Unternehmensbetrug: Worauf Unternehmen und ihre MitarbeiterInnen achten müssen!
Autor: Janine Moorees
Internetbetrug gibt es in vielen verschiedenen Formen, und nicht nur Privatpersonen sind Opfer. Unternehmen werden häufig von Betrügern angegriffen.
Immer wieder berichten wir von Betrugsmaschen, die sich speziell an Unternehmen richten. Beliebt sind dabei Phishing-Mails, gefälschte Rechnungen, die Verbreitung von Schadsoftware oder Erpressungsversuche. Damit der Schaden für die Unternehmen möglichst gering bleibt, ist es zentral, dass die MitarbeiterInnen die Gefahren erkennen.
Was ist Unternehmensbetrug?
Wie bei den Betrugsmaschen, die auf KonsumentInnen und Privatpersonen abzielen, kann auch Unternehmensbetrug vieles bedeuten. Weitverbreitete Fallen sind zum Beispiel:
- Phishing ist eines der zentralsten Risiken für Unternehmen. Dabei versuchen Cyber-Kriminelle an Daten von MitarbeiterInnen zu kommen. Meist wird dafür eine E-Mail oder auch eine SMS (Smishing) verschickt, manchmal rufen die Kriminellen auch an (Vishing). In den Nachrichten befinden sich Links oder Dateianhänge, in denen die Opfer persönliche Daten eingeben sollen.
- Business E-Mail Compromise bzw. CEO-Fraud ist eine Betrugsmasche, bei der sich AngreiferInnen als MitarbeiterInnen oder Geschäftsführer eines Unternehmens ausgeben. Kriminellen verschaffen sich entweder Zugang zu einem E-Mail-Konto des Unternehmens oder ahmen die reguläre Firmenadresse nach, mit dem Ziel an Geld oder Daten zu kommen.
- Ransomware ist eine spezielle Form von Schadsoftware, die Unternehmen häufig betrifft. Dabei schränkt die Schadsoftware den Zugriff auf unternehmensinterne Daten oder Systeme ein, um anschließend Lösegeld für diese Daten zu verlangen.
- Fake-Shops gehören zu den „Klassikern“ des Internetbetrugs. Bereits jetzt gibt es Fake-B2B-Shops, die sich konkret an Unternehmen richten. So wurden im Zuge der Corona-Pandemie Fake-Shops eingerichtet, die beispielsweise mit günstigen Covid-19 Tests für Unternehmen lockten. Wir gehen davon aus, dass diese Form des Betrugs künftig zunehmen wird.
- Cloaking ist eine Methode zur Suchmaschinenoptimierung (SEO), die immer öfter für betrügerische Zwecke verwendet wird. Dabei werden gehackte Webseiten missbraucht, um auf Fake-Shops weiterzuleiten. Für die Betroffenen ist der Betrug oft gar nicht zu erkennen.
Wie können sich Unternehmen und MitarbeiterInnen schützen?
Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die MitarbeiterInnen. Mit diesen Informationen wird versucht die MitarbeiterInnen so zu täuschen, dass sie vertrauliche Informationen oder Daten preisgeben, Überweisungen tätigen oder den Kriminellen unternehmensinterne Zugriffe gewähren.
Die Stärkung der MitarbeiterInnen in puncto Cybersicherheit ist zentral, um das gesamte Unternehmen zu schützen. Folgende Tipps sollten daher beachtet werden:
- Ist die Quelle vertrauenswürdig? Bevor Sie Aufforderungen, die Sie per Mail, SMS oder telefonisch erhalten, befolgen, sollten Sie sich fragen, von wem diese Aufforderung kommt. Stimmt die Absender-Adresse tatsächlich mit der echten Firmenadresse überein? Kennen Sie die Rufnummer? Wird die Telefonnummer unterdrückt? Wenn ja, ist das nicht etwas ungewöhnlich für den Geschäftsführer?
- Was weiß der Absender über Sie und das Unternehmen? Cyberkriminelle können viele Informationen über Sie oder ein Unternehmen herausfinden, manchmal fehlen aber wichtige Informationen. Auch hier heißt es, einen Moment darüber nachzudenken, ob Sie überhaupt bestimmte Änderungen oder Daten preisgeben dürfen oder ob nicht noch zusätzliche Schritte oder Informationen dafür notwendig sind.
- Macht die Aufforderung Sinn? Ihr Geschäftsführer braucht unbedingt jetzt mehrere Millionen Euro, da ein Deal abgeschlossen wurde? Aber gab es in letzter Zeit überhaupt Verhandlungen für so einen Millionen-Deal? Und würde Ihr Geschäftsführer den Deal nicht auf einem anderen Weg abschließen? Bevor Sie handeln, sollten Sie sich auch über die Sinnhaftigkeit der Aufforderung Gedanken machen. Dass Ihre Bank die Zugriffsdaten per Telefon will, ist zum Beispiel unüblich.
- Nutzen Sie offizielle Wege! Geheime Daten sollten Sie nicht über das Telefon oder über einen Link in einem unseriösen E-Mail eingeben. Loggen Sie sich immer über offizielle Webseiten ein und nutzen Sie zur Überprüfung der Identität zusätzliche Kommunikationswege!
- Lassen Sie sich nicht drängen! Wird betont, wie dringend eine Angelegenheit sei, sollten Sie besonders vorsichtig sein. Mit dieser Methode versuchen die Kriminellen auf ein rasches Handeln zu drängen, ohne dass die Opfer über die Forderung nachdenken können. Erklären Sie, dass Sie mehr Zeit benötigen und mit Ihrem Vorgesetzten darüber reden müssen.
Quelle: Watchlist Internet
Auch interessant:
Die Haftpflichtkasse wurde im Juli dieses Jahres Ziel eines kriminellen Cyberangriffs. Was du darüber wissen musst!
Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.
Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum
INSERT_STEADY_CHECKOUT_HERE
