Das World Wide Web ist voller Garantieversprechungen, vermeintlichen Geschenken und Verführungen – von Lottogewinnen über Liebesbotschaften bis hin zu verlockenden Jobangeboten. Doch leider sind viele dieser „Sonderangebote“ nicht mehr als mit Luft gefüllte Worthülsen, erfunden von skrupellosen Betrügern. Im Jahrhundert der Digitalisierung hat das Scamming alarmierende Ausmaße angenommen. Die Methoden sind perfide und die Folgen verheerend: Heimgesuchte von Scamming werden nicht bloß in Sachen Geld, sondern ebenso emotional stark geschädigt. Aber was befindet sich hinter diesem Ausdruck „Scamming“ oder „Scam“? Welche unterschiedlichen Formen gibt es und wie sollten Sie sich absichern? Antworten auf diese Fragen bekommen Sie im folgenden Text.
Internetkriminalität ist ein weltweites Phänomen, dessen Vielzahl wie auch Umfang kontinuierlich wachsen. Datendiebstahl, Manipulation von Daten, Verbreitung von Schadprogrammen sowie Betrug sind bloß einige Beispiele für die verschiedenen Formen der Internetkriminalität, welche beachtliche Schäden verursachen. Sowohl größere Skandale als auch alltägliche Vorfälle veranschaulichen die allgegenwärtige Gefahr und die weitreichenden Konsequenzen jener Art von Kriminalität.
Die Polizeiliche Kriminalstatistik 2022 für Deutschland verzeichnete allein im Jahr 2022 insgesamt 136.865 Fälle von Cyberkriminalität. Diese alarmierende Zahl bilden aber nur die Spitze des Eisbergs dar, weil es gerade im Bereich der Cyberkriminalität eine erhebliche Dunkelzahl gibt, die unter Umständen noch merklich höher ist.
Äußerst dramatisch ist der Umstand, dass in letzter Zeit vermehrt offizielle Webseiten, wie beispielsweise die der Europäischen Union, von diesen sogenannten Scammern missbraucht werden, um betrügerische Aktivitäten durchzuführen. Das unterstreicht, dass selbst offenbar vertrauensvolle Seiten keineswegs mehr sicher vor gewieften Internetkriminellen sind.
Was versteht man unter Scamming?
Scamming, auch als Scam bekannt, bezieht sich auf verschiedene Arten des Vorschussbetrugs. Es dreht sich um betrügerische Tätigkeiten, bei welchen die Täter darauf setzen, ihre Opfer wirtschaftlich zu schädigen, persönliche Daten zu sammeln oder Waren gesetzeswidrig zu erlangen. Das geschieht meist durch das Missbrauchen von Vertrauen sowie Manipulation.
Die Kriminellen setzen eine Reihe von Techniken ein, welche von falschen Lotteriegewinnen und betrügerischen Jobangeboten bis hin zum sogenannten „Liebesbetrug“ reichen. Sie ködern ihre Opfer mit verlockenden Angeboten und Versprechungen, um sie zu überzeugen, Geld zu überweisen oder persönliche Daten preiszugeben. Im Zuge dessen setzen die Täter oft auf ausgeklügelte sowie manipulative Taktiken, mit dem Ziel, das Vertrauen der Opfer zu erlangen und diese in die Irre zu leiten.
Oft gebrauchen die Kriminellen Techniken des Social Engineerings. Das heißt, sie geben sich als vertrauenswürdige Personen aus oder bauen eine Vertrauensbeziehung auf, um ihre Opfer zu Handlungen zu animieren, welche ihnen Schaden zufügen.
Die Folgen des Scammings können verhängnisvoll sein. Die Opfer erfahren oft große finanzielle Verlustgeschäfte und der mentale Schaden durch den Vertrauensbruch kann enorm sein. Außerdem kann das Übermitteln persönlicher Informationen zu zusätzlichen Gefahren führen, wie etwa Identitätsdiebstahl.
Scamming-Arten: Eine Übersicht über die vielfältigen Betrugsvarianten
Vor allem im Geschäftsumfeld können Scams in abwechslungsreichen Ausprägungsformen auftreten. Im Folgenden sind einige meistgenutzte Scam-Arten, die im Unternehmensumfeld auftreten können dargestellt:
- CEO-Fraud (Geschäftsführer-Betrug): Bei jener Form von Scam geben sich Kriminelle als hochrangige Manager eines Unternehmens aus und bitten Mitarbeiter, dringende Überweisungen zu erledigen oder vertrauliche Informationen preiszugeben. Sie verwenden häufig Social-Engineering-Techniken, um das Vertrauen der Mitarbeiter zu bekommen und diese zur Durchführung der betrügerischen Handlungen zu bewegen.
- Lieferantenbetrug: In diesem Fall geben sich Kriminelle als langjähriger Zulieferer aus und fragen das Unternehmen, die Zahlungsdaten zu ändern. Hierdurch können Zahlungen an die Betrüger anstatt an den eigentlichen Zulieferer ausgeführt werden.
- Rechnungsbetrug: Jener Scam beinhaltet das Senden von falschen Rechnungen für Konsumgüter oder Dienstleistungen, die nie geliefert oder erbracht wurden. Es kann auch den Kauf von Waren oder Dienstleistungen unter Nutzung gestohlener oder gefälschter Zahlungsinformationen beinhalten.
- Tech-Support-Betrug: Bei dieser Betrugsart geben sich die Betrüger als Technologieanbieter aus und beteuern, dass die Firma ein IT-Problem hat, welches sie gegen eine Gebühr beheben können. Häufig verwenden sie Angst und Dringlichkeit, um das Unternehmen zur Bezahlung zu drängen.
- BEC (Business-E-Mail Compromise): In diesem Szenario hacken die Scammer ein Firmen-E-Mail-Konto und versuchen darüber falsche Finanztransaktionen im Namen der Firma durchzuführen.
Vorbeugen statt reagieren
Die effektivste Möglichkeit, um sich vor Scams zu schützen, ist eine gesunde Portion Skepsis im World Wide Web: Überall, wo Geld via Vorkasse transferiert werden soll, ist Vorsicht geboten. Ebenso gibt es eine Reihe einfacher Schutzmaßnahmen, die Firmen treffen können, um sich und die Mitarbeiter vor den Gefahren des Scammings zu schützen. Hierzu zählen unter anderem:
- IT-Sicherheitsschulungen und Aufklärung der Mitarbeiter: Die Mitarbeiter sind oft die erste Verteidigungslinie gegen Scamming. Regelmäßige Schulungen sowie Sensibilisierung für die unterschiedlichen Arten von Scams und wie sie arbeiten, können dazu beitragen, dass die Mitarbeiter verdächtige Aktivitäten identifizieren und melden.
- Technische Sicherheitsmaßnahmen: Firmen sollten belastbare Sicherheitssysteme implementieren, die eine Vielzahl von Bedrohungen entdecken und blocken können. Dazu zählen etwa die Nutzung von robusten Firewalls, verlässlichen Antivirenprogrammen, leistungsstarken E-Mail-Filtern und Systemen für eine Multi-Faktor-Authentifizierung.
- IT-Sicherheitsrichtlinien und IT-Sicherheitsverfahren: Firmen sollten klare Vorschriften und Prozesse für die Interaktion mit sensiblen Daten sowie Transaktionen haben. Diese können Vorschriften für die Überprüfung und Bewilligung von Rechnungen sowie den sicheren Umgang mit sensiblen Informationen beinhalten.
- Datenschutzrichtlinien: Unternehmen sollten Richtlinien zum Schutz privater sowie geschäftlicher Daten haben. Diese sollten den verlässlichen Umgang mit sensiblen Informationen, die Beschränkung des Zugriffs auf Daten sowie die regelmäßige Überprüfung von Datenschutzpraktiken enthalten.
- Regelmäßige Sicherheitsüberprüfungen und Audits: Unternehmen sollten in regelmäßigen Abständen Sicherheitsüberprüfungen und Audits durchführen, um Schwachstellen zu identifizieren sowie zu gewährleisten, dass alle Sicherheitsmaßnahmen auf dem neuesten Stand sind.
- Krisenmanagementplan: Für den Fall, dass ein Scam erfolgreich ist, sollte jede Firma einen Krisenmanagementplan haben. Dieser sollte Maßnahmen zur Schadensbegrenzung, zur Analyse des Vorfalls und zur Wiederherstellung des normalen Betriebs beinhalten.
- Backup und Recovery: Unternehmen sollten regelmäßige Sicherungen der wichtigen Daten machen und einen Wiederherstellungsplan für den Fall eines Betrugs- oder Sicherheitsvorfalls haben.
Zu diesem Thema haben wir bereits einen Blogbeitrag veröffentlicht, der den Anbieter HornetSecurity thematisiert. Im Kern geht es um verschiedene von uns für unsere Klienten genutzte Module: u.a. ein anonymes und automatisiertes Awareness-Training, Advanced Threat Protection, Spam-/Malware-Schutz, DDoS-Abwehr und Phishing-Erkennung.
Hier geht es zum Blogbeitrag
Scamming-Vorfall: Sicherheitsvorkehrungen verstärken und rechtliche Schritte einleiten
Sobald ein Unternehmen auf einen Scamming-Vorfall stößt, gibt es unterschiedliche Maßnahmen, um die Auswirkungen zu reduzieren und künftige Angriffe zu verhindern.
- Identifizierung des Problems: Der erste Schritt liegt darin, den Fall zu erkennen und zu melden. Dies kann durch ein internes Sicherheitssystem oder durch einen Verweis eines Mitarbeiters oder Kunden geschehen.
- Einschränkung des Schadens: Nachdem ein Scamvorfall bestätigt wurde, sollte das Unternehmen Methoden ergreifen, um den Schadensfall zu begrenzen. Dies könnte das Sperren von Benutzerkonten oder das Absondern spezieller Systeme vom Netzwerk beinhalten.
- Sicherung von Beweisen: Unternehmen sollten versuchen, möglichst viele Beweismittel sicherzustellen. Dies können Systemlogs, E-Mail-Nachrichten oder andere Arten von Daten sein, welche zur Analyse des Vorfalls hilfreich sind.
- Berichterstattung an Behörden: In vielen Fällen ist es ratsam, den Vorfall den jeweiligen Behörden zu melden. Sie können bei der Analyse unterstützen und gegebenenfalls zusätzliche Informationen bereitstellen. Zudem kann je nach Umfang einer solchen Attacke eine allgemeine Warnung herausgegeben werden.
- Untersuchung des Vorfalls: Die Firma sollte den Vorfall eingehend untersuchen, um zu verstehen, wie es zu dem Scamming-Vorfall kommen konnte und welche Schritte ergriffen werden müssen, um vergleichbare Fälle in der Zukunft zu vermeiden.
- Kommunikation: Es ist entscheidend, offen und transparent mit sämtlichen betroffenen Parteien zu kommunizieren. Das kann Mitarbeiter, Kunden, Partner, Aufsichtsbehörden und je nach Situation die gesamte Öffentlichkeit betreffen.
- Maßnahmen zur Behebung und Prävention: Auf der Basis der Untersuchungsergebnisse sollten Maßnahmen ergriffen werden, um mögliche Schwachpunkte zu beseitigen und zukünftige Scamming-Vorfälle zu verhindern. Dies könnte die Einführung neuer Sicherheitsprotokolle, Trainings für Mitarbeiter oder technische Neuerungen enthalten.
Wenn Sie proaktiv tätig werden möchten oder mehr über unser Vorgehen im Zusammenhang mit IT-Sicherheit erfahren möchten, stehen wir Ihnen jederzeit gerne zur Verfügung. Kontaktieren Sie uns gerne.