Fragwürdige Webseiten, unseriöse Geschäftsmöglichkeiten, EU-Pässe usw. all das findet sich im Internet wieder. Neben einer Reihe von anderer Schlagzeilen verdeutlicht aktuell die Corona-Pandemie das Ausmaß von Betrügereien in der Online-Welt.
Online-Betrug hat viele Gesichter: von falschen Spendenaktionen, über Social Engineering Attacken, um User auf eine bösartige Webseite zu locken oder Login-Daten zu „phishen“, oder gezielte Spearphishing-Tricks. Cyberkriminelle sind enorm anpassungsfähig. Die Brexit-Berichterstattung war kaum durch die Corona-Pandemie-Nachricht abgelöst, da hatten Cyberkriminelle bereits die ersten Corona-Scam-Kampagnen aufgesetzt.
Bei Veränderungen hat die Sicherung digitaler Assets Priorität
Die meisten Menschen denken bei Einschränkungen auf den Geschäftsbetrieb eher an unvorhergesehene Ereignisse, wie Feuer, Stromausfälle, oder im Fall von IT Security an Ransomware-Attacken. Im Prinzip an all das, was Betriebe unmittelbar betreffen kann. Es gibt aber auch Ereignisse wie NAFTA, DSGVO, Brexit, Handelskrieg oder COVID-19, die mehr oder weniger sich schnell entwickelnde Veränderungen nach sich ziehen und Risiken für Online-User und IT-Infrastrukturen bergen. Dazu gehören ungünstige Ergebnisse regionaler oder überregionaler Wahlen, nationale oder globale Handelsabkommen, öffentliche Uneinigkeiten und Wirtschaftssanktionen. Das alles existiert quasi „on top“ neben den Einschränkungen durch Wetterextreme, Grenzkontrollen oder gesperrte Autobahnen. Kurz gesagt, jedes dieser Ereignisse stellt auch ein nachgelagertes potenzielles, digitales Risiko für die Betriebssicherheit dar.
Scam und Social Engineering: Die Brücke zwischen Physischem und Digitalem
Physische Einwirkungen von Betrügereien auf den Geschäftsbetrieb geschehen regelmäßig - zum Beispiel, wenn minderwertiger Beton oder Stahl als Folge eines Betrugs in eine Brücke gelangt. Dazu existieren auch digitale Pendants mit ganz eigenen Auswirkungen. Online-Betrüger sind beispielsweise dafür bekannt, dass sie sich auf Unglücke wie COVID-19 konzentrieren, um den guten Willen der Menschen ausnutzen.
Für die Verbraucher manifestiert sich das oft als Betrugs-E-Mails, in denen um finanzielle „Hilfe“ gebeten wird, wobei die eigentliche (betrügerische) Absicht jedoch darin besteht, Geld und/oder persönliche Daten einzusammeln. Im Geschäftsbereich können wir uns das umgekehrt vorstellen – Betrüger bieten Produkte oder Dienstleistungen, um an Daten oder andere Informationen zu gelangen. Wenn alle Voraussetzungen stimmen, gelingt der Business Scam.
Scams und Social Engineering Attacken für Unternehmenseinbußen verantwortlich
Zur Zeit warten viele Unternehmen reihenweise auf die finanziellen Mittel aus dem größten Hilfspaket in der Geschichte Deutschlands. Daneben suchen viele nach neuen Geschäftsfeldern, um sich an die neue Situation anzupassen.
Für Geschäftsvertreter, Ingenieure oder Backoffice-Mitarbeiter bedeutet das noch mehr Stress als ohnehin. In der Hektik öffnet man dann versehentlich eine (vermeintliche) PDF aus dem Anhang einer E-Mail und wird Opfer eine Ransomware-Attacke. Oder, man antwortet auf eine E-Mail, in der sensible Daten gefordert werden, ohne dass man den Absender genau überprüfte. Die auf den ersten Blick „harmlos“ erscheinenden E-Mails können enorme Folgen haben, sei es durch die Verschlüsselung wichtiger Unternehmensdaten oder persistente Bedrohungen im Unternehmensnetzwerk.
Neue Verordnungen bergen Risiken für Unternehmen
Ja, auch neue Regularien bedrohen Unternehmen. Selbst wenn Unternehmen bis zur endgültigen Einführung der DSGVO eine gewissen Zeit zur Vorbereitung hatten, existierten genügen Unsicherheiten über die Einhaltung der Vorschriften. So manches Geschäftsmodell oder interner Prozess wurde durcheinandergebracht. Eine Veränderung einer regulatorischen Landschaft eröffnet Betrügern den Raum, die Unsicherheit in Bezug auf die Einhaltung der Vorschriften und Datenschutzrechte auszunutzen. Das Gleiche gilt im Übrigen auch für den CCPA in den USA... oder für die neu implementierten Gesetze und Vorschriften rund um COVID-19.
Vorsicht Falle: Phishing
Hilfe in Form von Beratung über die Einhaltung von Vorschriften oder „Gelegenheiten“ zur Geschäftsentwicklung kann sich als Phishing entpuppen. Das ist eine Bedrohung für Unternehmen, welche sich erhöht, wenn sich der Wettbewerb intensiviert. Oftmals werden wertvolle Daten immer dann aus dem Unternehmen geleitet, wenn die Kommunikation von mehreren Unternehmen und / oder Institutionen beginnt, das Interesse und die Begeisterung zu bündeln. Der „Geruch“ nach sensiblen Geschäftsinformationen lockt Konkurrenten und Cyberkriminelle gleichermaßen.
Die Veränderung in der Lieferkette
Nicht nur physische Störungen haben einen Einfluss auf die Lieferkette, sondern auch digitale Ereignisse. Wenn eine Veränderung auftritt, sei es aufgrund von finanziellen Mitteln oder eines IT-Sicherheitsvorfalls, sind Hersteller häufig bemüht, Lieferanten zu substituieren, Berichts- und Kommunikationsprozesse zu ändern und zeitweise sogar ganze Logistiksysteme umzustellen.
Leider können Unternehmen, die auf eine Veränderung in der Lieferkette reagieren möchten, an nachlässige Lieferanten gelangen. Diesen mangelt es an zuverlässigen Risikobewertungen beispielsweise in Bezug auf Grundlegende IT-Sicherheitsnormen gegenüber deren Lieferanten. Als indirekt betroffenes Unternehmen wird eine ordnungsgemäß verwaltete Sicherheitssuite nun noch wichtiger.
In der Vergangenheit zeigte sich, wie die NotPetya-Malware globale Lieferketten attackierte und Milliarden-Kosten verursachte. Diejenigen, die damals nicht von der Ransomware betroffen waren, unterbrachen die Geschäftsbeziehungen zu vor- und nachgelagerten Lieferanten, um sicher zu bleiben.
Globale Herausforderungen locken Cyberkriminelle an
Die COVID-19-Pandemie liefert ganz aktuell den Treibstoff, um Online-Betrug in eine neue Ebene zu heben. Viele Angestellte sind im Home-Office. IT-Systeme, Sicherheitssoftware und -prozesse sowie das Bewusstsein der Tele-Arbeitenden werden momentan auf Herz und Nieren geprüft.
Quasi über Nacht stieg die Online-Aktivität Hunderter Millionen Menschen an. Dabei vermischt sich geschäftliches und privates Geschehen auf vielen Computern. Wie viele Tele-Arbeitende außerhalb der meist gut geschützten Unternehmensinfrastruktur nun über solide IT-Sicherheitspraktiken zu Hause verfügen, wird sich zeigen. Es ist an der Zeit, der digitalen Sicherheit höchste Priorität einzuräumen.