Jetzt das Unternehmen vor Cyber-Angriffen und deren Folgen schützen

Aufgrund der Corona-Krise befinden sich die meisten Arbeitnehmer derzeit im Homeoffice und arbeiten online für ihr Unternehmen. Einer der entscheidenden Nachteile dieser Arbeitsform: Die Betroffenen bewegen sich oft in einer nicht ausreichend gesicherten IT-Umgebung.

Auf der anderen Seite gibt es ein hohes Informationsbedürfnis zum aktuellen Stand der Epidemie, zu möglichen Schutzmaßnahmen oder auch zu finanzieller Unterstützung. Das bedeutet zweierlei: Zum einen bewegen sich die Arbeitnehmer immer wieder in mehr oder weniger geschützten Cyber-Räumen und Foren, um sich auf dem Laufenden zu halten.

Zum anderen aber wecken die besonderen Umstände der Krise auch das Interesse von Internet-Kriminellen. Diese haben sich, so zeigen die Warnungen von den LKAs, dem BSI und Europol, sehr schnell auf die neuen Gegebenheiten eingestellt und setzen ihre Kreativität zur Nutzung der vermehrten Schwachstellen ein.

Ob Malware, die sich hinter einer angeblichen „Echtzeit“-Karte von Corona-Infektionen verbirgt, ob Phishing-Mails, die mit Videoanweisungen zum Schutz vor Viren locken, ob gefälschte Informationsangebote der Weltgesundheitsorganisation oder aber die betrügerischen Internetseite zum Abruf der Fördergelder in NRW: Nahezu jede mögliche Angriffsfläche wird von gut organisierten Banden ausgenutzt.

Genau deshalb ist es für Arbeitgeber jetzt besonders wichtig, ihre Mitarbeiter entsprechend zu sensibilisieren, sowie die internen Prozesse und Schutzmaßnahmen zu prüfen. Nicht zuletzt muss es dabei auch um eine wirksame Absicherung von Vermögensschäden gehen, falls die Angreifer trotz aller Gegenmaßnahmen doch einmal erfolgreich gewesen sein sollten.

Euler Hermes, der Marktführer im Bereich der Vertrauensschadenversicherung, hat hierzu zahlreiche Hinweise für mehr Sicherheit herausgegeben.

Prozesse

  • Schulen Sie Ihre Mitarbeiter, damit sie sich der Gefahren bewusst sind, die mit unaufgefordert erhaltenen Nachrichten zusammenhängen können. Es empfehlen sich Awareness-Schulungen der kompletten Belegschaft über die neuen Risiken im Home-Office insbesondere die Zunahme von Phishing-Attacken im Zusammenhang mit Covid-19.
  • Auch und gerade im Home-Office gelten alle Vorgaben, Anweisungen und Richtlinien des Unternehmens natürlich uneingeschränkt!
  • Leben Sie das 4-Augen-Prinzip auch im Home-Office! Da bei höheren Finanztransaktionen physische Unterschriften nicht mehr möglich sind, macht es unter Umständen Sinn, ein 6-Augen-Prinzip einzuführen. Zudem sollten Call-Back-Verfahren mit dem Vorgesetzten vor Freigabe von höheren Transaktionen eingeführt werden.
  • Seien Sie besonders wachsam! Nehmen Sie nichts als selbstverständlich hin und hinterfragen Sie alles!
  • Tauschen Sie die wichtigsten Telefonnummern (dienstliche wie auch private Nummern) für Rücksprachen mit Kollegen und Vorgesetzten aus.
  • Web-Adressen sollten immer selbständig eingegeben werden. Keine Links bzw. Anhänge anklicken oder auf unerwünschte Nachrichten antworten.
  • Beschränken Sie die Zugriffsrechte von Personen, die eine Verbindung zum Unternehmensnetzwerk herstellen.
  • Wählen Sie sichere Passwörter! Passwörter sollten lang, komplex und nicht einfach zu erraten sein. Nutzen Sie für unterschiedliche Dienste auch unterschiedliche Passwörter.
  • Installieren Sie die neuesten Updates für Betriebssysteme und Apps, sobald verfügbar, um Schwachstellen soweit wie möglich zu schließen.

Warnhinweise

  •  Seien Sie bei E-Mails von unbekannten Absendern mit Anhängen oder Links besonders achtsam. Folgende Domains / Adressen zum Thema Corona sind beispielsweise bereits als gefährlich identifiziert:-          coronavirusstatus[.]space
    –          coronavirus-map[.]com
    –          blogcoronacl.canalcero[.]digital
    –          coronavirus[.]zone
    –          coronavirus-realtime[.]com
    –          coronavirus[.]app
    –          bgvfr.coronavirusaware[.]xyz
    –          coronavirusaware[.]xyz
  • Prüfen Sie alle Änderungen von Kontoverbindungen, egal ob von Kunden oder von Lieferanten.
  • Verdächtige Links, die exklusive Inhalte versprechen, sollten Sie selbstverständlich nicht anklicken, sondern Informationen nur aus offiziellen, vertrauenswürdigen Quellen beziehen.
  • Prüfen Sie Dateierweiterungen heruntergeladener Dateien. Dokumente und Videodateien sollten weder im EXE- noch im LNK-Format erstellt worden sein.
  • Fragen Sie beim vermeintlichen Auftraggeber oder Absender einer E-Mail nach, wenn Ihnen eine durchzuführende Aktion seltsam vorkommt. Wählen Sie dafür einen anderen Kommunikationsweg wie etwa die bereits bekannte Telefonnummer.

Kommunikationswege

  • Sprachsynthesizer und/oder Stimmensimulation bilden eine ganz neue Gefahrenquelle. Nehmen Sie deshalb weder interne noch externe Zahlungsanweisungen oder Änderungen von Bankdaten per Telefon entgegen. Hinterfragen Sie die (vorgebliche) Bitte Ihres CEO oder CFO bei finanziellen Transaktionen. Rufen Sie die Person unter einer Ihnen bereits bekannten Telefonnummer zurück. Bestehen Sie auf einer schriftlichen Anweisung und leiten Sie diese an Ihren Vorgesetzten weiter.
  • Betrugsszenario „WhatsApp“: Grundsätzlich sollte „WhatsApp“ auf Firmen-Smartphones nicht gestattet sein. Sollten also Vorgesetzte eine WhatsApp-Nachricht schicken, klären Sie den Inhalt durch einen Telefonanruf – aber keinen WhatsApp-Anruf oder ein FaceTime-Video – mit den betroffenen Kollegen ab. Misstrauen Sie jeder „WhatsApp“-Sprachnachricht.
  • Apps sollten lediglich aus vertrauenswürdigen Quellen – etwa Google Play, App Store oder unternehmenseigene Anwendungspools – heruntergeladen werden.
  • Betrüger nutzen Informationen aus sozialen Netzwerken. Seien Sie also vorsichtig bei der Preisgabe von Informationen im Internet.
  • Nutzen Sie bitte nicht Ihre Firmen-E-Mail-Adresse oder Passwörter für die private Registrierung bei Online-Diensten!
  • Nutzen Sie keine öffentlichen/privaten Computer für dienstliche Zwecke, denn diese können manipuliert sein. Es besteht die Gefahr, dass Daten gestohlen oder manipuliert werden. Sollten Sie im Home-Office Ihren privaten Computer nutzen, stimmen Sie das vorher mit der Firmen-IT/EDV-Mitarbeitern und Ihrem Vorgesetzen ab.

Nach allen Maßnahmen die Euler Hermes empfiehlt, raten wir aufgrund rasant ansteigender Schadenquoten in diesem Bereich dringend zu einer Absicherung durch eine Vertrauensschaden- und Cyberversicherung!

Sprechen Sie uns gerne hierzu an.

Frank-Michael Geißler
Fachbetreuer Kredit

Tel.: +49 761 4582-318
Mail: frank-michael.geissler@suedvers.de