Geleakte Daten können Ihrem Unternehmen teuer zu stehen kommen

Glauben Sie, Ihr Unternehmen hätte nichts zu verbergen?

Verfasser: F-Secure Business Security Insider
Datum: 9. April 2015
Lesedauer: 4 Minuten

Glauben Sie, dass Ihr Unternehmen nichts zu verbergen hat? Überlegen Sie lieber noch einmal. Jedes Unternehmen und jeder seiner Mitarbeiter hat etwas zu verbergen, etwas, das kein Unbefugter wissen sollte. Persönliche Informationen über einen Mitarbeiter können Ihre Sicherheit gefährden – und in vielen Fällen ist dies bereits geschehen. Während wir immer wieder den Argumenten entgegensteuern, die Menschen hätten nichts zu verbergen und könnten die Bedrohungen der Privatsphäre im Internet bequem ignorieren, halten wir es gleichzeitig für wichtig, einige Beispiele aus der Praxis zu geben, um zu zeigen, warum diese Haltung so unklug ist und Unternehmen bares Geld kostet.

Online-Betrügereien bringen Dritten seit Jahren viel Geld ein. Eine der größten Herausforderungen für Betrüger, die Zugang zu einer Person und dann auch einem Unternehmen suchen, ist es, in den Augen des Opfers vertrauenswürdig zu erscheinen. Und hier kommen Ihre Daten ins Spiel. Ich habe eine Geschichte darüber geschrieben, wie überzeugend ein Betrüger sein kann, wenn er von Ihren Reiseplänen weiß. Im Moment wollen wir uns aber mit einem konkreten Fall aus der Geschäftswelt beschäftigen.
Ein Rechnungsprüfer in einer Firma in Omaha, Nebraska, erhielt E-Mails von seinem CEO, der ihn bat, diverse Überweisungen nach China in Höhe von insgesamt 17,2 Mio. USD zu tätigen. Sie ahnen es bereits: Der Absender der E-Mails war nicht der CEO, und ein Betrüger machte einen ordentlichen Profit, indem er sich Zugang zu diesem Mitarbeiter verschaffte und dessen Vertrauen erschlich.

Was wir aus diesem Fall lernen können: E-Mails sind kein vertrauenswürdiges Medium. Die E-Mail als solche bietet keinerlei Absender-Authentifizierung. Absenderadresse und Kontaktdaten lassen sich leicht fälschen. Zur Authentifizierung muss man sich hier auf die Mail-Inhalte verlassen, auf eine kryptografische Signatur oder auf Informationen, die nur der angebliche Absender kennen kann. Und das führt uns zur weniger offensichtlichen Lektion, die uns dieses Beispiel lehrt.

Es sieht so aus, als habe der Betrüger von Omaha Informationen über das Opfer besessen und so einen Weg ins Innere des Unternehmens gefunden. Viele solcher Informationen sind im Netz und in den sozialen Medien völlig frei verfügbar. So wusste der Betrüger beispielsweise, wer für Geldüberweisungen zuständig war. Und er wusste, dass der CEO geschäftlich mit China zu tun hatte, was die Überweisungen ganz logisch erscheinen ließ. Wahrscheinlich wusste er auch, dass die betreffende Person sich nicht jeden Tag persönlich mit dem CEO traf, denn dann wäre die Sache ja schnell aufgeflogen. Ein Teil der Informationen, wie der Name des CEO, ist öffentlich zugänglich. Woher der Betrüger die übrigen Infos hatte, die ihm offenbar bei seinem Schwindel halfen, wissen wir nicht.

Dies ist ein hervorragendes Beispiel dafür, wie Kriminelle aufgrund der Kenntnis kleinster Details große Mengen Geld ergaunern können. Doch was hätte man in dem Unternehmen in Omaha anders machen können? Der Rechnungsprüfer hätte den CEO anrufen sollen, um den Vorgang zu überprüfen. Wenn es um sensible Daten geht, dann sollte es selbstverständlich sein, dass man die zuständigen Personen im Unternehmen kontaktiert, um solche Informationen zu überprüfen. Das Unternehmen sollte feststellen, welche Informationen der Betrüger hatte, und seine Sicherheitsrichtlinien entsprechend überarbeiten.

Für Privatpersonen gilt genau das Gleiche: Fragen Sie lieber zweimal nach, wenn jemand per E-Mail auf Sie zukommt. Überprüfen Sie den Absender, falls Sie Zweifel haben. Und schützen Sie all Ihre Daten, um Betrügern solche gezielten Angriffe so schwer wie möglich zu machen. Das gilt für private Daten (die eventuell Informationen enthalten, die es Betrügern ermöglichen, vertrauenswürdig zu erscheinen) und natürlich genauso für Unternehmensdaten. Schließen Sie alle Sicherheitslücken; stellen Sie sicher, dass Transaktionen vorher gegengecheckt werden, und sorgen Sie dafür, dass Informationen über wichtige Mitarbeiter nicht für Außenstehende zugänglich sind.

Die Reaktion des Unternehmens in unserem Beispiel bestand darin, den Rechnungsprüfer zu feuern. Bei einer Verletzung der Sicherheit ist das natürlich eine Option, doch man sollte vor allem sicherstellen, dass dem Unternehmen so etwas nicht noch einmal passiert. Sie sollten stets alles noch einmal prüfen, bevor Sie eine Anweisung befolgen. Wenn Sie dies nicht tun, können geleakte Daten Ihr Unternehmen viel Geld kosten. Seien Sie außerdem stets vorsichtig, wenn Sie im Internet Informationen mit anderen teilen, denn diese können sehr aufschlussreich sein, Ihre Privatsphäre verletzen und Sie angreifbar machen.

War es richtig, den Rechnungsprüfer zu feuern? Schwer zu sagen. Ein Teil der Verantwortung liegt natürlich auch bei allen, die leichtgläubig genug sind, einer simplen E-Mail zu vertrauen. Allerdings hängt es auch immer davon ab, ob das Unternehmen über geeignete Regeln verfügt, um beispielsweise Geldüberweisungen zu validieren. Hat der Rechnungsprüfer gegen konkrete Regeln verstoßen, als er das Geld überwies? Falls nicht, trägt das Unternehmen zumindest eine Mitschuld.

Surfen Sie sicher!
Micke


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s