GlobalSign Blog

27 Jun 2019

Online-Betrug: 6 Wege Ihr Unternehmen besser zu schützen

Führungskräfte bewerten regelmäßig die Risiken für Unternehmen und laufenden Geschäftsbetrieb. Online-Betrug gehört dabei nicht zwangsläufig zu den größten Befürchtungen. Gerade kleinere Betriebe tendieren dazu, die damit verbundenen Gefahren zu unterschätzen. Cyberkriminelle wissen das. Vorausschauendes Verhalten ist deshalb unverzichtbar um sich vor den Folgen dieser Betrügereien zu schützen.

Wir haben sechs praktikable Methoden für Sie zusammengestellt:

1. Führen Sie eine Sicherheitsüberprüfung durch

Es ist schwierig ein Unternehmen vor Online-Betrug zu schützen, wenn die eigenen Mitarbeiter sich der Problembereiche wenig oder gar nicht bewusst sind. Mithilfe einer Sicherheitsüberprüfung lassen sich bestehende Schwachstellen finden und anschließend beheben. Solche Maßnahmen tragen dazu bei, die Angriffsfläche für Online-Betrügereien zu verkleinern. Etwa, wenn eine Malware Dateien verschlüsselt und Lösegeld verlangt wird um wieder auf die verschlüsselten Informationen zugreifen zu können. Den Forderungen nachzukommen, scheint ein probates - wenn auch kostspieliges - Mittel zu sein wieder an die gewünschten Daten zu gelangen. Leider ist das keineswegs immer der Fall. Eine kleine Umfrage unter Unternehmen, die nach Ransomware-Angriffen Lösegeld gezahlt haben, ergab, dass nur 45 Prozent von ihnen die Daten tatsächlich zurückbekommen hat. Der durchschnittlich von Unternehmen gezahlte Betrag lag bei 4.323 Dollar.

Unabhängig davon, was die Sicherheitsüberprüfung ergibt, sollten Unternehmen ihre Netzwerke strategisch gegen Betrugsversuche stärken. Es mag durchaus sein, dass Mitarbeiter sich zunächst überfordert fühlen und fürchten, dass das Problem ohnehin nicht zu bewältigen sei. Aber Online-Betrug weitet sich aus. Es lohnt sich also trotz des Aufwands Präventionsmaßnahmen zu ergreifen.

2. Implementieren Sie eine unternehmensweite Passwortrichtlinie

Es ist unmittelbar ersichtlich, dass Cyberkriminelle mehr Schaden anrichten und eine größere Reichweite erzielen, wenn sie über die entsprechenden Passwörter verfügen. Eine unternehmensweite Passwortrichtlinie leistet einen wichtigen Beitrag, wenn man sich vor Online-Betrug schützen will. Dabei reicht es nicht aus starke Passwörter festzulegen, die lang und komplex genug sind. Mitarbeiter sollten zudem Passwörter nicht an Kollegen weitergeben oder dieselben Passwörter für unterschiedliche Websites verwenden. Benutzer verwenden Passwörter, um sich bei Bankkonten, Kommunikationsplattformen, einer Buchhaltungssoftware und vielen weiteren Anwendungen anzumelden. Alles Orte, an denen zumeist sensible Informationen gespeichert sind. Wenn Unternehmen auf eine Passwort-Richtlinie verzichten, weitet sich der potenzielle Schaden durch passwortbedingten Online-Betrug aus.

Wenn verwendete Sites und Dienste Zwei-Faktor-Authentifizierung anbieten, sollte man diese Funktion zwingend aktivieren. Bei der Zwei-Faktor-Authentifizierung muss der Passwortinhaber die richtige Zeichenfolge verwenden und zusätzlich einen temporären Zugriffscode eingeben, wenn er auf die Anwendung zugreifen will. Wir kennen das unter anderem vom Online-Banking. Wenn eine Bank-Website erkennt, dass ein Benutzer versucht, von einem unbekannten Computer aus auf ein Konto zuzugreifen, wird dem Kunden ein zusätzlicher Code per E-Mail oder SMS zugeschickt. Passwörter allein reichen nicht aus, um solche Konten vor Online-Betrug zu schützen.

3. Anzeichen für Online-Zahlungsbetrug erkennen

Wenn man sich näher damit beschäftigt, die Anzeichen von Zahlungsbetrug zu erkennen, stößt man auf einige überraschende Charakteristika.

Zum Beispiel geht es bei Zahlungsbetrug längst nicht immer um große Transaktionen. Oftmals werden mehrere Transaktionen über kleine Summen benutzt oder wiederholte Versuche über einen längeren Zeitraum hinweg. Das kann gerade für kleine Unternehmen problematisch werden. Eine Umfrage vom Januar 2018 hat ergeben, dass vier von zehn Kleinunternehmen mit Cashflow-Problemen kämpfen. Bleiben fehlerhafte Transaktionen zu lange unbemerkt, verschlimmern sich die Probleme zusätzlich.

Die für Bankkonten verantwortlichen Mitarbeiter, sollten die dazugehörigen Aufzeichnungen täglich überprüfen und alles melden, was ihnen verdächtig erscheint. Das Festlegen von Regeln für arbeitsbedingte Ausgaben der Mitarbeiter und wie diese Käufe erfasst oder genehmigt werden, erleichtert es, Abweichungen zu erkennen und auf mögliche Betrugsaktivitäten aufmerksam zu werden.

Software, die auf maschinellem Lernen basiert, „lernt“ zunächst die Charakteristika normaler, alltäglicher Kontoaktivitäten und schlägt Alarm, wenn sie Abweichungen von dieser Norm erkennt.

4. Online-Betrug als Thema für Mitarbeiterschulungen

Gegen Online-Betrug vorgehen ist Teamarbeit. Im Idealfall lebt die Geschäftsführung Sicherheit vor, und ermutigt alle Mitarbeiter ihr hinsichtlich der praktizierten Sicherheitskultur zu folgen. Dazu sollten die Mitarbeiter darin geschult sein, Anzeichen für Online-Betrug zu erkennen. Immer noch beliebt ist es, Gewinne oder andere Vorzüge in Aussicht zu stellen, wie etwa den scheinbar kostenlosen Zugang zu einer teuren Software. Immer unter der Voraussetzung, dass das Opfer zunächst ein paar Daten eingibt. Betrug kann sich auch auf Transaktionen am Arbeitsplatz beziehen. Ähnlich wie bei Online-Lotterie-Betrügereien, die "Gewinner“ benachrichtigen. Hier werden die angeblichen Gewinner aufgefordert zunächst Daten wie zum Beispiel Kontoinformationen anzugeben um an ihr Geld zu kommen. Oder es werden Daten unter dem Vorwand abgefragt, den Richtlinien des besagten Unternehmens zu genügen. Bei einem bekannt gewordenen Phishing-Versuch haben Cyberkriminelle sich als Beamte des Finanzamts ausgegeben und versucht, Steuerberater dazu zu bringen, Daten abzuliefern. Die sollten angeblich der Aktualisierung von im Unternehmen hinterlegten Inhalten dienen.

Wenn Mitarbeiter solche Warnsignale kennen, werden sie Auffälligkeiten leichter als solche identifizieren und den Sicherheitsverantwortlichen melden – und so Online-Betrug eher verhindern.

5. Externe Dritte

Mehr über den Schutz eines Unternehmens vor Online-Betrug zu wissen, heißt auch die Betrugsarten zu kennen, die externe Parteien wie Kunden oder Auftragnehmer anwenden könnten. Retouren-Betrug ist so ein Fall: Kunden versuchen einen Artikel „zurückzusenden“, der zwar von dem betreffenden Händler angeboten wird, dort aber nicht gekauft wurde. Oder Artikel werden mit falschen Begründungen zurückgeschickt. Amazon wurde aktuell um über 1 Million Dollar  betrogen, drei Beschuldigte erhielten längere Haftstrafen. Amazon hat inzwischen damit begonnen, explizite Warnungen auszusprechen oder die Konten von Käufern zu schließen, die zu viele Waren zurücksenden oder das aus Gründen tun, die nicht zur Mehrheit der typischen Amazon-Kunden passt. Auch andere Unternehmen überwachen inzwischen Käufe um gegen sogenannte "Serial Returners" vorzugehen.

Auftragnehmer stellen unter Umständen Arbeiten in Rechnung, die niemals ausgeführt wurden. Es hilft, alle Rechnungen sorgfältig zu kontrollieren statt sie quasi gewohnheitsmäßig zu zahlen.

6. Überprüfen Sie alle Online-Anfragen - besonders die dringenden

Einige Unternehmen sind so bemüht, ihre Interessengruppen zufriedenzustellen und alle möglichen Bedürfnisse zu befriedigen, dass sie nicht mehr prüfen, ob es sich um legitime Anfragen handelt. Es ist immens wichtig, alle Online-Anfragen, auch die rechtmäßig erscheinenden, sorgfältig zu prüfen. Insbesondere dann, wenn der Absender außergewöhnliche Dringlichkeit vermittelt.

Viele Cyberkriminelle nutzen zudem die Taktik, mit schwerwiegenden Konsequenzen zu drohen. Etwa Konten zu schließen oder Geldstrafen zu verhängen. Das schürt Angst und motiviert zu schnellen und unüberlegten Handlungen. Lassen Sie sich am besten von einem Anwalt oder Experten für Cybersicherheit beraten bevor Sie spontane Entscheidungen treffen, die leicht den Betrieb des Unternehmens gefährden können.

Online-Betrug betrifft alle

Letztendlich ist jedes Unternehmen für Online-Betrugsversuche anfällig. Aber schon die Charakteristika zu kennen hilft, dagegen vorzugehen und passende Taktiken umzusetzen. Für alle, die mehr wissen wollen, haben wir einige Links zusammengestellt:

https://www.globalsign.com/de-de/blog/betrug-bei-ecommerce-transaktionen-erkennen/

https://www.globalsign.com/de-de/blog/digitale-diebstaehle-im-bereich-cyberkriminalitaet/

https://www.globalsign.com/de-de/blog/so-erstellen-sie-ein-starkes-passwort/

https://www.globalsign.com/de-de/blog/world-password-day-5-tipps-fuer-mehr-cybersicherheit/

Über die Autorin

Kayla Matthews ist eine Technik-Journalistin aus Pittsburgh, die für Hacker Noon, Cloud Tweaks, Houzz und andere geschrieben hat. Sie ist auch die Eigentümerin und Redakteurin des Tech-Produktivitätsblogs Productivity Bytes.

Hinweis: Dieser Blog Artikel wurde von einer Gastautorin geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die der Autorin und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen