Cyberkriminelle fokussieren dabei oftmals den Faktor Mensch und versuchen Mitarbeiter:innen zu manipulieren, damit diese mit Geld, geheimen Daten oder sensiblen Informationen rausrücken. Unser Kooperationspartner Watchlist Internet zeigt Ihnen, wie Sie sich und Ihr Unternehmen vor gängigen Betrugsmaschen schützen.

Am Anfang des Betrugs ist die Nachricht

Meist beginnt es mit irgendeiner Art von Nachricht. Oft ist es eine E-Mail, manchmal eine SMS oder sogar ein Anruf – mit dem Kriminelle versuchen einem Unternehmen zu schaden. Doch auch technische Sicherheitslücken oder Daten-Leaks können ein Grund für einen erfolgreichen Cyber-Angriff sein.

Grundregel: Nachrichten prüfen

Um das eigene Unternehmen zu schützen, müssen Mitarbeiter:innen wissen, wie sie Internetbetrug und Cyber-Angriffe erkennen können. Dabei gilt es folgende Grundregeln zu beachten.

Absender überprüfen

Bevor Links angeklickt, Dateianhänge geöffnet oder geheime Informationen preisgegeben werden, sollten Nachrichten überprüft werden. Folgende Fragen können dabei helfen:

  • Wer steckt hinter der Nachricht?
  • Kennen Sie die Person oder das Unternehmen?
  • Stimmen die Absenderadresse oder die Telefonnummer?
  • Wird die Telefonnummer unterdrückt?

Stimmen Absenderadresse oder Rufnummern, muss das leider nicht immer bedeuten, dass die Nachricht vertrauenswürdig ist.

Sinnhaftigkeit hinterfragen

Meist gehen betrügerische Nachrichten mit einer Aufforderung einher (Datenauskunft, Geldforderung, Öffnen eines Anhangs etc.). Hier gilt es kurz innezuhalten und zu überlegen, ob die Forderung überhaupt Sinn ergibt:

  • Stimmen die gemachten Behauptungen?
  • Dürfen Sie die geforderten Daten überhaupt per Mail oder am Telefon preisgeben?
  • Muss für eine Überweisung nicht noch ein zusätzlicher Schritt erfolgen?
  • Ist es üblich, dass das Gegenüber bestimmte Informationen per E-Mail oder Anruf fordert?

Wie Sie betrügerische Nachrichten erkennen können, erklären wir ausführlich im Artikel So schützen Sie sich vor Phishing-Versuchen.

Regeln zur Passwortsicherheit einhalten

Kennen Kriminelle Passwörter, können diese damit an geheime Informationen genauso wie an Geld kommen – auch Identitätsmissbrauch ist durch das Knacken eines Passworts möglich. Das betrifft Privatpersonen genauso wie Unternehmen. Die Belegschaft sollte daher sowohl im privaten als auch im beruflichen Umfeld auf Passwortsicherheit achten:

  • Für jedes Konto nur ein Passwort verwenden
  • Lange Passwörter wählen
  • Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
  • Passwort-Manager und Zwei-Faktor-Authentifizierung nutzen
  • Keine persönlichen Informationen in einem Passwort verstecken

Wir haben für Sie noch mehr Tipps zur Passwortsicherheit zusammengefasst.

Technischen Schutz nicht vergessen

Damit schädliche Programme erst gar nicht installiert werden können und auch Sicherheitslücken im Betriebssystem oder in installierten Programmen kein Einfallstor für Cyber-Kriminelle bieten, muss die technische Ebene mitbedacht werden:

  • Das eigene Gerät und die installierten Programme regelmäßig aktualisieren. Nur so werden die jeweils aktuellen Patches mitinstalliert und bekannte Sicherheitslücken geschlossen.
  • Anti-Viren-Programme erkennen Angriffsmuster und warnen vor Schadsoftware. Gegebenenfalls entfernen sie das gefährliche Programm.
  • Durch das Anlegen von umfangreichen Backups können Daten, die bei einem Cyber-Angriff verloren gingen, wiederhergestellt werden.

Sicherheitskritische Unternehmensabläufe definieren und kommunizieren

Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die Mitarbeiter:innen. Damit versuchen die Kriminellen zu manipulieren. Gibt es jedoch klare, interne Richtlinien, wird es für Kriminelle schwieriger.

Umgekehrt profitieren die Angreifer:innen, wenn die Belegschaft Unternehmensabläufe nicht kennt: Weiß jemand zum Beispiel nicht, wie Zahlungen im Unternehmen freigegeben und durchgeführt werden, kann es leichter passieren, dass Geld in den Händen von Kriminellen landen. Daher müssen sicherheitskritische Abläufe klar definiert und kommuniziert werden.
Betrugsmaschen kennen

Maschen bei Unternehmens-Betrug

Um Cyber-Kriminellen nicht ausgeliefert zu sein, ist es auch zentral, deren Tricks zu kennen. Das sind häufige Maschen, die vor allem Unternehmen betreffen:

  • Spear-Phishing
    Phishing ist die weitverbreitetste Betrugsart. Kriminelle versenden dabei Nachrichten (meist im Namen eines Unternehmens) und erfinden Vorwände, damit Opfer mit Ihren Daten rausrücken. Während normale Phishing-Nachrichten willkürlich versendet werden, handelt es sich beim Spear-Phishing, um gezielte Angriffe. Dadurch ist diese Art des Phishings glaubwürdiger und somit gefährlicher.
  • Business E-Mail Compromise bzw. CEO-Fraud
    Angreifer:innen geben sich als Geschäftsführung oder Mitarbeiter:innen des gleichen Unternehmens aus. Dabei verschaffen Sie sich entweder Zugang zum jeweiligen E-Mail-Konto oder ahmen die reguläre E-Mail-Adresse nach. Meist fordern die Kriminellen hohe Geldbeträge – wie zum Beispiel bei diesen Nachrichten, in denen eine vermeintliche Vereinsvorsitzende um das Begleichen einer Rechnung bittet.
  • Ransomware
    Es gibt verschieden Arten von Schadsoftware. Unternehmen sind oftmals mit Ransomware (oder auch Verschlüsselungstrojaner/Erpressungstrojaner) konfrontiert. Diese Art von Schadsoftware sorgt dafür, dass das infizierte Gerät, bestimmte Daten oder sogar das gesamte Unternehmensnetzwerk verschlüsselt werden. Die Angreifer:innen fordern Lösegeld (auf engl. „ransom“), im Gegenzug würden sie die Verschlüsselung aufheben.
  • Gefälschte Rechnungen
    Immer wieder versuchen Kriminelle mit gefälschten Rechnungen an das Geld Ihre Opfer zu bekommen. Unternehmen erhalten beispielsweise Nachrichten im Namen von Wirtschaftsdiensten, Branchenverzeichnissen oder Domainregistraren, in denen fälschlicherweise behauptet wird, dass eine Rechnung offen sei.
  • Fake-Shops
    Es gibt zahlreiche Fake-Shops im Internet, manche davon richten sich als B2B-Shops gezielt an Unternehmen. So wurden im Zuge der Corona-Pandemie Fake-Shops erstellt, die mit günstigen Covid-19 Tests für Unternehmen lockten.
  • Bestellbetrug bzw. „Fake Customer Trick“
    Kriminelle bieten aber nicht nur selbst Produkte an, sondern geben sich als Großkund:innen aus und bestellen zahlreiche Produkte. Unternehmen, die liefern, erhalten jedoch niemals das Geld. Wie diese Masche genau funktioniert, erklären wir hier am Beispiel von Fake-Bestellungen im Namen von ATOS.
  • Cloaking
    Beim Cloaking missbrauchen Kriminelle gehackte Webseiten, um auf Fake-Shops oder andere betrügerische Angebote weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen. Der Schaden ist dennoch nicht zu unterschätzen, da die Unternehmenswebseiten oftmals nicht mehr über gängige Suchmaschinen zu finden sind.

Quelle: So schützen Sie sich und Ihr Unternehmen vor Betrug!

Nicht verpassen! Die ausgetrocknete Elbe in Dresden: Kein Beweis für einen „Klimaschwindel“

Anmeldung zum Mimikama-Newsletter

Unsere virtuelle Faktencheck-Bewertungsskala: Bei der Überprüfung von Fakten, in der Kategorie der „Faktenchecks„, nutzen wir eine klare Bewertungsskala, um die Zuverlässigkeit der Informationen zu klassifizieren. Hier eine kurze Erläuterung unserer Kategorien:

  • Rot (Falsch/Irreführend): Markiert Informationen, die definitiv falsch oder irreführend sind.
  • Gelb (Vorsicht/Unbewiesen/Fehlender Kontext/Satire): Für Inhalte, deren Wahrheitsgehalt unklar ist, die mehr Kontext benötigen oder satirisch sind.
  • Grün (Wahr): Zeigt an, dass Informationen sorgfältig geprüft und als wahr bestätigt wurden.

Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama

Mehr von Mimikama

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)