinebanking ist technisch sicher. Genau deshalb gibt es ja immer mehr Angriffe über Social Engineering. Dann sollten die Unternehmen ihre Prozesse prüfen und anpassen, also klären, welche Berechtigung zur Einzelunterschrift und welche Limits wirklich notwendig sind. Stammdatenveränderungen sollten nur noch nach telefonischer Rückfrage aus dem eigenen Outlook-Kontakt erlaubt sein. Unabhängig von Einzelvollmachten empfehle ich in jedem Fall das Vier-Augen-Prinzip. Auch Schulungen bieten einen guten Schutz. Die sollten aber schwerpunktmäßig in der Finanzabteilung und dort erfolgen, wo Stammdaten bearbeitet werden.

Was, wenn mein Unternehmen auf einen Betrug hereingefallen ist und Geld überwiesen worden ist?

Dann sollten Sie sofort Ihre Bank kontaktieren, hier kann es um wenige Minuten gehen. Die Frage, wie so etwas passieren konnte, kann man nachher klären. Wer sofort handelt, hat keine Garantie, aber eine sehr gute Chance, einen Großteil seines Geldes per Weisungsrückruf wiederzusehen.

Wie kann man als Bank solchen Betrug verhindern?

Zunächst einmal handelt es sich für die Bank um vollkommen korrekt autorisierte Transaktionen, denn der Kunde will ja überweisen. Selbstverständlich helfen wir unseren Kunden aber, wo wir können. So gleichen wir seit einiger Zeit den Zahlungsverkehr mit Betrugsmustern ab und sprechen unsere Kunden bei Treffern an. Selbst auf Rückfrage unsererseits bestehen viele Kunden zunächst darauf, dass es mit der Überweisung schon seine Richtigkeit habe, und entdecken den Betrug erst auf weitere Nachfrage.

Dann haben wir als größte exportorientierte Bank Deutschlands Kontakte zu Korrespondenzbanken, mit denen wir bei Betrugsfällen eng zusammenarbeiten und die uns dabei unterstützen, das Geld wiederzubeschaffen. Zudem helfen wir je nach Betrag, Zielland und Sachverhalt mit Empfehlungen für die weitere Vorgehensweise. Aber am Ende zählen Geschwindigkeit, gute Kontakte und auch Glück.

Übrigens sollten die Unternehmen selbst bei erfolglosen Betrugsversuchen ihre Bank kontaktieren. Der Grund ist, dass wir neben einigen anderen Banken daran arbeiten, kriminelle Zahlungsvorgänge zu unterbinden, bevor sie erfolgen.

Sollten die betroffenen Unternehmen Strafanzeige stellen?

Ja, wir raten immer dazu und sind bei der Suche nach sachkundigen Ansprechpartnern und der richtigen Behörde gerne behilflich.

Herr Hemkemeier, vielen Dank für das Gespräch.

Mehr zum Thema Cybercrime, darüber, welche Schadprogramme es überhaupt gibt und welche Schutzmaßnahmen sinnvoll sind, lesen Sie in unserem Artikel „Cybercrime, Teil 1: Schwachstelle IT“.


Ähnliche Artikel

MANAGEN
Biete Firma zum Selbständig machen

Hier finden Sie einen Nachfolger für Ihr Unternehmen

MANAGEN
Achtung, Haftung!

So sichern Sie sich als Unternehmer gegen den Verlust Ihres Privatvermögens ab

MANAGEN
Kreativkopf oder Zahlenmensch - Umfrage

Welcher Unternehmertyp sind Sie?

MANAGEN
Zweites Standbein in … Polen

Wachstum durch Internationalisierung


Meistgelesene Artikel

MANAGEN
Richtig mahnen

So holen Sie sich ihr Geld von säumigen Kunden

WACHSEN
Lieber auffallen als unsichtbar sein

Onlinemarketing für Einsteiger. Interview mit Dr. André Vieregge, SYZYGY

WACHSEN
Klein anfangen, groß rauskommen

Onlinemarketing: So finden Sie die richtigen KPIs für die Erfolgsmessung. Mit Premium Content.

MANAGEN
Runter mit den Betriebskosten