Aktuelles

So schützen Sie sich und Ihr Unternehmen vor Betrug!

Internetbetrug betrifft nicht nur Privatpersonen, auch Unternehmen sind eine beliebte Zielscheibe.

Susanne Breuer, 25. August 2022

Cyberkriminelle fokussieren dabei oftmals den Faktor Mensch und versuchen Mitarbeiter:innen zu manipulieren, damit diese mit Geld, geheimen Daten oder sensiblen Informationen rausrücken. Unser Kooperationspartner Watchlist Internet zeigt Ihnen, wie Sie sich und Ihr Unternehmen vor gängigen Betrugsmaschen schützen.

Am Anfang des Betrugs ist die Nachricht

Meist beginnt es mit irgendeiner Art von Nachricht. Oft ist es eine E-Mail, manchmal eine SMS oder sogar ein Anruf – mit dem Kriminelle versuchen einem Unternehmen zu schaden. Doch auch technische Sicherheitslücken oder Daten-Leaks können ein Grund für einen erfolgreichen Cyber-Angriff sein.

Grundregel: Nachrichten prüfen

Um das eigene Unternehmen zu schützen, müssen Mitarbeiter:innen wissen, wie sie Internetbetrug und Cyber-Angriffe erkennen können. Dabei gilt es folgende Grundregeln zu beachten.

Absender überprüfen

Bevor Links angeklickt, Dateianhänge geöffnet oder geheime Informationen preisgegeben werden, sollten Nachrichten überprüft werden. Folgende Fragen können dabei helfen:

  • Wer steckt hinter der Nachricht?
  • Kennen Sie die Person oder das Unternehmen?
  • Stimmen die Absenderadresse oder die Telefonnummer?
  • Wird die Telefonnummer unterdrückt?

Stimmen Absenderadresse oder Rufnummern, muss das leider nicht immer bedeuten, dass die Nachricht vertrauenswürdig ist.

Sinnhaftigkeit hinterfragen

Meist gehen betrügerische Nachrichten mit einer Aufforderung einher (Datenauskunft, Geldforderung, Öffnen eines Anhangs etc.). Hier gilt es kurz innezuhalten und zu überlegen, ob die Forderung überhaupt Sinn ergibt:

  • Stimmen die gemachten Behauptungen?
  • Dürfen Sie die geforderten Daten überhaupt per Mail oder am Telefon preisgeben?
  • Muss für eine Überweisung nicht noch ein zusätzlicher Schritt erfolgen?
  • Ist es üblich, dass das Gegenüber bestimmte Informationen per E-Mail oder Anruf fordert?

Wie Sie betrügerische Nachrichten erkennen können, erklären wir ausführlich im Artikel So schützen Sie sich vor Phishing-Versuchen.

Regeln zur Passwortsicherheit einhalten

Kennen Kriminelle Passwörter, können diese damit an geheime Informationen genauso wie an Geld kommen – auch Identitätsmissbrauch ist durch das Knacken eines Passworts möglich. Das betrifft Privatpersonen genauso wie Unternehmen. Die Belegschaft sollte daher sowohl im privaten als auch im beruflichen Umfeld auf Passwortsicherheit achten:

  • Für jedes Konto nur ein Passwort verwenden
  • Lange Passwörter wählen
  • Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
  • Passwort-Manager und Zwei-Faktor-Authentifizierung nutzen
  • Keine persönlichen Informationen in einem Passwort verstecken

Wir haben für Sie noch mehr Tipps zur Passwortsicherheit zusammengefasst.

Technischen Schutz nicht vergessen

Damit schädliche Programme erst gar nicht installiert werden können und auch Sicherheitslücken im Betriebssystem oder in installierten Programmen kein Einfallstor für Cyber-Kriminelle bieten, muss die technische Ebene mitbedacht werden:

  • Das eigene Gerät und die installierten Programme regelmäßig aktualisieren. Nur so werden die jeweils aktuellen Patches mitinstalliert und bekannte Sicherheitslücken geschlossen.
  • Anti-Viren-Programme erkennen Angriffsmuster und warnen vor Schadsoftware. Gegebenenfalls entfernen sie das gefährliche Programm.
  • Durch das Anlegen von umfangreichen Backups können Daten, die bei einem Cyber-Angriff verloren gingen, wiederhergestellt werden.

Sicherheitskritische Unternehmensabläufe definieren und kommunizieren

Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die Mitarbeiter:innen. Damit versuchen die Kriminellen zu manipulieren. Gibt es jedoch klare, interne Richtlinien, wird es für Kriminelle schwieriger.

Umgekehrt profitieren die Angreifer:innen, wenn die Belegschaft Unternehmensabläufe nicht kennt: Weiß jemand zum Beispiel nicht, wie Zahlungen im Unternehmen freigegeben und durchgeführt werden, kann es leichter passieren, dass Geld in den Händen von Kriminellen landen. Daher müssen sicherheitskritische Abläufe klar definiert und kommuniziert werden.
Betrugsmaschen kennen

Maschen bei Unternehmens-Betrug

Um Cyber-Kriminellen nicht ausgeliefert zu sein, ist es auch zentral, deren Tricks zu kennen. Das sind häufige Maschen, die vor allem Unternehmen betreffen:

  • Spear-Phishing
    Phishing ist die weitverbreitetste Betrugsart. Kriminelle versenden dabei Nachrichten (meist im Namen eines Unternehmens) und erfinden Vorwände, damit Opfer mit Ihren Daten rausrücken. Während normale Phishing-Nachrichten willkürlich versendet werden, handelt es sich beim Spear-Phishing, um gezielte Angriffe. Dadurch ist diese Art des Phishings glaubwürdiger und somit gefährlicher.
  • Business E-Mail Compromise bzw. CEO-Fraud
    Angreifer:innen geben sich als Geschäftsführung oder Mitarbeiter:innen des gleichen Unternehmens aus. Dabei verschaffen Sie sich entweder Zugang zum jeweiligen E-Mail-Konto oder ahmen die reguläre E-Mail-Adresse nach. Meist fordern die Kriminellen hohe Geldbeträge – wie zum Beispiel bei diesen Nachrichten, in denen eine vermeintliche Vereinsvorsitzende um das Begleichen einer Rechnung bittet.
  • Ransomware
    Es gibt verschieden Arten von Schadsoftware. Unternehmen sind oftmals mit Ransomware (oder auch Verschlüsselungstrojaner/Erpressungstrojaner) konfrontiert. Diese Art von Schadsoftware sorgt dafür, dass das infizierte Gerät, bestimmte Daten oder sogar das gesamte Unternehmensnetzwerk verschlüsselt werden. Die Angreifer:innen fordern Lösegeld (auf engl. „ransom“), im Gegenzug würden sie die Verschlüsselung aufheben.
  • Gefälschte Rechnungen
    Immer wieder versuchen Kriminelle mit gefälschten Rechnungen an das Geld Ihre Opfer zu bekommen. Unternehmen erhalten beispielsweise Nachrichten im Namen von Wirtschaftsdiensten, Branchenverzeichnissen oder Domainregistraren, in denen fälschlicherweise behauptet wird, dass eine Rechnung offen sei.
  • Fake-Shops
    Es gibt zahlreiche Fake-Shops im Internet, manche davon richten sich als B2B-Shops gezielt an Unternehmen. So wurden im Zuge der Corona-Pandemie Fake-Shops erstellt, die mit günstigen Covid-19 Tests für Unternehmen lockten.
  • Bestellbetrug bzw. „Fake Customer Trick“
    Kriminelle bieten aber nicht nur selbst Produkte an, sondern geben sich als Großkund:innen aus und bestellen zahlreiche Produkte. Unternehmen, die liefern, erhalten jedoch niemals das Geld. Wie diese Masche genau funktioniert, erklären wir hier am Beispiel von Fake-Bestellungen im Namen von ATOS.
  • Cloaking
    Beim Cloaking missbrauchen Kriminelle gehackte Webseiten, um auf Fake-Shops oder andere betrügerische Angebote weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen. Der Schaden ist dennoch nicht zu unterschätzen, da die Unternehmenswebseiten oftmals nicht mehr über gängige Suchmaschinen zu finden sind.

Quelle: So schützen Sie sich und Ihr Unternehmen vor Betrug!

Nicht verpassen! Die ausgetrocknete Elbe in Dresden: Kein Beweis für einen „Klimaschwindel“


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama