Cybercrime profitiert von neuen Maschen, alten Fehlern und der Schwachstelle Mensch

Cybercrime wird immer arbeitsteiliger, internationaler und ist für die Täter oft hoch lukrativ. Homeoffice und mangelnde IT-Sicherheitsstandards spielen den Betrügern dabei ebenso in die Karten wie der technologische Fortschritt durch künstliche Intelligenz (KI). Cyberkriminelle setzen vor allem zwei Schwerpunkte: Ransomware-Delikte und Business-E-Mail-Compromise (BEC), zu denen auch Fake President (CEO Fraud), Zahlungsbetrug (Payment Diversion Fraud) und Bestellerbetrug (Fake Identity) gehören. Andreas Dondera, Cyberexperte beim Hamburger Landeskriminalamt, sagt:

(PDF)
Anzugtraeger-Gesicht-Vektoren-215611154-AS-peshkovaAnzugtraeger-Gesicht-Vektoren-215611154-AS-peshkovapeshkova – stock.adobe.com

Die immer professioneller werdenden Betrüger müssen heute nicht mal unbedingt selbst Hacker sein. In diesem Deliktsfeld bleibt die größte Schwachstelle aber der Mensch. Für Unternehmen ist es daher das A und O, ihre Mitarbeiter zu schulen und klare Regeln zu implementieren – etwa für den Umgang mit geänderten Kontodaten oder abweichenden Lieferadressen.

Zahlungsbetrug bei Betrügern besonders beliebt: Fallzahlen steigen um 35 Prozent

Aktuelle Fälle gibt es in Hülle und Fülle. Erst kürzlich hat ein Unternehmen gleich zwei Mal eine Zahlung geleistet aufgrund einer Mail mit gefälschten Kontodaten – dadurch kam es zu einer Umlenkung des Zahlungsverkehrs und zu einem Schaden von insgesamt 1,3 Millionen Euro. Jüngst erbeuteten Betrüger sogar knapp 6 Millionen Euro durch eine manipulierte Rechnung. In den meisten Fällen liegen die Schadenssummen jedoch zwischen etwa 30.000 Euro und 1 Million Euro. Laut Rüdiger Kirsch, Betrugsexperte bei Euler Hermes, sei Zahlungsbetrug aktuell auf dem Vormarsch. Im letztem Jahr seien die Fallzahlen um 35 Prozent angestiegen, beim Bestellerbetrug waren es 25 Prozent. Das dürfte sich nach dem bisherigen Verlauf auch 2021 so fortsetzen. Das Homeoffice sei nicht nur wegen geringerer Sicherheitsstandards für die Betrüger ein wahres El Dorado. Es würde auch weniger kontrolliert und kommuniziert werden. Die Hürde, einen Kollegen anzurufen und ihn auf einen Vorgang anzusprechen, sei hier oft viel höher. Kontodaten werden da mal eben kurz geändert – oft mit fatalen Folgen. Kriminelle ‚Social Engineers‘ würden nicht Systeme hacken, sondern Menschen. Das Social Distancing spiele ihnen in die Karten.

Homeoffice auf „Autopilot“ – Fake-President-Schaden in Höhe von 400.000 Euro

So auch bei einem Fake-President-Betrug, der sich vor Kurzem in Mitteldeutschland ereignete. Die Leiterin der Buchhaltung hinterfragt eine große Überweisungsaufforderung nicht, die sie im Homeoffice erreicht. Sie prüft nicht einmal die E-Mail-Adresse näher. Per Teams bittet sie eine Sachbearbeiterin im Homeoffice, die notwendige Zweitunterschrift zu leisten. So erhält die vom vermeintlichen CEO beauftragte Zahlung für angebliche Aktienkäufe über 400.000 Euro eine Freigabe. In der Regel ist für den Erfolg beim CEO Fraud das „Social Engineering“ entscheidend. Für diese Manipulation der Opfer ist eine Konversation in Echtzeit essenziell: Die Täter äußern Wertschätzung, zerstreuen Bedenken, bauen Druck auf oder beantworten Fragen – alles mit dem Ziel, das maximale Vertrauen in die Echtheit des Auftrags zu vermitteln.

Deepfakes: Echtzeit-Konversationen heben Social Engineering auf neue Ebene

Laut Dirk Koch, selbständiger Rechtsanwalt und Cyberexperte, gehen Betrüger mit der Zeit: Manipulierte Audio- oder Video-Calls sind technisch längst möglich. Wenn der gefälschte CEO mit dem richtigen Aussehen und der richtigen Stimme Anweisungen für Überweisungen gibt, hebe das das Social Engineering und die Betrugsmöglichkeiten auf eine ganz neue Ebene. Auch die Tatsache, dass Hacker längt zu Dienstleistern geworden sind und ihre Software im Darknet zahlreichen Abnehmern zeitgleich anbieten, würde die Risiken für Unternehmen multiplizieren, so Koch weiter. Bereits 2019 fiel der CEO der britischen Tochtergesellschaft eines deutschen Konzerns im Fall „Der falsche Johannes“ auf ein gefälschtes Stimmprofil herein, das sogar den leichten Akzent des deutschen Firmenchefs im Englischen imitierte. 220.000 Euro waren weg. 2020 erleichterten Betrüger mit einem Audio Deepfake eine Bank in Hongkong sogar um umgerechnet rund 30 Millionen Euro. Auch in Deutschland gab es vereinzelt Fälle, bei denen falsche Geschäftsführer mit gefälschten Stimmprofilen ihre Hausbank angerufen haben. Dondera sagt:

In Frankreich haben Betrüger in einem Fall sogar ein ganzes Büro nachgebaut, um dem Video-Call die maximale Authentizität zu verleihen. Es überrascht mich, dass noch nicht mehr Kriminelle die technischen Möglichkeiten nutzen. Jedenfalls noch nicht.

Plötzlich am Pranger: Cyberattacken bergen auch große Haftungsrisiken für Manager

Cyberkriminalität birgt neben finanziellen und datenschutzrechtlichen Risiken auch zunehmend Compliance- und Haftungsrisiken für Manager. Jesko Trahms, Fachanwalt für Strafrecht und Partner bei BDO Legal Rechtsanwaltsgesellschaft mbH, sagt:

Manager müssen im Zweifelsfall nachweisen, dass sie geeignete Vorsorgemaßnahmen getroffen haben und sie keine Schuld trifft. Ohne entsprechende Beweise ist das jedoch oft schwierig bis unmöglich – gerade bei Cybercrime oder Betrug. Auch beim Thema Compliance haben viele Unternehmen noch Nachholbedarf.
Nicht umsonst steigen die Fälle, bei denen Unternehmen ihre eigenen Manager in Regress nehmen, in den letzten Jahren stark an. Der Vorwurf: Sorgfaltspflichtverletzungen oder mangelnde Risikoanalyse.

(PDF)

LESEN SIE AUCH

Code-319402973-AS-Sergey-NivensCode-319402973-AS-Sergey-NivensSergey Nivens – stock.adobe.comCode-319402973-AS-Sergey-NivensSergey Nivens – stock.adobe.com
Digitalisierung

Cyber-Kriminalität: Drei Tipps für mehr Sicherheit im Netz

Mehr Angst vorm Hacker-Angriff als vor dem Einbruch in die eigene Wohnung: 39 Prozent der Internet-Nutzerinnen und -Nutzer fürchten sich mehr vor Kriminalität im Netz als in der analogen Welt. Das ist das Ergebnis einer Umfrage unter 1.198 Personen ab 16 Jahren in Deutschland, von denen 1.016 das Internet nutzen.
Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.
Digitalisierung

NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden

Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.

Nervous upset man with financial problems. Depressed man and financial crisis.Nervous upset man with financial problems. Depressed man and financial crisis.Daniel Jędzura – stock.adobe.comNervous upset man with financial problems. Depressed man and financial crisis.Daniel Jędzura – stock.adobe.com
Digitalisierung

Kriminalität im Netz trifft Unternehmen jeder Größe

Sie bilden das Rückgrat der deutschen Wirtschaft: kleine und mittelständische Unternehmen (KMU). Die Bandbreite reicht von Dienstleistungsunternehmen und dem Gastgewerbe über den Einzelhandel bis zum Baugewerbe oder der Energie- und Wasserversorgung.
Photo of anxious mad girl take off glasses unexpected problem wear eyeglasses shirt in home office indoorsPhoto of anxious mad girl take off glasses unexpected problem wear eyeglasses shirt in home office indoorsdeagreez – stock.adobe.comPhoto of anxious mad girl take off glasses unexpected problem wear eyeglasses shirt in home office indoorsdeagreez – stock.adobe.com
Management

Homeoffice wird immer öfter zum Cyber-Angriffsziel

Ganz Deutschland bleibt derzeit zuhause – und wird dadurch zum Angriffsziel für Hacker*innen. Nicht nur am Europäischen Datenschutztag, der jedes Jahr am 28. Januar gefeiert wird, sollten die Deutschen für dieses Risiko sensibilisiert sein. Denn die Anzahl an Cyberangriffen weltweit ist bereits in 2020 um 20 Prozent angestiegen.
t13t13MH – stock.adobe.comt13MH – stock.adobe.com
Digitalisierung

Cybersicherheit ist eine Frage des aktiven Gestaltens

Cyberkriminalität ist für private Unternehmen wie auch für öffentliche Institutionen zu einer alltäglichen Bedrohung geworden. Der jährlich im Oktober stattfindende European Cyber Security Month rückt einmal mehr ins Bewusstsein, dass weiterhin viel zu wenig in die Prävention und Abwehr von Cyberattacken investiert wird. Vielfach gilt Cybersicherheit immer noch als lästiges Übel und Hemmschuh. Hier besteht dringender Handlungsbedarf, denn Cybersicherheit kann auch ein Wachstumstreiber im ...
Mann-daheim-Laptop-verzweifelt-318839105-AS-PaoleseMann-daheim-Laptop-verzweifelt-318839105-AS-PaolesePaolese  – stock.adobe.comMann-daheim-Laptop-verzweifelt-318839105-AS-PaolesePaolese  – stock.adobe.com
Management

Homeoffice: Phishing häufigste Angriffsart während Corona-Lockdown

Die Mehrheit der Mitarbeiter fühlte sich durch das Unternehmen schlecht oder nicht ausreichend über Cyberrisiken und Datensicherheit für das Arbeiten im Homeoffice informiert. Dies geht aus einer von Perseus in Auftrag gegebenen Umfrage mit dem Online-Meinungsforschungsinstituts CIVEY hervor.

Mehr zum Thema

LVM bedankt sich beim eine millionsten Kundenportal-Nutzer. Christian Wilkes (LVM-Agenturinhaber), Philipp Harpering (LVM-Kunde), Marcus Loskant (IT-Vorstand LVM)LVM Versicherung/ Bernd SchwabedissenLVM bedankt sich beim eine millionsten Kundenportal-Nutzer. Christian Wilkes (LVM-Agenturinhaber), Philipp Harpering (LVM-Kunde), Marcus Loskant (IT-Vorstand LVM)LVM Versicherung/ Bernd Schwabedissen
Digitalisierung

LVM: Eine Million Versicherte nutzen Kundenportal

Die LVM Versicherung hat mit ihrem Kundenportal „Meine LVM“ einen wichtigen Erfolg erreicht: Über eine Million Kundinnen und Kunden nutzen inzwischen die digitalen Services des Portals.

Digitalisierung

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025

Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.

Die Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: AdobestockDie Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: Adobestock
Digitalisierung

Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher

Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.

Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater AnalyticsMaxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater Analytics
Digitalisierung

Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?

Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.

Dr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SEDr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SE
Digitalisierung

Industrieversicherung: OPEN RISK DATA Association gegründet

Mit der Gründung des OPEN RISK DATA Association e.V. soll der digitale Austausch von Risikodaten in der Industrieversicherung revolutioniert werden.

pixabaypixabay
Digitalisierung

Vier Trends für 2025: KI-Agenten und Hyper-Automation

Mindbreeze, ein führender Anbieter von KI-basierten Wissensmanagement-Lösungen, identifiziert vier Trends für das Jahr 2025 und skizziert die bedeutendsten Unternehmensbereiche, in denen künstliche Intelligenz die Transformation vorantreiben wird.