18. Mai 2016

Bereits Ende 2014 haben wir über so genanntes Spear Phishing und die damit verbundenen Gefahren berichtet. Dass das Thema – leider - brisant bleibt, machen weitere Fälle deutlich, die sich aktuell in den USA und auch in Deutschland ereignet haben. Meist wurde der Schaden zum Glück in allerletzter Minute verhindert - die Einbußen wären beträchtlich gewesen.

Betroffen von Spear Phishing sind in erst Linie Unternehmen und es geht um große Geldbeträge oder Geschäftsgeheimnisse. In einem hessischen Unternehmen erhielt ein Mitarbeiter vermeintlich von seinem Vorgesetzten eine vertrauliche E-Mail, in der es um die Übernahme einer ausländischen Firma und ein geheimes Dossier ging. Es gebe einen Geheimhaltungsvertrag und über den Vorgang solle ausschließlich per E-Mail kommuniziert werden. Selbst mit dem Absender der Mail solle der Mitarbeiter im Büro kein Wort über den Vorgang wechseln. Zum Glück war der Mitarbeiter wachsam und sofort misstrauisch, zumal ihm ein Schreibfehler in der E-Mail-Adresse seines Vorgesetzten aufgefallen war. Statt auf die Mail einzugehen, informierte er die Firmenleitung und die Polizei wurde eingeschaltet.

In einem anderen Unternehmen erhielt der Leiter des Rechnungswesens ebenfalls vermeintlich von seinem Vorgesetzten eine Mail mit der Bitte einen Betrag von 300.000 Euro auf das Konto einer Luxemburger Anwaltskanzlei zu überweisen. Auch hier fiel ein Schreibfehler in der E-Mail-Adresse auf. Außerdem befand sich der Vorgesetzte zu dem Zeitpunkt im Urlaub. Im letzten Moment konnte der Mitarbeiter die Überweisung noch stoppen.

Anders dagegen der Ausgang bei dem US-amerikanischen Spielzeughersteller Mattel. Hier hat eine Managerin nach Erhalt einer Mail von ihrer Chefin eine Summe von 3 Millionen US-Dollar auf das Konto einer chinesischen Bank überwiesen. Stunden später stellte sich heraus, dass die Chefin von dieser Zahlung nichts wusste. Der Überweisungsvorgang konnte zu dem Zeitpunkt jedoch nicht mehr rückgängig gemacht werden, das Geld war verloren.

So genanntes Social Engineering macht Fälle wie die beschriebenen möglich. Hierbei nutzen Kriminelle die vielfältigen persönlichen Informationen, die Nutzer in sozialen Netzwerken preisgeben. So können sie sich ihre "Opfer" sehr gezielt aussuchen. Bevorzug im Visier sind Mitarbeiter mit besonderer Vertrauensposition und Finanzverantwortung. Ihre falschen Identitäten bauen die Betrüger sehr professionell auf, ebenfalls anhand von umfassenden Informationen aus dem Internet. Man kann noch von Glück sagen, wenn dabei Schreibfehler in Mailadressen, fehlerhafte E-Mail-Signaturen o.ä. auffallen. Denn was es besonders schwierig macht, ist, dass die Kriminellen auf Vertraulichkeit setzen. Das hindert Mitarbeiter nicht selten daran, sich mit Kollegen oder Vorgesetzten auszutauschen, um sich keine Blöße zu geben.

Vollständigen Schutz gegen Internetkriminalität und 100-prozentige Sicherheit wird es nicht geben, dennoch ist erschreckend, dass Social Engineering-Fälle kontinuierlich zunehmen, ebenso die finanziellen Größenordnungen der Betrugsversuche. Hier lässt sich nur ein ums andere Mal an die Wachsamkeit jedes Einzelnen appellieren, eingehende Mails genau zu prüfen und insbesondere unaufgefordert eingesandte Mails kritisch zu hinterfragen. Dabei ist die persönliche Rücksprache mit Kollegen und Vorgesetzen unausweichlich und durch nichts zu ersetzen.

Weitere Informationen:
Social Engineering: 2,3 Milliarden US-Dollar Schaden durch CEO-Betrugsmasche (heise.de)
Social Engineering – versuchter Betrug bei Geschäftsleuten (polizei.hessen.de)
Als Chef getarnt fordern Internet-Kriminelle Geld von Firmen (heise.de)