Presse

Presse

Presseinformation Juni 2018

CEO-Fraud

Enkeltrick 4.0 oder: Dringende Anweisung vom Chef

Freitagnachmittag, kurz vor Feierabend: Die Buchhaltung erhält eine E-Mail vom Chef. Kurzfristig muss eine höhere Geldsumme auf ein Konto ins Ausland transferiert werden. Es ist absolute Vertraulichkeit zu gewährleisten. Schließlich soll nun das lange geplante, bislang geheim gehaltene Projekt erfolgreich zum Abschluss gebracht werden. Die Zeit drängt.

So lässt sich die übliche Vorgehensweise der CEO-Fraud genannten Betrugsmasche grob beschreiben. Eine Person im Unternehmen, die berechtigt ist, Zahlungen zu tätigen, erhält per E-Mail eine Mitteilung. Der Absender gibt sich als Vorgesetzter, Geschäftsführer oder Vorstand aus. Die Person wird angewiesen, eine höhere Summe schnell und ohne weitere Personen zu informieren, auf ein Konto ins Ausland zu überweisen. Die Absenderadresse scheint auf den ersten Blick zu stimmen. Auch das Design der Mail stimmt mit dem aus der Chefetage überein.

Undenkbar, dass die Zahlungen dann auch tatsächlich erfolgen? Nein, leider nicht. Eine offizielle Statistik liegt zwar nicht vor, aber das Bundeskriminalamt hat Ende 2017 Zahlen bekanntgegeben, wonach eine Tätergruppierung von 2014 an rund 800 Versuche mit dieser Masche unternommen hat. Etwa 100 davon waren erfolgreich, so dass dadurch 175 Millionen Euro erbeutet wurden. Und das ist sicher nur die Spitze des Eisbergs.

Der CEO-Fraud unterscheidet sich elementar von den bislang bekannten Betrugsversuchen per Mail, die allein schon aufgrund der Tippfehler, der zugrunde gelegten Geschichte oder auch der Absenderadresse leicht als Fälschung zu erkennen waren. Die aktuelle Masche ist dagegen erheblich professioneller und zeitaufwändiger. Die Ziele werden genauer beobachtet, die Unternehmenswebseite ausgewertet und Informationen über Mitarbeiter bspw. durch Social-Media-Kanäle gesammelt. Dazu wird ausgekundschaftet, wer die Berechtigung für finanzielle Transkationen hat. In einigen Fällen wird sogar telefonisch vorab Kontakt aufgenommen, um weitere Details zu verifizieren. Dabei werden zum Teil Techniken eingesetzt, die den Angerufenen eine bekannte Rufnummer vortäuschen. Mit diesem Wissen ausgestattet, wird dann ein maßgeschneiderter Angriff ausgeführt, der nicht so einfach zu durchschauen ist.

Enkeltrick 4.0

Eine wichtige Komponente: Es wird Druck auf den Mitarbeiter ausgeübt, der die Transaktion veranlassen soll. So wird dieser in der Mail zur Verschwiegenheit verpflichtet und ihm bei Verstoß Strafzahlungen angedroht. Gerade in Betrieben, in denen der Austausch mit der Chefebene nicht gepflegt wird, trifft diese Herangehensweise auf fruchtbaren Boden.

Auch der Zeitpunkt spielt eine Rolle: Am Freitag, kurz vor dem Wochenende, muss die Zahlung noch schnell erledigt werden. Wenige Mitarbeiter sind noch am Platz, um ggfs. eine Kontrollfunktion zu übernehmen, manch einer möchte nach einer langen Arbeitswoche schnell ins Wochenende; das Anliegen wird nur oberflächlich geprüft und nicht hinterfragt. Dazu werden die Mailangriffe unter Umständen noch durch Telefonate flankiert, bei denen sich der Anrufer als Rechtsanwalt des Vorgesetzten ausgibt. Zum Teil wird dies in der ersten Mail bereits angekündigt. Dadurch wird noch einmal im persönlichen Gespräch auf die Notwendigkeit eines zeitnahen Handelns verwiesen und versichert, dass alles seinen rechtmäßigen Gang geht. Der Enkeltrick 4.0 sozusagen. Der hohe Aufwand der seitens der Kriminellen betrieben wird, erklärt sich mit der Höhe der Summen, die durch ein solches Vorgehen erzielt werden können. Laut Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden so in Einzelfällen bereits Schäden in Millionenhöhe realisiert.

Was können Unternehmen dagegen tun?

Die erste, wirksame Maßnahme ist fast schon trivial: Bei den Mails nicht auf den Antwortbutton klicken. Denn die Absenderadressen sehen den originalen zum Teil sehr ähnlich und variieren nur um einen oder wenige Buchstaben. Das wird dann schnell überlesen. Also besser bei entsprechenden Anfragen die Mailadresse händisch eingeben oder per Telefon die entsprechenden Anweisungen verifizieren lassen. Grundsätzlich sollten bestimmte Kontrollmechanismen installiert sein, so dass nicht eine Person alleine die Zahlungsanweisungen tätigen kann. Das Vier-Augen-Prinzip ist leicht umzusetzen und kann weiterhelfen. Auch für vertrauliche Projekte sollten Regelungen getroffen werden. Die Mitarbeiter im Unternehmen – vor allem in der Buchhaltung - sollten grundsätzlich hinsichtlich dieser Variante des Betrugs sensibilisiert werden. Ist das Unternehmen dann ins Visier eines solchen Angreifers geraten, gilt es zügig die Polizei zu informieren und Anzeige zu erstatten. Ziel ist es, den Täter zu ermitteln und zu verurteilen. Denn: Der Internetzugang in den Justizvollzugsanstalten reicht für kriminelle Handlungen in der Regel nicht aus.

IHK NRW – Die Industrie- und Handelskammern in Nordrhein-Westfalen e.V. führt zum sechsten Mal den IT-Sicherheitstag NRW durch, der am 4. Dezember 2018 von 09.00 Uhr bis 17.00 Uhr in der Historischen Stadthalle Wuppertal stattfindet. Der Fachkongress zum Thema Daten-, Informations- und IT-Sicherheit bietet für den Mittelstand mit Impulsvorträgen, parallelen Basic- und Expertenforen sowie Seminaren und einer begleitenden Fachausstellung an einem Tag alles rund um sicherheitsrelevante Themen. Zudem haben Teilnehmer in einer „Hack-Academy“ die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und so ggf. Sicherheitslücken direkt zu erkennen. Die Teilnahme kostet 99 Euro inkl. MwSt. Alle weiteren Informationen und die Anmeldung gibt es im Netz unter: www.it-sicherheitstag-nrw.de

Autor: Jan Borkenstein, IHK zu Essen

Der Pressebericht steht als Download zur Verfügung.

 

____________________________________________________________________________________________

Presseinformation vom Dezember 2017

IT-Sicherheitstag 2017 der NRW-IHKs zeigt Trends und Lösungen für den Mittelstand auf

Bereits zum fünften Mal fand der IT-Sicherheitstag NRW unter der Schirmherrschaft der IHK NRW statt. Über 400 Teilnehmer kamen im Colosseum in Essen zusammen, um sich über Trends und Maßnahmen gegen Cyberkriminalität zu informieren und konkrete Tipps und Hilfestellung zum Thema Daten-, Informations- und IT-Sicherheit zu erhalten. Dr. Ralf Mittelstädt, Hauptgeschäftsführer der IHK NRW, stellte fest: „Durch die stetige Digitalisierung nimmt die aktuelle Bedrohung durch Cyberkriminelle immer mehr zu und die Angreifer werden dabei immer professioneller. Die Zeiten, in denen man virenverseuchte Mails an kryptischen Mailadressen, Tippfehlern oder frei gestaltetem Satzbau erkennen konnte, sind vorbei. Eine gut organisierte Informationssicherheit verringert die Anzahl von Schwachstellen und begrenzt so mögliche Schäden für die Unternehmen.“

Die sichere Digitalisierung der Wirtschaft zog sich wie ein roter Faden durch die Veranstaltung. „Das Thema IT-Sicherheit und firmeninternes Know-how rücken für die Betriebe immer mehr in den Fokus“, betont Dr. Gerald Püchel, Hauptgeschäftsführer der gastgebenden IHK zu Essen. „Fälle von elektronischer Erpressung, bei denen Unternehmensdaten durch Schadsoftware verschlüsselt werden und anschließend Geld gefordert wird, treten immer häufiger auf. Von der Sicherheit ihrer Daten hängt - insbesondere für kleine und mittelständische Unternehmen - nicht zuletzt deren Existenz ab.“

In den Impulstalks zu Beginn des Sicherheitstages wurde bereits deutlich, dass das Risiko eines Cyberangriffs stärker ins Bewusstsein der Nutzer rücken müsse. Denn schon mit geringen Maßnahmen lasse sich der Schutz der eigenen Infrastruktur erheblich steigern. Peter Vahrenhorst, Cybercrime-Kompetenzzentrum LKA NRW, zeigte anhand vieler Beispiele wie professionell die Angriffe mittlerweile seien und dass es wichtig sei, insbesondere bei E-Mails, genau hinzuschauen. Auch gute EDV-Systeme filtern nicht alle Schad-Mails heraus. Er appellierte an die Unternehmen, ein Notfallmanagement zu erarbeiten, es auszudrucken und in Papierform parat zu halten.

Dr. Hans-Georg Häusel, Diplom-Psychologe und Neuromarketing-Experte, gewährte den Teilnehmern einen Blick in die Hirnforschung: Die unterschiedlichen Systeme und kognitiven Bereiche im Gehirn seien entscheidend dafür, wie sicherheitsbewusst ein Mensch sei und wie er mit Risiken umgehe. Viele Entscheidungen fielen unbewusst und seien emotional gesteuert.

Der IT-Sicherheitstag NRW bot vor allem mittelständischen Unternehmen Lösungen an, um den Datenschutz im eigenen Betrieb zu verbessern. Neben zielgerichteten Vorträgen, die nicht nur Basiswissen, sondern auch Detailkenntnisse vermittelten, stand die aktive Mitarbeit auf dem Programm. In Seminaren wurden rechtliche und technische Aspekte behandelt. In der Hack-Academy konnten die Teilnehmer in die Rolle des Angreifers schlüpfen und lernen, wie ein Hacker zu denken. Ergänzt wurde der Kongress durch eine Fachausstellung mit 49 Unternehmen und Initiativen, die ihre Lösungen vorstellten und sich mit den Teilnehmern austauschte.

Der Pressebricht steht zum Download zur Verfügung.

IHK NRW ist der Zusammenschluss der 16 Industrie- und Handelskammern in Nordrhein-Westfalen. IHK NRW vertritt die Gesamtheit der IHKs in NRW gegenüber der Landesregierung, dem Landtag sowie den für die Kammerarbeit wichtigen Behörden und Organisationen.

___________________________________________________________________________________________________________

Juli 2017

Elektronische Erpressung mit Bewerbungen

Der Feind in meinem Netz

Gutes Personal ist knapp. Daher freuen Unternehmen sich über ansprechende Bewerbungen für freie Ausbildungsstellen und Arbeitsplätze. Diese Freude ist aber schnell vorüber, wenn sich die Bewerbung als IT-Angriff mit einer Verschlüsselungssoftware entpuppt.

Im digitalen Zeitalter gehört auch die Onlinebewerbung zu den Standards in der Personalabteilung. Weniger Papier wird verbraucht, Portokosten entfallen. Gleichzeitig steigt aber unter Umständen auch die Gefahr eines Angriffs auf die Daten der Unternehmen. In der Vergangenheit sind häufiger sog. Ransomwareangriffe erfolgt. Dabei werden die Unternehmensdaten zunächst verschlüsselt und anschließend Geld verlangt, um sie zu entsperren. Ziel dieser Attacke sind nicht nur Großunternehmen. Auch kleine und mittelständische Unternehmen geraten immer häufiger ins Visier der Cyberkriminellen.

Autor: Jan Borkenstein, IHK Essen

Den vollständigen Artiek als PDF zum download