E-Banking Sicherheit in KMU geknackt

Das Azuge symbolisiert den Cyberkriminellenm der das NBetzwerk eines KMU überwacht. Aber auch das Auge des Aufmerksamen Geschäftsführers, der Geschäftsführerin, die auf die Sicherheit im Unternehmen achten und die Mitarbeitenden schulen.

E-Banking Sicherheit in KMU geknackt

Ein perfider Angriff, ein unachtsamer Mitarbeiter und schon hat sich via E-Banking das Guthaben einer Firma in Freiburg um eine Million Franken verringert. Denn eine Gruppe von Cyberkriminellen hat es auf Schweizer KMU abgesehen. Besonders gefährdet sind Firmen mit ungeschulten, ahnungslosen Mitarbeitenden.

Für einen kriminellen Hacker ist das Prinzip einfach: Eine schädliche Software installieren (die oft per E-Mail-Anhang als trojanisches Pferd ins Unternehmen eingeschleust wird) und sich dann mithilfe des von aussen gesteuerten Programms Geld vom E-Banking-Konto der Firma auf das eigene Bankkonto überweisen.
So geschehen kürzlich bei einem KMU-Betrieb im Kanton Freiburg.

Der Knackpunkt für einen Cyber-Kriminellen: Wie bringe ich das trojanische Pferd in die Firma? Wie knacke ich zum Beispiel für diesen Zweck das E-Mail-Konto eines Angestellten? Ganz so einfach wie es tönt ist es nicht, denn in der Regel muss ein Mitarbeiter oder eine Mitarbeiterin eines Betriebs den Anhang der E-Mail öffnen, damit das mitgelieferte Programm installiert wird und seine schädliche Wirkung entfalten kann.

Mehr verdächtige E-Mails

„In den vergangenen Tagen gingen bei der Melde- und Analysestelle Informationssicherung MELANI vermehrt Meldungen von Schweizer KMUs ein, welche verdächtige Spam E-Mails erhalten haben.“ schreibt MELANI im neusten Newsletter.

Es ist deshalb entscheidend, dass Mitarbeitende sensibilisiert sind, wenn KMU ins Visier der Cyberkriminellen geratenen. Die Mitarbeitenden sollten schon gar nicht in Versuchung kommen, solche Anhänge zu öffnen, wobei dies nur einer der vielen Tricks ist, um ein schädliches Programm zu installieren, um die E-Banking Sicherheit in einem Betrieb zu knacken. Kriminelle können sich zum Beispiel  durch Social-Engineering Zugang zu einem Computernetzwerk einer Firma verschaffen, um nur eine der vielen Möglichkeiten zu nennen.

Regelmässige Schulung für E-Banking Sicherheit

Der regelmässigen Schulung der Mitarbeitenden kommt deshalb eine grosse Bedeutung zu, damit Fälle, wie jener in Freiburg vermieden werden können.

Natürlich hat heute keine Firma mehr Zeit und Geld, die Leute für eine kurze effektive Schulung zusammenzurufen. Es liegt deshalb auf der Hand, solche Schulungen online durchzuführen, damit die Mitarbeitenden selbstständig lernen können, dann wenn Sie Zeit dafür haben.
Eine Übersicht solcher Online-Kurse finden Sie hier:
Onlinekurse Datenschutz und Informationssicherheit

Es müssen nicht nur jene wenigen Mitarbeitenden geschult werden, welche direkten Zugriff auf das E-Banking haben – es können auch andere Mitarbeitende die schädliche Software ins Firmennetzwerk einschleusen. Zudem ist die Form der geschilderten Attacke nur eine von vielen.
Von Nutzen in diesem Zusammenhang ist das Merkblatt IT-Sicherheit für KMU von MELANI.

Immer raffiniertere Tricks der Kriminellen

Die Attacken werden immer raffinierter, vor allem deshalb, weil die Kriminellen in mehreren Schritten vorgehen und zuerst nur einen Bekannten des eigentlichen Opfers angreifen, um dann das Vertrauen das zwischen diesen besteht auszunutzen und so in das Netzwerk des eigentlichen Opfers einzudringen.

Es lohnt sich deshalb, sich regelmässig mit der Sicherheitsschulung der Mitarbeitenden auseinanderzusetzender Mitarbeitenden . Wurden früher schädliche  Virenprogramme durch unbekannte Absender verschickt, die leicht erkannt werden konnten, knacken die Kriminellen zuerst die Adresskartei einer Firma und senden dann die E-Mail mit der schädlichen Software in deren Namen an die ausgwählten Opfer. Diese öffnen dann – wie im Fall von Freiburg – recht ahnungslos den Anhang, in der Meinung, ein Geschäftspartner werde ja wohl keine Schadsoftware in der Welt herumschicken.

Nur nebenbei sei bemerkt, dass der Satz „Diese Mail ist frei von Viren“ oder so ähnlich, allenfalls  etwas mit Vodoo-Zauber zu tun hat, nicht aber mit seriösem Virenschutz.

Die Tatsache, dass in diesen Tagen  der  bis heute grösste Cyberbankraub  mit einer Schadensumme von einer Milliarde Franken aufgedeckt wurde, zeigt, dass wir erst am Anfang einer Entwicklung stehen, bei denen es sich auch ein KMU nicht mehr leisten kann, vor diesen Gefahren die Augen zu verschliessen, und dass die E-Banking Sicherheit in einem KMU täglich gefährdet ist.

Falls Sie eine auf Ihr Unternehmen angepasste Sicherheitsschulung und firmenspezifische Online-Schulungen entwickeln wollen, kontaktieren Sie rissip.

17
Februar 2015
Von Markus SchärliKursangebot
Autor
Markus Schärli
Über:
Experte für didaktische Unternehmenskommunikation. Er verfügt über langjährige Erfahrung als Journalist (Zeitung, Radio, Fernsehen) als auch als Managing Director einer internationalen Firma in der Unternehmenskommunikation und Gründer des E-Learning Spezialisten rissip. Er ist Dozent für Unternehmenskommunikation an der Hochschule Luzern und Co-Autor des E-Books: „Personal erfolgreich und effizient schulen".
Mehr Beiträge von: Markus Schärli