Bewusst sein für Sicherheit - E-Mail Betrug verhindern

Wer die Geschichten liest, kann sie eigentlich nicht glauben. Bei CEO-Fraud-Vorfällen erbeuten Cyberkriminelle zweistellige Millionensummen, weil sie Mitarbeitern im Unternehmen vorgaukeln, dass sie der CEO oder ein anderes hochrangiges Managementmitglied sind. Die Mitarbeiter überweisen dann den geforderten Betrag auf ein angebliches Konto eines Partners oder Lieferanten, nur auf der Basis von E-Mails oder Telefonaten, ohne Rückversicherung. Vom Enkeltrick 4.0 wird in diesem Zusammenhang gern gesprochen – ähnliches Prinzip, aber deutlich höherer Schaden. Mitte 2016 flog ein internationales Netzwerk auf, dass im Verdacht steht, mehr als 60 Millionen US-Dollar durch die cyber-kriminellen Methoden „Business Email Compromise“ (BEC) und „CEO Fraud” erbeutet zu haben. Die Angriffe sind mittlerweile auch in Deutschland an der Tagesordnung, mit ähnlich dramatischen Folgen. Bis zu 40 Millionen Euro haben einzelne deutsche Mittelständler bereits auf diesem Wege verloren, meldete der Verband der Internetwirtschaft in Europa, eco. Das ist umso mehr verwunderlich, als dass das Konzept bereits seit Ende 2015 auf breiter Front im Einsatz ist. Mittlerweile sollten sie nur noch ein müdes Lächeln hervorrufen, ähnlich wie die seinerzeit beliebten 419er-E-Mails, in denen für die Anlagen von vielen Millionen Dollar im Ausland ein Prozentsatz versprochen wurde.

Das Mitarbeiter nach wie vor auf eine derart primitive Betrugsmasche hereinfallen, ist bedenklich. Die offensichtliche Schlussfolgerung kann nur zweigeteilt sein: Zum einen sind die Prozesse nicht durchdacht genug – wenn ein vier-Augen Prinzip eingerichtet ist, dann kann der Mitarbeiter allein solche Überweisungen eben nicht vornehmen, Punkt. Zum anderen scheint in vielen Firmen ein regelrechtes Klima der Angst im Umgang mit Führungskräften zu herrschen. Lieber werden zweistellige Millionenbeträge überwiesen, als eine simple Rückfrage über die offiziellen Kanäle durchzuführen. Prozesse lassen sich recht leicht optimieren, die kulturelle Ausrichtung nicht. Helfen kann eine gut geplante und langfristig ausgelegte Awareness-Kampagne mit den richtigen Zielgruppen und Inhalten. Führungskräfte und Angestellte erfahren, dadurch welchen Bedrohungen sie ausgesetzt sind und dass sie sich der Risiken in ihren Positionen bewusst sein sollten.

Eine Awareness-Kampagne ist auch deswegen wichtig, weil sie verhindert, dass sich Mitarbeiter als reinen Risikofaktor für das Unternehmen sehen. Mitarbeiter sollen nicht das schwächste, sondern das stärkste Glied in der Sicherheitskette sein. Es geht nicht darum, auf Fehler im Verhalten hinzudeuten, sondern das Risiko aufzuzeigen, dass mittlerweile herrscht. Die Angestellten können dann bewusst mit Gefährdungen umgehen. Solche Kampagnen können auch vermitteln, dass Sicherheitsmaßnahmen nicht einfach nur restriktive Produktivitätsbremser sind, sondern Mitarbeiter vor sich selbst und ihrer Macht schützen. Wenn beispielsweise der Zugang zum Firmen-LAN nur über VPN möglich ist und dass VPN jedes Mal Passwort und Token abfragt, mag das lästig sein. Doch wenn das mobile Endgerät gestohlen wird, kann der Dieb mit der Hardware nichts anfangen. Das Laptop ist weg, darüber hinaus gibt es aber keine Konsequenzen. Das sorgt für ruhige Nächte für Mitarbeiter, Administrator und Management.