• Ihr Freund in der Welt des Datenschutzes

Einmaleins gegen Trickbetrug

Um an Passwörter, Kundendaten, Geld oder Produktideen zu gelangen, geben sich Kriminelle gegenüber Mitarbeitern als Vertrauensperson aus. Beim sogenannten Social Engineering werden gezielt menschliche Schwächen ausgenutzt und wie schon bei dem bekannten „Enkeltrick“ wird der Betrugsversuch leider nicht immer rechtzeitig erkannt.

Wer blind vertraut, wird schnell beklaut

Freitagnachmittag im Büro. Es sind nur noch zwei Stunden bis zum Feierabend, da klingelt das Telefon. Am Apparat meldet sich ein IT-Mitarbeiter und fragt nach den Computerzugangsdaten des Unternehmens. Ohne diese könne er die wöchentlichen Wartungsarbeiten nicht abschließen. Der Kollege gibt sie bereitwillig durch – und öffnet dem Betrüger Tür und Tor zum gesamten Computernetzwerk.

Anrufe von vermeintlichen IT-Mitarbeitern stellen eine typische Methode des Social Engineering dar. Der Begriff steht für Manipulationsversuche, die bei anderen Personen Emotionen wie Hilfsbereitschaft, Vertrauen oder Angst wecken und sie so zu bestimmten Handlungen, etwa der Preisgabe von Passwörtern, bewegen sollen. Neben unnötigem Ärger kann dabei auch ein hoher finanzieller Schaden entstehen.

Die Kontaktaufnahme erfolgt meist über das Telefon oder per E-Mail, aber auch über soziale Medien, Schadsoftware, Briefpost und Fax. Manche Betrüger schleusen sich sogar als vermeintliche oder tatsächliche Mitarbeiter in Unternehmen ein.

Technische Sicherheitsvorkehrungen sind beim Social Engineering oft wirkungslos. Wer klassische Täuschungsmanöver kennt und wachsam bleibt, kann Betrugsversuche rechtzeitig bemerken und reagieren.

Unvorsichtige Mitarbeiter

  • geben bei alltäglichen Gesprächen, Telefonaten oder im Internet Informationen über sich und ihre Arbeit preis.
  • teilen Fremden und Kollegen bei scheinbar harmlosen Anfragen oder bei Einschüchterungen sensible Daten (z. B. Passwort, Kundenadressen) mit.
  • folgen den Anweisungen von Warnhinweisen auf Endgeräten (z. B. Computer, Smartphone), ohne diese auf Echtheit zu prüfen.
  • prüfen E-Mails und Nachrichten in Mitarbeiterportalen oder sozialen Medien nicht auf Betrugshinweise.
  • schließen bedenkenlos und ohne vorherige Prüfung Gratis-Wechselmedien (z. B. USB-Sticks) an Arbeitsrechner an.
  • nutzen weder aktuelle Antivirensoftware, Spam-Filter, Pop-up- noch Adblocker.

Wachsame Mitarbeiter

  • geben bei alltäglichen Gesprächen, Telefonaten oder im Internet möglichst wenig Informationen über sich und ihre Arbeit preis.
  • halten Rücksprache mit Vorgesetzten, bevor sie Fremden und Kollegen sensible Daten (z. B. Geschäftszahlen, Kundenadressen) zukommen lassen.
  • folgen nicht ohne Rücksprache mit dem Vorgesetzten Anweisungen von Warnhinweisen auf Endgeräten (z. B. Computer, Smartphone), ohne diese auf Echtheit zu prüfen.
  • prüfen E-Mails und Nachrichten in Mitarbeiterportalen oder sozialen Medien auf Betrugshinweise.
  • geben scheinbar verlorene oder Gratis-Wechselmedien (z. B. USB-Sticks) zur Prüfung auf Schadsoftware an einen IT-Mitarbeiter weiter.
  • nutzen aktuelle Antivirensoftware, Spam-Filter, Pop-up- und Adblocker.

Die Taktiken der Trickbetrüger

Fast immer geht es den Betrügern darum, an Informationen zu gelangen. Diese können sie später dafür nutzen, direkt auf Bankkonten zuzugreifen oder auf erpresserische Weise an das Geld des Opfers zu gelangen. Beim Social Engineering wird das Opfer auf der emotionalen Ebene manipuliert. Hier lassen sich sieben Betrugsgrundmuster unterscheiden.

Phishing

Die englische Wortschöpfung aus „password“ und „fishing“ steht im übertragenen Sinn für das Angeln nach sensiblen Daten. Häufig erfragen Kriminelle die Daten über gefälschte E-Mails und Internetseiten, hinter denen scheinbar vertrauenswürdige Organisationen stehen.

Spear-Phishing

Diese Form von Phishing richtet sich gezielt an eine Person und soll durch recherchierte persönliche Angaben (z. B. Name, Geburtsdatum) Vertrauen beim Empfänger wecken.

Scamming

Kriminelle geben sich in E-Mails oder sozialen Medien als eine andere Person aus und versuchen durch Komplimente, Erpressung oder mitleiderregende Geschichten an sensible Informationen oder Geld zu gelangen.

Vishing

Das Vishing entspricht dem Spear-Phishing, allerdings nehmen Kriminelle hierbei als vermeintliche Autoritäten (z. B. Vorgesetzte, Bankvertreter) direkt Kontakt mit ihrer Zielperson auf.

Digitale Erpressung

Als Gegenleistung für die Wiederherstellung von Daten fordern die Erpresser Geld vom Opfer. Eine Variante ist, dass die Erpresser vorgeben, Daten des Opfers zu besitzen, die sie bei Nichtzahlung veröffentlichen werden.

Scareware

Hierbei handelt es sich um Programme, die vortäuschen, Sicherheitsrisiken entdeckt zu haben. Vorgeschlagene Lösungen sind kostenpflichtig oder führen zur Virusinfektion des Endgeräts.

Baiting

Beim Baiting legen Betrüger Köder aus, z. B. scheinbar verlorene USB-Sticks mit Schadsoftware, um Personen zu unvorsichtigen Handlungen zu bewegen.

Vom Ausnutzen menschlicher Schwächen

Social Engineers nutzen für gewöhnlich grundlegende menschliche Eigenschaften aus, um Personen zur Preisgabe von Informationen zu bewegen. Lassen Sie sich nicht dazu verführen.

Vertrauen vortäuschen

  • Eine täuschend echte Nachricht, die scheinbar von einer Bank stammt, fordert zur Eingabe der eigenen IBAN und PIN auf, etwa für eine Datenbestätigung, Sicherheitsprüfung oder Fehlerkorrektur.

  • Betrüger versenden gefälschte Rechnungen oder geben den Fehlschlag von Überweisungen vor, wobei sie teilweise tatsächlich erbrachte Leistungen von Dritten angeben.
  • Einige Anschreiben fordern eine schriftliche Bestätigung der Kontaktdaten (z. B. für einen Telefonbucheintrag). Mit der Unterschrift schließen Empfänger dem Kleingedruckten zufolge häufig einen Kauf- oder Dienstleistungsvertrag ab.
  • Personen, die sich als IT-Techniker ausgeben, erscheinen unangemeldet im Büro, um angeblich technische Probleme an Endgeräten zu beheben. Dabei erfragen sie Zugangsdaten oder installieren Schadsoftware.
  • Absender von E-Mails mit gefährlichen Dateianhängen oder Links rufen an, um den Empfänger zum Öffnen zu bewegen.

An die Hilfsbereitschaft appellieren

  • Vermeintliche Servicemitarbeiter, Polizisten oder (ehemalige) Kollegen fordern z. B. telefonisch zur Preisgabe von Zugangsdaten auf, um ihre Arbeit fortsetzen zu können.
  • Angebliche ehemalige Betriebsangehörige oder (neue) Kollegen, die sich vor Kurzem womöglich bei einer „zufälligen“ Begegnung vorgestellt haben, fragen nach sensiblen Daten. Bei Verweigerung bitten sie verzweifelt, eine Ausnahme zu machen, oder drohen, Vorgesetzte einzuschalten.

Praxistipp

Fragen Sie im Zweifelsfall lieber beim Vorgesetzten nach, ob Sie eine Information an Dritte weitergeben dürfen.

Neugierde wecken

  • Wechselmedien (z. B. USB-Sticks) mit Schadsoftware werden an gut sichtbaren Orten im Unternehmen platziert oder an Werbeständen verteilt, in der Hoffnung, dass Mitarbeiter sie an ihren Endgeräten anschließen.
  • Kriminelle lassen das Telefon kurz klingeln, um die Angerufenen zum Rückruf einer teuren Telefonnummer zu bewegen.
  • Eine Nachricht von einer bekannten oder unbekannten Person enthält lediglich einen Link. Möglicherweise ist ein kurzer Gruß, eine Empfehlung oder der Hinweis beigefügt, dass der Link zu einer digitalen Grußkarte führt.
  • Gut sichtbar platzierte QR-Codes leiten auf Websites mit Schadsoftware weiter.

Angst erzeugen

  • Betrüger geben sich als Service-Mitarbeiter von IT-Unternehmen (z. B. Microsoft) aus und behaupten am Telefon, dass sich Schadsoftware auf dem Firmencomputer befindet, und bieten Unterstützung beim Entfernen an.
  • Eine dramatisch gestaltete Meldung warnt vor Virenbefall, Funktionsproblemen des Computers oder veralteter Software. Zusätzlich fordert sie zum Klick auf eine Schaltfläche, Anruf einer Telefonnummer oder zur Dateneingabe auf. Rückwärtslaufende Zeitanzeigen sollen Nutzer unter Handlungsdruck setzen.
  • E-Mails von angeblichen Anwälten, ungerechtfertigte Rechnungen, Bestellbestätigungen oder Lieferprobleme sollen Empfänger dazu bringen, eine Website oder einen Anhang mit Schadsoftware zu öffnen.
  • Inkassounternehmen versenden ungerechtfertigte Zahlungsaufforderungen. Möglicherweise stellen diese sogar einen Teilerlass bei schneller Überweisung in Aussicht.

Verlangen schüren

  • Der Absender bietet einen gut bezahlten Job an oder verspricht Rabatte auf verschiedene Waren und Dienstleistungen.
  • Benachrichtigungen über einen angeblichen Gewinn sollen Personen zur Angabe persönlicher Daten, zum Anruf bei teuren Telefonnummern oder zum Öffnen von Dateien und Webseiten mit Schadsoftware bewegen.
  • Eine perfide Variante ist das Romance-Scamming: In Kontaktbörsen versuchen Betrüger, durch die Herstellung einer emotionalen Bindung Geld zu ergattern. Klären Sie bei neuen Internetbekanntschaften stets zügig die Identität Ihres Gegenübers.

Rechtzeitig vorsorgen

Ein bewusster Umgang mit privaten und beruflichen Informationen kann möglichen Betrugsversuchen vorbeugen.

  • Mitarbeiter sollten möglichst wenig Informationen über sich und ihren Betrieb preisgeben. Solche Informationen helfen Betrügern, Vertrauen aufzubauen und dieses für ihre Zwecke auszunutzen. Vorsicht ist besonders in sozialen Medien und bei arbeitsbezogenen Gesprächen an öffentlichen Orten (z. B. Café, Zug) geboten.
  • Sind Dokumente mit sensiblen oder betriebsrelevanten Daten gut weggeschlossen, haben es kriminelle Besucher schwerer, einen Manipulationsversuch vorzubereiten.
  • Ein Spam-Filter im E-MailProgramm sortiert Mails mit Betrugsabsichten automatisch aus. Den Nachteil, dass dadurch auch seriöse Mails im Spamordner landen könnten, sollten Sie dabei in Kauf nehmen.
  • Pop-up- und Adblocker sind kleine Zusatzprogramme für Browser, die viele betrügerische Mitteilungen und Warnungen unterdrücken können.
  • Auf Endgeräten darf nach Rücksprache mit der IT-Abteilung nur Software von vertrauenswürdigen Wechselmedien oder aus sicheren Internetquellen installiert werden.
  • Eine aktuelle Antivirensoftware kann Schadsoftware frühzeitig erkennen und entfernen. Weitere Informationen zu Softwareschädlingen finden Sie unter www.wumbel.de/viren.

Im Ernstfall: cool bleiben und richtig handeln

Wer unsicher ist, ob Anfragen zu sensiblen Daten einen Betrugsversuch darstellen, sollte auf jeden Fall umgehend Vorgesetzte hinzuziehen.

  • Betrügerische Nachrichten sollten ignoriert oder gelöscht werden. Eine Beantwortung ermuntert den Urheber zu weiteren Betrugsversuchen und unerwünschten Mitteilungen. Im Zweifelsfall klärt eine persönliche oder telefonische Nachfrage beim möglicherweise nur vorgetäuschten Absender, ob die Nachricht wirklich von ihm stammt.
  • Telefonate sind sofort abzubrechen, wenn Sie einen Betrug vermuten oder Fremden sensible Daten preisgeben sollen. Im Zweifelsfall soll der Anrufer eine Rückrufnummer oder einen anderen Kontaktweg nennen, sodass Rücksprache mit Vorgesetzten gehalten werden kann.
  • Fordern Personen zur Preisgabe sensibler Daten auf, empfiehlt es sich, sicherzustellen, dass der Empfänger die Informationen erhalten darf.
  • Tauchen regelmäßig betrügerische Warnhinweise bei Endgeräten auf, sollte ein IT-Mitarbeiter informiert und das Gerät mit einem Virenscanner überprüft werden.
  • Unbekannte Wechselmedien wie USB-Sticks sollten nach Möglichkeit nicht am Arbeitsgerät eingesteckt werden. Auf ihnen könnte sich Software befinden, welche die Kontrolle über Ihren Computer übernimmt.

Reflexionsecke

Wie steht es um Ihr eigenes Verhalten? Sind Sie leicht manipulierbar? Seien Sie ehrlich …

  • Ein Kollege am Telefon, den Sie an der Stimme erkennen, fragt nach Zugangsdaten oder nach E-Mail-Adressen und Namen anderer Mitarbeiter. Prüfen Sie seine Identität, bevor Sie die Informationen preisgeben?
  • Die Onlinebank Ihres Unternehmens schickt Ihnen eine persönlich adressierte E-Mail und bittet wegen verdächtiger Kontoaktivitäten um die Verifikation der Zugangsdaten.Folgen Sie dem Link?
  • An der Bushaltestelle treffen Sie wie jeden Morgen Ihren Kollegen. Tauschen Sie sich in Anwesenheit anderer über Vorfälle in Ihrem Betrieb oder über Mitarbeiter aus?
  • Ein Werbestand verteilt kostenlos außergewöhnliche USB-Sticks, z. B. in Auto- oder Holzdesign. Nehmen Sie einen Stick für sich mit?
  • Ein Kollege fragt Sie über ein soziales Netzwerk nach den Inhalten der Dienstbesprechung, die er wegen Krankheit verpasst hat. Prüfen Sie seine Identität? Fragen Sie sich und ihn, weshalb er über soziale Medien berufliche Informationen anfordert?
  • Ein IT-Mitarbeiter kommt in Ihr Büro, um ein Problem am Computer des Kollegen zu beheben. Leider hat er sein Generalpasswort für das Gerät vergessen und bittet Sie daher um Ihre Zugangsdaten. Geben Sie ihm diese?

Rechtliche Hinweise

Besteht der Verdacht, dass Trickbetrüger in den Besitz sensibler Daten (z. B. Passwörter, Kundenadressen, Bankdaten, Betriebsgeheimnisse) gelangt sind, müssen umgehend die Vorgesetzten informiert werden, damit eine strafrechtliche Verfolgung eingeleitet werden kann. In bestimmten Fällen ist das Unternehmen verpflichtet, die unbefugte Datenweitergabe der Bundesnetzagentur und den betroffenen Personen zu melden. Kommt das Unternehmen dem nicht nach oder gab es keine ausreichenden Maßnahmen zum Schutz der Daten, drohen gerichtliche Verfahren und Strafzahlungen. Kam der Vorfall durch Fehlverhalten zustande, kann den verantwortlichen Mitarbeitern eine fristlose Kündigung ausgesprochen werden.

Hinweis: Soweit es sich bei unseren Tipps nicht um gesetzliche Regelungen handelt, sind diese ausschließlich als Empfehlungen zu verstehen. Ihr Arbeitsvertrag sowie interne Verhaltensrichtlinien Ihrer Organisation haben in jedem Fall Vorrang und sind stets bindend.

Enter your
text here