Warum Firmen die Nutzung sozialer Medien regeln sollten

Einmal mehr warnt das Nationale Zentrum für Cybersicherheit (NCSC) vor CEO-Betrug - auch CEO-Fraud genannt. Dabei ermitteln die Angreifer zuerst die Namen des Geschäftsführers und des Finanzverantwortlichen des anzugreifenden Unternehmens. Dann fälschen sie eine E-Mail im Namen des Geschäftsführers an den Finanzverantwortlichen. Darin weisen sie ihn oder sie an, in einer angeblich dringenden und vertraulichen Angelegenheit, eine Zahlung auszulösen. Um den Druck zu erhöhen, rufen sie neuerdings auch noch in der Firma an, wie Sie hier lesen können.

Um sich auf ihre Betrügereien vorzubereiten, beschaffen sich die Kriminellen Informationen über das Unternehmen aus öffentlich zugänglichen Quellen. Dabei finden sich etwa Name oder E-Mail-Adresse des Chefs respektive des Finanzverantwortlichen oft auf der Website der Firma. "Was für die Kundennähe gut ist, dient leider auch den Betrügern, diese Daten für einen CEO-Betrug zu missbrauchen", kommentiert das NCSC.

Xing und Co. als Informationsquelle

Doch die Behörde beobachtet auch neue CEO-Fraud-Spielarten, bei denen nicht nur die Website des Unternehmens, sondern auch soziale Netzwerke als Informationsquelle dienen. Beispielhaft erklärt das NCSC die HR-Variante des CEO-Betrugs. Dabei wurde der Personaldienst von einem angeblichen Mitarbeitenden per E-Mail aufgefordert, die nächste Lohnauszahlung auf ein anderes Konto vorzunehmen.

Die entsprechenden Daten seien nicht auf der Website des angegriffenen Unternehmens auffindbar gewesen. Auf der Plattform Xing hingegen seien Name und Funktion des Personalverantwortlichen der Firma ersichtlich gewesen, heisst es in der Fallbeschreibung. Auf derselben Plattform seien auch weitere Angestellte mit Namen und Funktion aufgeführt. Und auf einer anderen Plattform fand sich schliesslich auch die E-Mail-Adresse des Personaldienstes. Genug Informationen für die Betrüger, sich bei der HR-Abteilung zu melden und den Betrug zu wagen.

"Glücklicherweise haben die Angreifer in der Regel nur einen Versuch, da Mitarbeitende sehr schnell bemerken, dass der Lohn am Ende des Monats nicht ausbezahlt worden ist", hält das NCSC fest. "Spätestens dann fällt der Betrug auf. Der Ertrag in dieser Betrugsvariante dürfte also eher gering sein."

Sensibilisieren statt verbieten

Solche Arten des Betrugs dürften mit der Verfügbarkeit an Informationen zunehmen, prognostiziert das NCSC. Den Mitarbeitenden die Nutzung sozialer Medien zu verbieten, hält die Behörde jedoch für "keine Lösung". Stattdessen rät sie jeder Firma, Richtlinien festzulegen, welche Informationen Mitarbeitende auf Social-Media-Kanälen preisgeben dürfen und welche nicht.

Besonders wichtig sei zudem, Mitarbeitende, welche in einer Firma Zahlungen auslösen können, über solche Betrugsvarianten zu sensibilisieren. Auch Personaldienste sollten informiert und Änderungen bezüglich Lohnkonto nur über verifizierbare Kanäle oder nur nach persönlicher Rücksprache mit den Mitarbeitenden durchgeführt werden. Zusammengefasst formuliert das NCSC drei Empfehlungen:

• Sensibilisieren Sie alle Mitarbeitenden bezüglich CEO-Fraud! Insbesondere die Mitarbeitenden in den Finanzabteilungen, Personaldiensten und in Schlüsselpositionen sind über diese möglichen Angriffsweisen zu informieren. Bei Vereinen sind alle Mitglieder mit Präsidenten- oder Kassierfunktion zu schulen.

• Definieren Sie einen Prozess, wie die Bankdaten auch dringlich angepasst werden können. Typischerweise sollte über einen zweiten Kanal (zum Beispiel telefonisch) nachgefragt werden.

• Definieren Sie Richtlinien, welche Informationen Mitarbeitende über die Firma preisgeben dürfen.

Mit dem Aufkommen neuer Arbeitsformen ausserhalb des Büros kommen auch neue Cybersecurity-Herausforderungen hinzu. Das NCSC hat darum Tipps für sicheres Arbeiten daheim und unterwegs veröffentlicht, die Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.