Manchmal verhindert eine einzige Rückfrage einen Cyber-Betrug, sagt  Marie-Christine Kragh von Allianz Trade. Die Leiterin der Vertrauensschadenversicherung gibt im Gastbeitrag sieben Tipps, um Unternehmen zu schützen

 

 

Sieben Tipps, wie sich Unternehmen schützen können

Die Mitarbeiter sensibilisieren

In einem aktuellen Fall bei der Niederlassung eines britischen Ingenieurkonzerns überwies ein Mitarbeiter rund 20 Millionen Euro an Betrüger nach einem Video-Call, in dem neben seinem Chef auch noch weitere Kollegen anwesend waren – allesamt geklont. Die Sensibilisierung der Mitarbeiter für die neusten Betrugsmaschen ist so wichtig wie aktuelle Sicherheits-Patches. Wie verändern sich diese durch den Einsatz von moderner Technologie? Vor ein paar Jahren waren Voice Cloning oder Video-Deepfakes noch etwas für absolute Spezialisten und die Qualität oft fraglich – heute gibt es das quasi auf Knopfdruck und die Betrüger können inzwischen fast technik-talentfrei zuschlagen.

 

Das Gegenüber darum bitten, sich mal an die Nase zu fassen

Gut gemachte manipulierte Fotos oder Videos – Deepfakes – sind oft nur schwer zu erkennen. Mitarbeiter sollten auf unnatürliche Betonungen oder Sprachmelodien achten oder darauf, wie authentisch Bewegungen oder Blinzeln wirken. Auch schlechte Audio- oder Videoqualität, unerklärliche Nebengeräusche oder Veränderungen von Licht und Hautton könnten wichtige Hinweise sein. Ebenso eine schlechte Lippensynchronisation zum Gesagten. Sie können ihr Gegenüber auch einfach bitten, sich mit dem Finger zu Nase zu fassen.

Das Muster der drei Faktoren bei der Manipulation

Alarmglocken sollten schrillen, wenn folgende drei Faktoren zusammenkommen: das Triggern von Emotionen, Zeit-Druck und die Aufforderung, vom Standard abzuweichen. Diese drei Faktoren sind der Hacking-Code der Social Engineers, mit dem sie versuchen, die Mitarbeitenden zu manipulieren. Die Wertschätzung des vermeintlichen Chefs ist meist der Türöffner. Durch den Zeitdruck oder auch gefälschte Anwälte, die über Verschwiegenheitsklauseln reden, und ständige Anrufe fühlen sich die Mitarbeiter  gezwungen, zu funktionieren und zeigen bei Abweichungen vom Standard oft viel Kreativität.

 

Mitarbeiter ermutigen, zurück zu fragen

Bei einem kürzlich bekannt gewordenen Fall hat ein Mitarbeiter eines Autokonzerns mit einer simplen Rückfrage einen Fake-President-Betrugsversuch vereitelt: Welches Buch der CEO ihm vergangene Woche empfohlen habe, fragte er. Der falsche Chef hatte keine Ahnung.

Der Fall zeigt, dass eine offene Unternehmens- und Fehlerkultur, bei der Ja-Sager unerwünscht sind, viel wert ist. Unternehmen, die kritisches Denken fördern und eine gute, offene Unternehmenskultur haben, bei der die Fehler nicht bestraft werden und  Rückfragen erwünscht sind, sind weitaus weniger anfällig. Eine einzige Rückfrage kann das ganze Kartenhaus zusammenstürzen lassen und die Täter entlarven.

 

Chefs sollen sich erklären und dann auch dran halten

Wenn der CEO im Unternehmen offen kommuniziert, dass er niemals Überweisungen in Videocalls oder per Whatsapp anweisen wird, kann das in vielen Fällen schon zu nötigen Rückfragen führen und so Schäden vermeiden. Er muss sich allerdings auch daran halten – und entsprechende Rückfragen wertschätzend behandeln. Auch eine Losung für gewisse Transaktionen kann eine geeignete Schutzvorkehrung sein.

 

Wertvolle Infos, die Mitarbeiter untereinander austauschen

Bei einer großen Hotel- und Casinokette machte eine Gruppe von Kriminellen einen Mitarbeiter auf LinkedIn aus und kontaktierte anschließend das IT-Help-Desk. Binnen zehn Minuten hatten sie genügend Informationen gesammelt, um ins System einzudringen. Solche Social Engineers ziehen ihre Informationen aus einer Vielzahl an Quellen. Teilweise dringen sie in Intranets ein und sammeln dort Informationen, aber auch soziale Netzwerke spielen eine immer größere Rolle. Mit sogenannten Vishing-Anrufen – das ist Pishing per Telefon – an verschiedenen Stellen des Unternehmens kommen die Kriminellen oft an vertrauliche Informationen. Ein Austausch der Mitarbeiter über solche ungewöhnlichen Anrufe in verschiedenen Abteilungen kann ebenso helfen, Schäden abzuwenden wie kritisches Denken.

Mit gut gemachten Audio-Deepfakes dürfte dies in Zukunft noch leichter werden, denn mit dem Manager oder der Führungskraft können Mitarbeiter ja offen über den Stand vertraulicher Projekte oder Geschäftsgeheimnisse sprechen und so unwissentlich Schützenhilfe leisten.

 

Konstant Stresstests, machen und die Technik auf neuestem Stand halten

Beim Social Engineering ist der Mensch die größte Schwachstelle und das Einfallstor. Dennoch sollten Unternehmen bei Sicherheit, Technik und Kontrollmechanismen ihre Hausaufgaben machen – und das nicht nur einmal, sondern konstant. Regelmäßige Stresstests, KI-Detection-Tools, Multifaktor-Authentifizierung sind ebenfalls wichtige Mittel, Risiken wenigstens zu minimieren. In Zukunft könnte auch Fingerprinting, also die Authentifizierung eines E-Mail-Absenders per Fingerabdruck, eine Lösung sein, um eine weitere Sicherheitsstufe zu implementieren. Aber die Kriminellen  arbeiten quasi Tag und Nacht mit Hochdruck an den verbleibenden Defiziten und daran, sie zu umgehen – und neue zu entdecken. Das wird ein Katz- und Maus-Spiel und die Schwachstelle Mensch bleibt.

Und auch diese unbequeme Wahrheit bleibt: die meisten Schäden werden von Mitarbeitern als Täter verursacht, die Interna und Prozesse am besten kennen. Die gute Nachricht ist: Umgekehrt ist der Mensch auch die erste Verteidigungslinie. Je besser er ausgerüstet ist, desto schwieriger wird es, die menschliche Firewall zu überwinden – für Täter von außen wie von innen.