Cyberangriffe gegen Firmen - Das müssen Sie wissen

Cyberangriffe können alle treffen

Dabei kann zum Beispiel die Website offline gehen, aber auch das gesamte Netzwerk betroffen sein. Nebst finanziellen Schäden gelangen in manchen Fällen vertrauliche Informationen in falsche Hände – dies mit gravierenden Folgen: Verlust von Daten, Ausfall von Systemen, haftpflichtrechtliche Ansprüche aufgrund einer Datenschutzverletzung oder Reputationsschaden sind einige Beispiele. Um in die IT-Systeme einzudringen zielt die Täterschaft darauf ab, Mitarbeitende zu verleiten, gegen deren eigentlichen Willen eine Handlung vorzunehmen, wie beispielsweise einen E-Mail-Anhang zu öffnen, einen Link anzuklicken, persönliche Daten wie Passwörter anzugeben oder eine Zahlung vorzunehmen.

Häufigste Methode: Social Engineering

Angreifer versuchen, Personen durch Täuschung dazu zu bringen, etwas zu tun, was diese eigentlich nicht wollen. Das dafür gewählte Szenario soll das mögliche Opfer emotional berühren oder sein Interesse wecken. Das Ziel ist es, Nähe aufzubauen und ein vermeintliches Sicherheitsgefühl zu wecken. Die Täterschaft informiert sich im Vorfeld über die Struktur eines Unternehmens oder über persönliche Interessen einer möglichen Zielperson. Dies geschieht oft durch frei verfügbare Informationen (zum Beispiel auf der Website des Unternehmens oder in sozialen Netzwerken). Daraufhin wird die Zielperson mit einem auf sie zugeschnittenen Szenario konfrontiert. Der Fachbegriff für diese Vorgehensweise lautet «Social Engineering».

Hierarchie	Die Täterschaft nutzt den hierarchischen Aufbau eines Unternehmens aus und baut einen gewissen Handlungsdruck auf. Beispielsweise täuscht sie eine Identität vor und fordert einen Mitarbeiter oder eine Mitarbeiterin im Namen einer vorgesetzten Person auf, sensible Informationen preiszugeben oder eine Geldüberweisung vorzunehmen.
Zeitdruck	Den Opfern wird mitgeteilt, dass sie schnell bzw. unter Zeitdruck handeln müssen.
Gier /Neugier	Dem Opfer wird ein Gewinn oder eine Überraschung versprochen, wenn die Datei geöffnet wird oder auf den Link geklickt wird.
Angst /Wut	Es wird mit Konsequenzen gedroht, falls der Aufforderung nicht nachgekommen wird. Falsche Aussagen sollen die Opfer dazu bringen, einen Link anzuklicken um diese zu berichtigen.
Anteilnahme	Das präsentierte Thema spricht das Opfer emotional an. Das Opfer will sich zum Beispiel beteiligen, um Missstände zu beseitigen.

Firmen sind lukrative Ziele für Betrüger. Im Vergleich zu Privatpersonen lassen sich in der Regel auf einen Schlag grössere Summen entwenden. Deshalb wenden die Angreifer mehr Zeit auf und die Angriffe erfolgen gezielter und professioneller als bei Privatpersonen. Dabei stehen vor allem die Finanzabteilungen im Fokus.

Technische und organisatorische Massnahmen

Selbstverständlich gehen Cyberangriffe nicht nur über Mitarbeitende, sondern auch über schlecht geschützte IT-Systeme. Eine Übersicht über technische und organisatorische Massnahmen finden Sie auf der Seite Schützen Sie Ihr KMU.

Häufigste Bedrohungen

Folgende Betrugsarten gegen Unternehmen stellt das BACS besonders häufig fest:

Weiterführende Informationen

Links

Schützen Sie Ihr KMU