---

@vogtsburger  schrieb:

 

... da mir der zeitliche und finanzielle Aufwand zu hoch war

---

... wie hoch ist der zeitliche und finanzielle Aufwand oder auch "der Schaden", wenn der falsche Klick das gesamte Unternehmen verschlüsselt?

MMn lässt sich das Risiko eines falschen Klicks nicht ausmerzen. Und wenn es die Bewegung selbst ist, die einem versehentlich passiert.

Die Anzahl an Vorfällen in der Branche, selbst aufgrund trivialer Phishing-Mails und Beiträge dieser Art beschreiben exzellent, warum es in Deutschland nicht gut um die IT-Sicherheit bestellt ist. Gönnen Sie Ihrem IT-Dienstleister die paar Kröten und testen Sie es doch mal im Alltag. 😉 Es gibt keine bessere didaktische Methode als "Learning by doing".

Abgesehen davon fordern die Cyber-Versicherer entsprechende Maßnahmen zur Risikominimierung im Bereich Security-Awareness.

Unsere IT hat selbst mal einen Phishing-Test durchführen lassen.

Über einen externen Anbieter wurde eine angebliche von der IT-Leitung versandte E-Mail an die MA geschickt, worin sie aufgrund einer Telefonanlageneinrichtung einmalig ihre Zugangsdaten eingeben sollten damit die Verbindung als SSO zum LDAP funktioniert.

Das erschreckende Ergebnis: 25% der Mitarbeiter haben geklickt und die geforderten Daten eingegeben.

Seitdem werden wir 2x im Jahr geschult und 1x Monat darauf hingewiesen achtsam zu sein.

---

@ChrisW  schrieb:

 

 

Seitdem werden wir 2x im Jahr geschult und 1x Monat darauf hingewiesen achtsam zu sein.

 

---

Man kann sowas nicht oft genug durchführen. Man muss sich über die Naivität der Anwender/Anwenderinnen nicht mehr wundern. Man sieht es ja schon an einfachen Mails, denen überwiegend "getraut" wird.

100% Sicherheit gibt es allerdings nicht...

Wenn man sich diese Meldung(en) ansieht, ist es doch total praktisch, dass SecurePoint hier auch (optional) noch einen Darkweb Scan mitliefert, der die eigene E-Mail-Adresse auf Vorhandensein in solchen Leaks prüft: 16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten | heise online

Im Moment treffen besser gemachte E-Mails ein, bei denen man etwas länger nachdenken muss. Neulich war es eine E-Mail angeblich von einem Inkassounternehmen wegen offener Amazon-Posten, nun angeblich von einer Berufsgenossenschaft. In beiden Fällen lautete der Name des Anhangs "Informationsblatt-und-Rechnung.pdf". Gedroht wird mit Zwangsvollstreckung und einem angeblich vorhandenen Vollstreckungstitel. Überwiesen werden sollten um die 500 € auf ein Konto in Italien. Dokumente sind in allen Fällen ziemlich gut gefälscht, in diesem Fall wurde wohl das Rechnungsformular der DGUV (bis auf die Kontonummer) relativ gut gefälscht.

Erkennungsmerkmale: Absender-E-Mail-Adresse "merkwürdig" (Weiterleitung auf wirkliche Webseite der DGUV ist aber eingerichtet), die BU ist (in unserem Falle) nicht die richige, auf der "Rechnung" ist nur unser Firmenname ohne Adresse, Drohgebärde mit Zwangsvollstreckung (Drohung ist immer ein Merkmal!), Zeitdruck ("nur drei Tage") ebenso.

Drohungen und Zeitdruck sind keine guten bzw. keine 'sicheren' Erkennungsmerkmale für Fake-Nachrichten und gefälschte Zahlungsaufforderungen.

In jedem beliebigen Behördenschreiben wird mit Konsequenzen und empfindlichen Gebühren bei nicht rechtzeitiger Zahlung gedroht 😎

Das sehe ich anders. Drohung inkl. Zeitdruck sollte immer ein Warnsignal sein und dafür sorgen, dass wir cool statt panisch reagieren und fünf Minuten länger nachdenken sollten.

Ein Bekannter hatte jetzt mehrere SMS von (vorgeblich) Google bekommen, dass versucht würde sich in seinen Account einzuloggen und er möge bitte auf goo.gl/<Zahl> gehen und das dort überprüfen. goo.gl ist der Google-eigene Link-Shortener, den bspw. auch Google Maps verwendet. Der Link führte dann jeweils auf eine sites.google.com-Seite, auf der er das Google Login-Formular (nachgebaut, natürlich) präsentiert bekam.

Das war schon echt gut gemacht, zumal zu dem Zeitpunkt wirklich jemand versuchte, sich Zugriff auf seinen Account zu verschaffen. Er hatte das Glück, dass er als IT-ler weiß, dass sites.google.com deren Hosting-Angebot ist und von Google selbst nicht genutzt wird. Und dass Google nicht nochmal zum Login auffordert, wenn man schon eingeloggt ist. Fishy war auch, dass SMS und Login-Seite auf Englisch waren.

Aber technisch weniger versierte Nutzerïnnen können darauf voll reinfallen. Und das ist auch einer der Gründe, warum Google das öffentliche Angebot des goo.gl-Shorteners im August einstellt und ihn nur noch für eigene Dienste nutzt.

gerade eben erhalten , sieht aus meiner Sicht alles gut aus. Stutzig gemacht hat mich die DGUV und ihre Rechnung in einem Dokument. 

Genau das habe ich heute auch erhalten.

https://www.zkf.de/aktuelles/news-detailseite/warnung-achtung-fake-rechnungen-zentrale-zahlstelle-und-deutsche-gesetzliche-unfallversicherung-im-umlauf

Die BGN, die angeblich Absender der Nachrichten ist, hat bereits eine Telefonansage zum Thema eingerichtet.

Finde ich iwo gut, aber dazu passt ein Zitat von Frau Merkel: "Das Internet ist für uns alle Neuland". Aber das ist so ein Generationending, ich bin jung und google erstmal, andere rufen an und erwarten eine Antwort.

diese Fake-Rechnungen sind nun schon seit mehreren Monaten im Umlauf.

Ich kapiere nicht, warum sich anscheinend keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

Wenn Beträge auf bestimmte Bankkonten überwiesen werden, müssten auch deren Kontoinhaber identifizierbar sein oder man müsste wenigstens der Spur des Geldes folgen können.

Auch im Ausland, z.B. in Spanien, hat man sicher gute Möglichkeiten, Betrüger zu identifizieren.

Vielleicht gilt aber für die Behörden das Motto:

"Wer den Schaden hat, braucht für den Spott nicht zu sorgen"

oder "Wo kein Kläger, da kein Richter"

Man hört nur sehr selten von der Verfolgung und von der konsequenten Bestrafung von Internet-Betrügern

---

@vogtsburger  schrieb: Ich kapiere nicht, warum sich anscheinen keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

---

Weil die Strafverfolgungsbehörden einfach keine Kapazitäten mehr haben... 

Und Institutionen wie die BaFi mit anderen Aufgaben betraut sind.

Und dann "selbsternannte" Datenschützer aus dem Busch gesprungen kommen... "Nein, der Staat überwacht Konten und greift ein, Skandal!".

---

Auch im Ausland, z.B. in Spanien, hat man sicher gute Möglichkeiten, Betrüger zu identifizieren.

---

Wahrscheinlich... aber wie genau im Ausland gearbeitet wird, kann ich nicht beurteilen.... und werde auch kein Urteil hierzu abgeben... 

---

Vielleicht gilt aber für die Behörden das Motto:

"Wer den Schaden hat, braucht für den Spott nicht zu sorgen"

---

Skandal!

---

oder "Wo kein Kläger, da kein Richter"

---

Wohl eher. Präventiv können die Strafverfolger immer nur in den Medien darauf hinweisen, dass man(n)/frau/divers *VOR* dem Anklicken endlich mal das Hirn einschaltet.

Und im Zweifel tut eine zuviel gelöschte Mail weniger weh, wie das wegüberwiesene Geld.

---

Man hört nur sehr selten von der Verfolgung und von der konsequenten Bestrafung von Internet-Betrügern

---

Weil die Spitzbuben einfach nicht dumm sind. Wenn das Geld auf dem Konto eingegangen ist, ist es von dort auch schon wieder weg. Dann auch meist über Kryptowährungen. Und dann wird es richtig schwierig.

Diese "Sprungbrett-Konto" sind mitunter auch Konto von unbescholten Bürgern. 

- Entweder sind die Zugangsdaten abhanden gekommen

- Man hat sich bei einer lukrativen Arbeitgeberstelle (SPAM-Mail) bewerben lassen und wäscht somit unwissentlich Geld.. 

- u.s.w.

Fakt ist: Die Inhaber der Sprungbrett-Konten sind die kleinsten Fische... 

Beste Grüße
Christian Ockenfels

---

@vogtsburger  schrieb:

 

diese Fake-Rechnungen sind nun schon seit mehreren Monaten im Umlauf.

 

Ich kapiere nicht, warum sich anscheinend keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

 

Wenn Beträge auf bestimmte Bankkonten überwiesen werden, müssten auch deren Kontoinhaber identifizierbar sein oder man müsste wenigstens der Spur des Geldes folgen können.

 

E-Mail-Absender-Adressen sind entweder gefälscht oder nur für einen kurzen Moment reserviert, und dann bei einem Hoster der garantiert nicht in Europa oder gar in Deutschland sitzt. Die Zielkonten sind dann Konten von Leuten, die mit einem Nebenjob der Art "Sie brauchen nichts weiter tun, als eintreffendes Geld auf dieses Konto zu überweisen", und dann geht es zu Western Union oder sonstwo hin, wo man die Spur nicht weiterverfolgen kann.

Diese Fake-Rechnungen sterben erst dann aus, wenn niemand mehr darauf hereinfällt.

---

@vogtsburger  schrieb:

 

diese Fake-Rechnungen sind nun schon seit mehreren Monaten im Umlauf.

 

Ich kapiere nicht, warum sich anscheinend keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

 

Die Polizei ist in diesen Fällen durchaus aktiv. Hauptproblem ist, dass die Täter "irgendwo" auf unserem schönen Planeten sitzen und daher die Staatsgrenzen schlicht faktische und rechtlich Barrieren darstellen.

---

@vogtsburger  schrieb:

 

Wenn Beträge auf bestimmte Bankkonten überwiesen werden, müssten auch deren Kontoinhaber identifizierbar sein oder man müsste wenigstens der Spur des Geldes folgen können.

 

Das ist leider ein verbreiteter Irrglaube:  Es gibt "Banken" oder besser FinTech-Unternehmen mit Banklizenz, die nichts anderes anbieten als "Zahlstelle" für andere Banken und Kunden zu sein.  Das Geld geht ein und ist binnen Sekunden transferiert; teilweise über mehrere solcher Anbieter.  Die Spuren zu finden ist extrem aufwändig bei zugleich geringen Erfolgschancen.

---

@vogtsburger  schrieb:

 

...Vielleicht gilt aber für die Behörden das Motto:

"Wer den Schaden hat, braucht für den Spott nicht zu sorgen"

 

das kann ich nicht bestätigen.  Ich habe vor kurzen für einen Mandanten Strafanzeige in einer ähnlichen Geschichte gestellt (Bankverbindung wurde in Rechnung ausgetauscht).  Die Kripo hat binnen Stunden nach Eingang angerufen, zusätzliche Details abgefragt und Hinweise für Sofortmaßnahmen gegeben; allerdings auch darauf hingewiesen, dass die Spuren der Täter wohl Richtung Osten führen und dort die Kooperation "verbesserungswürdig" sei. 

Glücklicherweise konnte in unserem Fall die Zahlung auf das "falsche" Bankkonto noch verhindert werden, so dass kein unmittelbarer Schaden entstanden ist.

Welche Länder generell im Internet besonders "aktiv" sind, wird z.B.  World Cybercrime Index: Enthüllung globaler Brennpunkte aufgelistet.  Führt die Spur in ein solches Land ist eine Kooperation wohl eher weniger zu erwarten.

so wie man sein eigenes Konto über den bundesweiten Sperr-Notruf 116 116 sperren lassen kann, ...

... müsste man eigentlich auch als betrügerisch identifizierte bzw. in betrügerischer Absicht genutzte Bankkonten bundesweit melden und sperren können, ...

... sodass Zahlungsaufträge nicht ausgeführt werden können

Wenn einem kurze Zeit nach dem Absenden einer Überweisung diese Rechnung 'spanisch' vorkommt, gäbe es dann noch eine Chance, den Totalverlust zu vermeiden

Für einen solchen Service würde man gerne auch eine prozentuale Gebühr bezahlen 

... wäre vielleicht eine Geschäftsidee für ein FinTech-Unternehmen ... 😎

... solange der überwiesene Betrag noch nicht auf dem Empfängerkonto gutgeschrieben wurde, müsste es doch möglich sein, dass sich die Empfängerbank und die eigene Bank über das Stoppen eines Zahlungsauftrags analog oder digital abstimmen können

---

@vogtsburger  schrieb:

 

so wie man sein eigenes Konto über den bundesweiten Sperr-Notruf 116 116 sperren lassen kann, ...

... müsste man eigentlich auch als betrügerisch identifizierte bzw. in betrügerischer Absicht genutzte Bankkonten bundesweit melden und sperren können, ...

... sodass Zahlungsaufträge nicht ausgeführt werden können

 

Wenn einem kurze Zeit nach dem Absenden einer Überweisung diese Rechnung 'spanisch' vorkommt, gäbe es dann noch eine Chance, den Totalverlust zu vermeiden

 

Für einen solchen Service würde man gerne auch eine prozentuale Gebühr bezahlen 

 

... wäre vielleicht eine Geschäftsidee für ein FinTech-Unternehmen ... 😎

Ich sage nur "Datenschutz": Gute Idee, aber faktisch nicht machbar, zumal ein solches System mindestens EU-weit aufgesetzt werden müsste.

---

@vogtsburger  schrieb:

 

... solange der überwiesene Betrag noch nicht auf dem Empfängerkonto gutgeschrieben wurde, müsste es doch möglich sein, dass sich die Empfängerbank und die eigene Bank über das Stoppen eines Zahlungsauftrags analog oder digital abstimmen können

---

Die Möglichkeit besteht; nur vergeht zwischen Überweisung und Feststellung, dass die Überweisung falsch war, i.d.R. so viel Zeit, dass die Gutschrift bereits beim Empfänger erfolgte.  Auch müsste bei der Bank des Zahlenden eine Person erreichbar sein, die diesen Rückruf veranlassen kann. (Heute kaum noch denkbar).