Schlagwort: Social Engineering

Ob durch gefälschte E-Mails, falsche Identitäten oder gezielte Desinformation: Social Engineering zielt darauf ab, Opfer zur Preisgabe sensibler Daten oder Handlungen zu bewegen. Rechtlich relevant sind dabei vor allem Betrug, Computerbetrug (§ 263a StGB) oder Datenausspähung, während die Abgrenzung zu erlaubter Sozialtechnik oft schwierig ist. Diese Übersicht zeigt, wie Beschuldigte die Täuschungshandlung oder den Vorsatz bestreiten, Beweislücken bei der Kausalität aufdecken und eine überzogene strafrechtliche Bewertung entkräften können – besonders bei komplexen Angriffszenarien oder unternehmensinternen Vorfällen.

CEO-Fraud – CEO-Betrug
Beim CEO-Fraud (CEO-Betrug) geht es um eine Variation des Social-Engineerings: Hier versuchen Täter, zielgerichtet entscheidungsbefugte Personen in einem Unternehmen zu manipulieren, insbesondere mit dem Ziel dass diese hohe Geldbeträge ins Ausland überweisen. Man besorgt sich vorher umfangreiche und umfassende Informationen über das Unternehmen, um die Vorspiegelung geschickt wirken zu lassen, am Erfolg versprechendsten sind Unternehmen mit zahlreichen Mitarbeitern. Mir sind aber auch Fälle in kleinen Unternehmen bekannt, in denen dann angeblich veränderte Zahlungsmodalitäten eines Geschäftspartners unter psychischem Druck am Ende zu Zahlungen führten.
CEO-Fraud und Schadensersatz
Grundsätzlich gilt: Bei ungewöhnlichen Zahlungsanweisungen sollen vor Veranlassung der Zahlung Kontrollen greifen. So sollten Sie eine mit Zahlungsanweisungen eingegangene E-Mail genau auf Absenderadresse und korrekte Schreibweise prüfen. Wichtiger wäre es aus meiner Sicht, bei plötzlich geänderten Zahlungsmodalitäten (wie insbesondere bei geänderten Bankverbindungen) die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage (nicht per Antwort auf die Mail!) zu kontrollieren.
Infografik des BKA zum CEO-Fraud
Dazu auch: Beitrag bei Haufe zum CEO-Fraud
(mehr …)
1. Oktober 2017
Social Engineering
Was ist Social Engineering? Moderne Angriffe laufen nur teilweise technisch, Erfolg versprechender sind regelmäßig Ansätze im Bereich des Social Engineering. Hierbei geht es darum, sich nicht auf das System sondern einen Nutzer zu konzentrieren und den Nutzer durch soziale Verhaltensweisen dazu zu bringen, gewollt oder ungewollt, zumindest Hinweise auf Informationen etwa zu einem Login zu geben.
Man installiert also nicht etwa nur einen Keylogger der Benutzereingaben abfängt, sondern täuscht etwa vor ein Mitarbeiter eines Supports zu sein um auf diesem Wege dann Login-Informationen abzufragen. Eine Variante hiervon ist der CEO-Fraud.
Hinweis: Ein Weg zum Umgang mit dieser Problematik sollt ein jedem Fall sein, die Mitarbeiter mit Social Media Guidelines zu unterstützen. Weiterhin sollten Sie andenken, die Nutzung des Internets in Ihrem Betrieb mit klaren Nutzungsregeln zu versehen, insbesondere was die private Nutzung des Internets im Betrieb angeht.
25. Februar 2017
IT-Arbeitsrecht: Keine Kündigung des Systemadministrators wegen Zugriff auf Dienstlaptop
Beim Landesarbeitsgericht Köln (11 Sa 405/15) ging es um die Kündigung eines Systemadministrators vor folgendem Hintergrund: Frau A und Herr B (Systemadministrator) arbeiten beim gleichen Arbeitgeber und sind liiert, wobei gegen Frau A der Verdacht des Arbeitszeitbetruges besteht. Sie wird freigestellt und händigt die überlassene Hardware aus. Nun plötzlich werden private Einträge in ihrem Kalender von außen gelöscht, es kommt heraus, dass dies über den Account des Herrn B passierte. War nun B zu kündigen?

Die Frage war hier, ob Straftaten im Raum standen, die eine Verdachtskündigung rechtfertigten. Das Gericht hat eine strafrechtliche Relevanz verneint, was ich hier aufbereitet habe und nicht wiederholen möchte. Dabei lief es darauf hinaus, dass eben nicht auszuschliessen war, dass Frau A ohne Wissen und/oder ohne Wollen des B auf seinen Rechner zugegriffen hat.
(mehr …)
17. Juni 2016