Gastbeitrag ••• Von Benjamin Weissmann
WIEN. Immer wieder wird in den Medien über Millionenverluste bekannter österreichischer Unternehmen berichtet. Und immer wieder verweisen die Betroffenen auf ausgefeilte Methoden des Cyberbetrugs, deren Opfer sie geworden sind. Kein Wunder: Derzeit bricht geradezu eine Welle von Betrugsangriffen, sogenannten Fake President Attacks, über Österreichs Wirtschaft herein. Alle folgen grundlegend demselben Muster: Die Täter spiegeln falsche Tatsachen vor, um unerlaubte Rechte zu erlangen. Dabei bedienen sie sich einer Kombination von Methoden der Cyberkriminalität und der uralten Kunst der Täuschung, heute „Social Engineering” genannt.
Die „Psychotricks” der Täter
Beim Social Engineering wenden die Täter eine Mischung aus Wissenschaft, Psychologie und Kunst an. Es ist eine von Hackern genutzte, nichttechnische Betrugsmethode, die stark auf menschliche Mitwirkung angewiesen ist. Ziel ist, Menschen durch Täuschung dazu zu bringen, die üblichen Sicherheitsverfahren nicht einzuhalten. Diese Angriffe sind besonders gefährlich, weil sie meist direkt auf die Finanzabteilungen von Unternehmen abzielen. Dabei überwachen Täter oft aus der Ferne den E-Mail-Verkehr eines Unternehmens und nutzen die Informationen, um sich einem Mitarbeiter der Finanz- oder Treasury-Abteilung gegenüber als Führungskraft, meist als CEO, auszugeben. In dieser Rolle drängen sie den Mitarbeiter dazu, hohe Geldsummen auf das Bankkonto der Betrüger – erfahrungsgemäß oft nach China – zu überweisen. Die Kontaktaufnahme mit dem potenziellen Opfer geschieht per E-Mail. Der Angriff kann dabei zwei verschiedene Ausprägungen haben: Entweder verschicken die Täter ein manipuliertes E-Mail – meistens im Namen des CEOs – von außerhalb des Unternehmens oder ein vermeintlich „originales” E-Mail aus dem tatsächlichen Account des CEOs. Im Letzteren, wesentlich dramatischeren Fall haben die Täter das Netzwerk des Unternehmens bereits infiltriert und unter Umständen die E-Mail-Kommunikation monatelang überwacht.
Dadurch können sie unbemerkt Verhalten und Art der Kommunikation der Führungskräfte und Mitarbeiter studieren. Darüber hinaus sind sie in der Lage, Mails „von innerhalb” des Unternehmens zu verschicken, die auch von Experten nur sehr schwer als Betrugsversuche identifiziert werden können. Sollten die Täter also bereits in das Netzwerk eingedrungen sein, stellen sich, abgesehen vom möglichen finanziellen Verlust für die Unternehmen, ganz andere Herausforderungen: In einem derartigen Fall ist es unerlässlich, das gesamte Netzwerk forensisch zu untersuchen, die infizierten Systeme zu identifizieren und in weiterer Folge zu säubern. Dabei spricht man von einer sogenannten Cyber Incident Response.
Man kann sich wappnen
Unternehmen sind diesen ausgefeilten Betrugsmethoden aber keinesfalls hilflos ausgeliefert – unter der Voraussetzung, dass sie sich darauf vorbereiten. In einem ersten, wenig aufwendigen Schritt sollten alle Mitarbeiter im Finanzbereich geschult werden, wie sie mit solchen Attacken von Cyberbetrügern umgehen. Dabei sollten sie vor allem auf konkrete Warnsignale wie den expliziten Wunsch nach Geheimhaltung der Transaktion oder die Benutzung alternativer Telefonnummern oder E-Mail-Konten hingewiesen werden.
Um sich gegen solche Angriffe zu wappnen, sollten Unternehmen außerdem die Kontrollen bei Zahlungsverfahren – besonders bei Abwesenheit von Schlüsselpersonal – überprüfen und gegebenenfalls verschärfen. Ebenfalls überprüft werden sollte, wer über die für diese Art von Betrugsangriffen notwendigen Informationen verfügt. Berücksichtigt werden sollte auch, welche Infos auf der Unternehmenswebsite für aktuelle oder potenzielle Zulieferer und Shared Service Center verfügbar sind. Um finanziellem Schaden vorzubeugen, bietet sich der Abschluss von Unternehmensversicherungen für Bereiche wie Cybercrime, Vertrauenshaftpflicht oder D&O-Haftpflicht an.
