Gastkommentar von Indevis-Chef Wolfgang Kurz
Diese fünf Tipps schützen vor E-Mail-Betrug
Jeder hat schon von Fällen gehört, in denen Cyberkriminelle eine falsche Identität vortäuschen, um Geld zu erschleichen: Vermeintlich beauftragt der Chef eine Zahlung per E-Mail oder der freundliche Kollege bittet um die Änderung seiner Kontonummer für die Gehaltsüberweisung. Kriminelle tarnen betrügerische E-Mails heute mitunter so professionell, dass man den Betrugsversuch nur schwer erkennt. Wolfgang Kurz, Geschäftsführer und Gründer des Münchner MSSPs (Managed Security Service Provider) Indevis, nennt fünf Tipps, wie Unternehmen und deren Beschäftigte solche Täuschungsmanöver aufdecken können.
BEC (Business E-Mail Compromise, Betrug per E-Mail) boomt, denn in Zeiten von New Work haben Betrüger oft ein leichtes Spiel. Wenn Beschäftigte verstärkt im Home-Office arbeiten, fällt es ihnen schwerer, schnell einmal bei einem Kollegen nachzufragen und einen Vorgang zu verifizieren. Dies steigert die Gefahr, im Eifer des Tagesgeschäfts auf eine Betrugsmasche hereinzufallen. Doch Unternehmen haben Möglichkeiten, sich vor BEC zu schützen.
1. Lassen Sie die vollständigen E-Mail-Adressen anzeigen: Viele Unternehmen haben ihr E-Mail-System so eingestellt, dass im internen Mail-Verkehr nur der Name des Absenders erscheint. Solche verkürzten Adressen sind zwar übersichtlicher, bergen aber auch die Gefahr, dass man nicht so genau hinsieht und sich leichter täuschen lässt. Angreifer brauchen dafür nur einen E-Mail-Alias zu manipulieren. Daher sollten Sie auch bei internen Mails immer die komplette E-Mail-Adresse anzeigen lassen, sodass die tatsächliche Domain des Absenders zu erkennen ist. Zusätzlich empfiehlt es sich, automatisch zu kennzeichnen, ob eine E-Mail von einem internen oder externen Absender stammt. In vielen E-Mail-Systemen kann man das einstellen. So lassen sich verdächtige Nachrichten oft schon auf einen Blick enttarnen.
2. Etablieren Sie E-Mail-Autosignaturen: Cyberkriminelle mögen es bequem. Machen Sie es ihnen also möglichst schwer, falsche Identitäten vorzutäuschen! Dazu gehört zum Beispiel, E-Mail-Autosignaturen zu etablieren – und zwar sowohl bei der externen als auch der internen Kommunikation. Dies erhöht den Aufwand für Betrüger, denn um ihre Nachricht authentisch aussehen zu lassen, müssen sie die Signatur exakt fälschen. Lange Signaturen können Texte in internen E-Mail-Ketten allerdings unübersichtlich machen. Daher empfiehlt es sich, unterschiedliche Autosignaturen für externe und interne Messages einzuführen: eine ausführliche, die sämtliche juristischen Angaben und grafischen Gestaltungselemente enthält, und eine schlankere nur mit den Kontaktdetails des Absenders. Falls dies nicht möglich ist, sollten Sie dieselbe Autosignatur für alle E-Mails verwenden.
3. Prüfen Sie E-Mails auf Tonalität und Firmenkultur: Die Zeiten, in denen man Betrugs-Mails sofort anhand von Grammatik- und Rechtschreibfehlern erkennen konnte, sind leider vorbei. Trotzdem gibt es ein paar Anzeichen, auf die Sie achten sollten. Vielleicht spricht Sie der vermeintliche Kollege plötzlich sehr formal an, obwohl Sie sich doch eigentlich alle duzen. Oder er schreibt in einem anderen Stil als sonst. Prüfen Sie eingehende E-Mails immer auf ihre Tonalität und hinsichtlich der Firmenkultur. Wenn plötzlich ungewohnte Anweisungen im Telegrammstil eintreffen oder Sie aufgefordert werden, von Standardprozessen abzuweichen, sollten alle Alarmglocken läuten.
4. Wechseln Sie für Kontrollfragen den Kanal: Wenn Ihnen eine E-Mail verdächtig vorkommt und Sie nachhaken möchten, sollten Sie am besten nicht direkt auf die eingegangene Nachricht antworten. Denn sonst besteht die Gefahr, dass Ihre Mail nur wieder beim Betrüger landet. Dieser kann dann antworten, die Täuschung aufrechterhalten und mit etwas Geschick alle Zweifel ausräumen. Greifen Sie daher lieber zum Telefon, nutzen Sie den Firmen-Chat oder schreiben Sie eine WhatsApp-Nachricht. In jedem Fall sollten Sie für Ihre Rückfragen das Medium wechseln.
5. Definieren Sie klare Freigaberichtlinien: Was passiert, wenn es dem Angreifer trotz aller Vorsichtsmaßnahmen gelingt, mit seiner falschen Identität durchzukommen? Dann können klare Freigabeprozesse im Vier-Augen-Prinzip den Betrug oft noch aufdecken und Schaden vermeiden. Legen Sie zum Beispiel Abläufe in der Buchhaltung genau fest, beispielsweise wie Zahlungsaufforderungen oder Überweisungen zu handhaben sind, und lassen Sie gehaltsbezogene Änderungen von Beträgen oder Kontodaten immer von der Personalabteilung gegenprüfen. Inhaltlich unspezifische Anweisungen von Vorgesetzten sollten Sie stets von der Finanzabteilung oder einer Führungskraft freigeben lassen.
Wenn Unternehmen und deren Belegschaft diese fünf Tipps beachten, dürften es Betrüger schwer haben, erfolgreich zu sein. Darüber hinaus ist es sinnvoll, die bestehenden Maßnahmen zur E-Mail Security einmal auf den Prüfstand zu stellen. Entsprechen sie noch dem aktuellen Stand der Technik und sind sie wirksam genug? Mit modernen Sicherheitssystemen lassen sich die meisten E-Mail-Angriffe schon im Vorfeld abwehren. Ein MSSP kann dabei helfen, eine Lösung zu finden und zu betreiben, die zu den individuellen Anforderungen eines Unternehmens passt.
Lesen Sie mehr zum Thema
