Erfolgreiche Cyberangriffe lassen sich nur selten auf rein technische Sicherheitslücken, sondern vielmehr auch auf die Schwachstelle Mensch zurückführen. Hacker und Bedrohungsakteure wissen, dass sie mit einer Kombination aus technischer Raffinesse und psychologischen Tricks (Social Engineering), ihre Ziele und Opfer meist sehr nachhaltig und erfolgreich betrügen können. Das nachfolgende, noch sehr aktuelle Beispiel zeigt, mit welcher Technik und welchen Tricks Online-Betrüger Beute machen.
Laute einem Bericht des SWR hat ein Mitarbeiter eines Unternehmens aus Kaiserslautern in mehreren Transaktionen rund 290.000 € auf das Konto von Cyberkriminellen überwiesen. Das ist schmerzlich, harter Tobak und je nach Unternehmensgröße auch stark existenzbedrohend! Doch wie haben es die Betrüger geschafft, den Mitarbeiter auf’s Glatteis zu führen?
Die Betrüger verschafften sich Zugang zum Mailprogramm des Unternehmens
Zunächst haben sich die Betrüger Zugang zum Mailprogramm des Unternehmens verschafft. Gegenüber einem Mitarbeiter gaben sie sich dann als Geschäftspartner aus, indem sie sich in den Mailverlauf zwischen einem Lieferanten und dem Unternehmen eingeklingt und die Rolle des vertrauten Lieferanten übernommen haben.
Im weiteren Verlauf der E-Mail-Kommunikation war es für die Betrüger ein leichtes Spiel, den Mitarbeiter bzw. das Unternehmen dazu zu bringen, das Geld künftig auf ein anderes als das bislang bekannte Konto zu überweisen. Selbstverständlich flog der Betrug auf, da der tatsächliche Lieferant die fehlenden Geldeingänge nicht nur per elektronischer Kommunikation (E-Mail) angemahnt und moniert hat.
Das blinde Vertrauen in technische Systeme zahlt sich nicht aus
Dieses Beispiel zeigt, dass Unternehmen und insbesondere auch Mitarbeiterinnen und Mitarbeiter in Schlüsselpositionen und besonders mit finanziellen Entscheidungsbefugnissen im Hinblick auf ihre Cybersecurity Awareness mehr als nur auf der Hut sein müssen. Es zeigt aber auch, dass das blinde Vertrauen in technische Systeme und in eine rein elektronische Kommunikation von Cyberkriminellen ausgenutzt werden kann.
Technische und/oder menschliche Sicherheitslücken sind zugleich auch immer Datenschutzlücken
Zu dem finanziellen Schaden kommt dann in der Regel auch eine Datenschutzverletzung hinzu. Da sich die Betrüger Zugang zum und Zugriff auf das Mailsystem verschafft haben, lag ihnen vermutlich auch die gesammte E-Mail-Kommunikation des Unternehmens, einschließlich sensibler, vertraulicher, personenbezogener Daten, zu Füßen.
Quelle: SWR, „Betrüger ergaunern knapp 290.000 Euro von Firma in Kaiserslautern“ v. 17.01.2013
Eine gute Cyberabwehr besteht aus mehreren Komponenten, isnbesondere dem Faktor Mensch
Aus diesem Beispiel wird deutlich, dass neben den technischen Abwehrmaßnahmen, Backupstrategien und Notfallplänen, auch regelmäßige Social Engineering und Security Awareness Trainings von großer Bedeutung für eine gut funktionierende Cyberabwehr sind. Regelmäßige Sicherheitsrainings schonen nicht nur das Betriebsvermögen, sensible Daten und die Nerven von Geschäftsleitungen sowie Mitarbeitern und Mitarbeiterinnen, sondern sie schützen effektiv auch vor Online-Betrug und sparen im Ernstfall viel Geld.
Wenn du wissen willst, wie du dich, dein Unternehmen, deine Geschäftspartner, Kunden und Mitarbeiterinnen und Mitarbeiter vor Cyberbedrohungen schützen kannst, sprich uns gerne an.
Social Engineering und Security Awaress Trainings
Wir helfen Unternehmen dabei, ihre technischen und menschlichen Abwehrmaßnahmen und -mechanismen gegen Cyberangriffe und Online-Betrug zu verstärken. In unseren Security Awareness Trainings und Cybersecurity-Lern-Events bauen wir mit deinen Führungskräften, Mitarbeiterinnen und Mitarbeitern eine effektive, menschliche Firewall gegen Cyberattacken auf.
Basis-Sicherheits-Checks für dein Online-Business und Penetration Tests
Die Ergebnisse unserer Basis-Sicherheits-Checks für dein Online-Business und unserer Penetration Tests zeigen dir vorhandene Sicherheitslücken aus der Perspektive von echten Hackern auf.
Veranstaltungshinweis: Vortrag/Workshop „IT-Sicherheit und Datenschutz in Unternehmen“ am18.04.2023 im Elbstrandressort auf Krautsand
Am 18.04.2023, 10.00 – 12.00 Uhr führen wir gemeinsam mit dem niedersächsischen Landesbeauftragten für Datenschutz einen Vortrag / Workshop zum Thema: „IT-Sicherheit und Datenschutz in Deinem Unternehmen“ durch. Veranstalter ist die Wirtschaftsförderung des Landkreises Stade. Ort der Veranstaltung: Elbstrandresort, 21706 Krautsand.
Nähere Infos und das Anmeldeformular findest du unter nachfolgendem Link, auf den Seiten der Wirtschaftsförderung des Landkreises Stade:
IT-Sicherheit & Datenschutz in Ihrem Unternehmen
Bei Interesse bitte direkt unter dem angegebenen link anmelden.