Immer wieder werden Mitarbeiter einer Organisation Opfer von Social Engineering Angriffen. Erst in der letzten Woche gab ein System- und Entwicklungslieferant für Draht, Kabel und Bordnetz-Systeme bekannt, dass das Unternehmen um 40 Millionen Euro betrogen wurde. Es handelte sich dabei um das im MDax notierte Unternehmen LEONI.

Die Masche

Wegen interner laufender Ermittlungen sind nicht viele Details zum Vorfall bekannt. Es heißt aber, dass sich jemand unbekanntes als Mitarbeiter mit „besonderen Befugnissen“ ausgegeben habe. Mit falscher Identität und auch gefälschten Dokumenten konnten „bestimmte Geschäftsvorgänge vorbereitet“ werden. Im Endeffekt wurden rund 40 Millionen Euro auf Konten ins Ausland transferiert. Laut LEONI waren die IT-Infrastruktur und die Datensicherheit aber glücklicherweise nicht betroffen.

Offensichtlich kannte sich der Täter gut aus und wusste genau, wo er ansetzen musste, um an das Geld zu gelangen. In einer Umfrage aus dem Jahr 2015 berichtet die überwiegende Mehrheit der Befragungsteilnehmer, dass menschliches Fehlverhalten die Nummer-Eins-Sicherheitslücke im Unternehmen darstelle. Das deckt sich mit den Erfahrungen vom Bundeskriminalamt. Seit 2013 sind dem Amt etwa 250 Betrugsfälle zugetragen worden. Davon verliefen immerhin mehr als ein Viertel (27,2%) erfolgreich. Bei den überwiegenden Betrugsfällen ist es bei Versuchen geblieben.

Vorkehrungen

Besonders anfällig für diese Betrugsmasche sind stark hierarchisch geprägte Unternehmen. Unternehmensstrukturen können leicht im Internet recherchiert werden und mit Hilfe von gefälschten Identitäten und Dokumenten haben Cyber-Kriminelle dann oft einfaches Spiel, wie zum Beispiel beim Veranlassen von Überweisungen in der Buchhaltung.

Auch bei angeblich dringenden Anrufen sollte sich die Zeit für Erkundigungen innerhalb des Unternehmens genommen und selbst scheinbar unwichtige Informationen nicht herausgegeben werden, die sich für weitere Angriffe gezielt einsetzen lassen. Für die Buchhaltung heißt das vor allem, persönlichen Kontakt mit der Geschäftsführung suchen und Überweisungen absprechen – besonders bei hohen Summen. Genutzte E-Mail-Adressen sollten auf Validität überprüft werden. Sobald sich ein Betrugsverdacht erhärtet, empfiehlt es sich, umgehend die Polizei zu verständigen. Man erkennt: Gründliche Schulungen von Angestellten sind sinnvolle Präventivmaßnahmen, damit Unternehmen nicht weiter Opfer von Social Engineering werden.

LEONI ließ verlauten, dass eine Anzeige wegen Betrugs mittlerweile erstattet und Schadensersatz- und Versicherungsansprüche geprüft werden.