Oktober 05, 2016

So schützen Sie sich vor Datenbetrug: Risiken und Maßnahmen



Lesen Sie mehr über die Hintergründe eines Datenbetrugs

Ein Datenbetrug ist in der Regel ein unabhängiger krimineller Prozess, dem immer entweder einzelne Personen oder ganze Unternehmen zum Opfer fallen.

Laut der Association of Certified Fraud Examiners (ACFE; Verband zertifizierter Betrugsexperten) lautet die Definition eines Betrugs wie folgt: „jegliche beabsichtigte oder bewusst durchgeführte Handlung mit dem Ziel einander durch Arglist, Täuschung oder andere unfaire Mittel Eigentums oder Geldes zu berauben“.

Wie läuft ein Betrug ab?

In der Regel denken wir bei diesem Begriff nur an einzelne Personen, die betrogen werden. Es ist jedoch ebenso möglich, dass ein Unternehmen Betrügern zum Opfer fällt. Betrüger können entweder unter den Mitarbeitern selbst zu finden sein, die am Arbeitsplatz arglistig handeln, oder es handelt sich um Kriminelle, Kunden oder andere Dritte, die das Unternehmen von außen mit betrügerischer Absicht angreifen.

Mit welchen Kosten ist ein Betrug verbunden?  

Gemäß einer Studie der Association of Certified Fraud Examiners verliert das Durchschnittsunternehmen jährlich 5 % seiner Einnahmen an Betrüger. 

Wie passiert ein Datenbetrug? 

Eingangsphase

Auf unterschiedlichste Weise sammeln Kriminelle vertrauliche Informationen. Sie nutzen Websites, Social Media-Seiten etc. online oder entwenden Dokumente aus Abfalleimern. Wenn die Betrüger unter den eigenen Mitarbeitern zu finden sind, stehlen sie Informationen am Arbeitsplatz. Sie nutzen das sogenannte Visual Hacking oder greifen via Computer auf vertrauliche Daten zu.

Opferauswahl

Im Anschluss prüfen die Kriminellen die gestohlenen Daten um festzulegen, ob ausreichend Daten vorhanden sind um eine Person oder ein Unternehmen anzugreifen. Dabei spielt die Datenmenge eine Rolle, oder ob es sich um ein leichtes Angriffsziel handelt und wie viel bei dem Betrug herausspringt.  

Die gestohlene Identität vervollständigen

Sind nicht genügend Informationen vorhanden, so verwenden die Internet-Verbrecher andere Strategien, um an Daten zu gelangen. Die betrügerische Handlung namens Social Engineering beispielsweise verleitet Personen dazu, Sicherheitsrichtlinien zu brechen und den Kriminellen aus Versehen Daten zur Verfügung zu stellen bzw. schadhafte Software zu installieren. Bei einem sogenannten 'Phishing Scam' geben sich die Cyber-Kriminellen zum Beispiel als bekannte Unternehmen aus und versuchen per E-Mail oder Telefon weitere Informationen zu erhalten.  

Sicherheitslücken ausfindig machen

Cyber-Kriminelle suchen Schwachstellen in einem Unternehmen oder Computersystem. Aus der Studie „ACFE Global Fraud Study 2016“ geht hervor, dass mangelnde interne Kontrollprozesse am häufigsten zu Datenbetrug führten (wurden in 29,3 % der Fälle angegeben). Die nächste Schwachstelle war die Möglichkeit, bestehende interne Kontrollen einfach zu ignorieren.

Der Betrug an sich

Irgendwann ist der Betrüger bereit, seinen Angriff zu wagen. (Es kann Wochen oder sogar Jahre dauern, bis es soweit ist.) Bei den meisten Betrugsfällen handelt es sich um Identitätsdiebstahl (betrügerische Kontoeröffnungen, Übernahme bestehender Konten etc.), oder unlautere Lieferanten stellen einem Unternehmen Waren oder Dienstleistungen in Rechnung, die das Unternehmen nie bezogen hat. Unlautere Kunden könnten ungültige Schecks oder gefälschte Kontodaten für die Zahlung verwenden.

Betrugsprävention am Arbeitsplatz

Nachfolgende Maßnahmen unterstützten die Betrugsprävention am Arbeitsplatz:

  • Bauen Sie eine Sicherheits-sensibilisierte Kultur auf und beziehen Sie sämtliche Mitarbeiter – in allen Hierarchie-Ebenen – mit ein.
  • Halten Sie Ihr Unternehmen stets up-to-date in Hinsicht der Einhaltung rechtlicher Bestimmungen.
  • Statten Sie sämtliche Festplatten mit Sicherheitsmaßnahmen aus.
  • Schulen Sie Ihre Mitarbeiter regelmäßig.
  • Ermutigen Sie Ihre Mitarbeiter, Fehlverhalten anzuzeigen, z. B. mit Hilfe einer sogenannten „Whistle-Blower-Hotline“.
  • Greifen Sie auf die Möglichkeit von Risikobewertungen im Bereich Betrug zurück, um mögliche Risiken zu erkennen.
  • Entwickeln Sie einen Datenleck-Notfallplan.
  • Überprüfen Sie Dritte eingehend um sicherzustellen, dass sie sich für die Einhaltung von Informationssicherheit verpflichten.
  • Optimieren Sie laufend Ihre Sicherheitsprozesse am Arbeitsplatz. Holen Sie sich dafür zum Beispiel einen führenden Anbieter für Aktenvernichtung an Bord, der eine Kontrollkette für die sichere Vernichtung sowohl von gedruckten Unterlagen als auch von Festplatten zur Verfügung stellt.