Cyberrisiken

Phishing, CEO-Betrug und andere raffinierte Cyberkriminalitätsmethoden stellen nicht nur Daten, sondern auch die finanzielle Sicherheit und den Ruf auf die Probe.

Hier sind beispielhaft einige Cyberrisiken aufgezeigt und was zu tun ist, wenn dies vorkommt.

Phishing

Mittels Phishing versuchen Kriminelle, Passwörter und weitere persönliche Informationen zu beschaffen. Dabei kann es sich beispielsweise um Zugangsdaten von E-Mail-Konten, Online-Auktionsanbietern oder um Kreditkartendaten handeln. Die Betrüger nutzen die Gutgläubigkeit und Hilfsbereitschaft ihrer Opfer aus, indem sie ihnen E-Mails mit gefälschten Absender-Adressen zustellen. In den E-Mails wird das Opfer beispielsweise darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten (beispielsweise Benutzernamen und Passwort) nicht mehr sicher oder aktuell seien und es diese unter dem in der E-Mail aufgeführten Link ändern solle. Der Link führt dann allerdings nicht auf die Originalseite des jeweiligen Dienstleistungsanbieters, sondern auf eine vom Betrüger identisch aufgesetzte Webseite.

CEO-Betrug

Angeblich dringende Zahlungsaufforderung des Präsidiums, der vorgesetzten Person, der Pfarrperson usw. Typischerweise ist die Person für Rückfragen telefonisch nicht erreichbar. Die Angreifer beschaffen sich im Vorfeld Informationen aus unterschiedlichen öffentlichen Quellen. Mit diesen Informationen wird dann ein Szenario ausgearbeitet und ein massgeschneiderter Angriff durchgeführt. Der eigentliche Betrug findet häufig mit einer E-Mail des angeblichen CEO an die Finanzabteilung oder einer E-Mail vom angeblichen Vereinspräsidenten an den Kassier statt. Durch eine glaubwürdige Geschichte soll die angeschriebene Person dazu bewegt werden, angeblich dringende Zahlungen auszulösen.

 

Was zu tun ist:

  • Mail löschen oder ignorieren
  • Kolleginnen und Kollegen über den Vorfall informieren, um die Aufmerksamkeit für die Bedrohung zu schaffen
  • Den Vorfall beim Bundesamt für Cybersicherheit melden

    Melden BACS Report

Mögliche weiterführende Massnahmen durch IT-Anbietende:

  • Im Bedarfsfall können IT-Anbieter Mails blockieren und aus den Postfächern löschen lassen
  • Spoofing-Schutz für ausgewählte Personen aktivieren: Dabei werden bestimmte vorgegebene Adressen blockiert, welche über denselben Anzeigenamen schreiben
  • usw.

    Mehr Informationen Bundesamt für Cybersicherheit BACS

Ansprechperson

Fabienne Schön