---

@vogtsburger  schrieb:

 

... da mir der zeitliche und finanzielle Aufwand zu hoch war

---

... wie hoch ist der zeitliche und finanzielle Aufwand oder auch "der Schaden", wenn der falsche Klick das gesamte Unternehmen verschlüsselt?

MMn lässt sich das Risiko eines falschen Klicks nicht ausmerzen. Und wenn es die Bewegung selbst ist, die einem versehentlich passiert.

Die Anzahl an Vorfällen in der Branche, selbst aufgrund trivialer Phishing-Mails und Beiträge dieser Art beschreiben exzellent, warum es in Deutschland nicht gut um die IT-Sicherheit bestellt ist. Gönnen Sie Ihrem IT-Dienstleister die paar Kröten und testen Sie es doch mal im Alltag. 😉 Es gibt keine bessere didaktische Methode als "Learning by doing".

Abgesehen davon fordern die Cyber-Versicherer entsprechende Maßnahmen zur Risikominimierung im Bereich Security-Awareness.

Unsere IT hat selbst mal einen Phishing-Test durchführen lassen.

Über einen externen Anbieter wurde eine angebliche von der IT-Leitung versandte E-Mail an die MA geschickt, worin sie aufgrund einer Telefonanlageneinrichtung einmalig ihre Zugangsdaten eingeben sollten damit die Verbindung als SSO zum LDAP funktioniert.

Das erschreckende Ergebnis: 25% der Mitarbeiter haben geklickt und die geforderten Daten eingegeben.

Seitdem werden wir 2x im Jahr geschult und 1x Monat darauf hingewiesen achtsam zu sein.

---

@ChrisW  schrieb:

 

 

Seitdem werden wir 2x im Jahr geschult und 1x Monat darauf hingewiesen achtsam zu sein.

 

---

Man kann sowas nicht oft genug durchführen. Man muss sich über die Naivität der Anwender/Anwenderinnen nicht mehr wundern. Man sieht es ja schon an einfachen Mails, denen überwiegend "getraut" wird.

100% Sicherheit gibt es allerdings nicht...

Wenn man sich diese Meldung(en) ansieht, ist es doch total praktisch, dass SecurePoint hier auch (optional) noch einen Darkweb Scan mitliefert, der die eigene E-Mail-Adresse auf Vorhandensein in solchen Leaks prüft: 16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten | heise online

Im Moment treffen besser gemachte E-Mails ein, bei denen man etwas länger nachdenken muss. Neulich war es eine E-Mail angeblich von einem Inkassounternehmen wegen offener Amazon-Posten, nun angeblich von einer Berufsgenossenschaft. In beiden Fällen lautete der Name des Anhangs "Informationsblatt-und-Rechnung.pdf". Gedroht wird mit Zwangsvollstreckung und einem angeblich vorhandenen Vollstreckungstitel. Überwiesen werden sollten um die 500 € auf ein Konto in Italien. Dokumente sind in allen Fällen ziemlich gut gefälscht, in diesem Fall wurde wohl das Rechnungsformular der DGUV (bis auf die Kontonummer) relativ gut gefälscht.

Erkennungsmerkmale: Absender-E-Mail-Adresse "merkwürdig" (Weiterleitung auf wirkliche Webseite der DGUV ist aber eingerichtet), die BU ist (in unserem Falle) nicht die richige, auf der "Rechnung" ist nur unser Firmenname ohne Adresse, Drohgebärde mit Zwangsvollstreckung (Drohung ist immer ein Merkmal!), Zeitdruck ("nur drei Tage") ebenso.

Drohungen und Zeitdruck sind keine guten bzw. keine 'sicheren' Erkennungsmerkmale für Fake-Nachrichten und gefälschte Zahlungsaufforderungen.

In jedem beliebigen Behördenschreiben wird mit Konsequenzen und empfindlichen Gebühren bei nicht rechtzeitiger Zahlung gedroht 😎

Das sehe ich anders. Drohung inkl. Zeitdruck sollte immer ein Warnsignal sein und dafür sorgen, dass wir cool statt panisch reagieren und fünf Minuten länger nachdenken sollten.

Ein Bekannter hatte jetzt mehrere SMS von (vorgeblich) Google bekommen, dass versucht würde sich in seinen Account einzuloggen und er möge bitte auf goo.gl/<Zahl> gehen und das dort überprüfen. goo.gl ist der Google-eigene Link-Shortener, den bspw. auch Google Maps verwendet. Der Link führte dann jeweils auf eine sites.google.com-Seite, auf der er das Google Login-Formular (nachgebaut, natürlich) präsentiert bekam.

Das war schon echt gut gemacht, zumal zu dem Zeitpunkt wirklich jemand versuchte, sich Zugriff auf seinen Account zu verschaffen. Er hatte das Glück, dass er als IT-ler weiß, dass sites.google.com deren Hosting-Angebot ist und von Google selbst nicht genutzt wird. Und dass Google nicht nochmal zum Login auffordert, wenn man schon eingeloggt ist. Fishy war auch, dass SMS und Login-Seite auf Englisch waren.

Aber technisch weniger versierte Nutzerïnnen können darauf voll reinfallen. Und das ist auch einer der Gründe, warum Google das öffentliche Angebot des goo.gl-Shorteners im August einstellt und ihn nur noch für eigene Dienste nutzt.

gerade eben erhalten , sieht aus meiner Sicht alles gut aus. Stutzig gemacht hat mich die DGUV und ihre Rechnung in einem Dokument. 

Genau das habe ich heute auch erhalten.

https://www.zkf.de/aktuelles/news-detailseite/warnung-achtung-fake-rechnungen-zentrale-zahlstelle-und-deutsche-gesetzliche-unfallversicherung-im-umlauf

Die BGN, die angeblich Absender der Nachrichten ist, hat bereits eine Telefonansage zum Thema eingerichtet.

Finde ich iwo gut, aber dazu passt ein Zitat von Frau Merkel: "Das Internet ist für uns alle Neuland". Aber das ist so ein Generationending, ich bin jung und google erstmal, andere rufen an und erwarten eine Antwort.

diese Fake-Rechnungen sind nun schon seit mehreren Monaten im Umlauf.

Ich kapiere nicht, warum sich anscheinend keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

Wenn Beträge auf bestimmte Bankkonten überwiesen werden, müssten auch deren Kontoinhaber identifizierbar sein oder man müsste wenigstens der Spur des Geldes folgen können.

Auch im Ausland, z.B. in Spanien, hat man sicher gute Möglichkeiten, Betrüger zu identifizieren.

Vielleicht gilt aber für die Behörden das Motto:

"Wer den Schaden hat, braucht für den Spott nicht zu sorgen"

oder "Wo kein Kläger, da kein Richter"

Man hört nur sehr selten von der Verfolgung und von der konsequenten Bestrafung von Internet-Betrügern

---

@vogtsburger  schrieb: Ich kapiere nicht, warum sich anscheinen keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

---

Weil die Strafverfolgungsbehörden einfach keine Kapazitäten mehr haben... 

Und Institutionen wie die BaFi mit anderen Aufgaben betraut sind.

Und dann "selbsternannte" Datenschützer aus dem Busch gesprungen kommen... "Nein, der Staat überwacht Konten und greift ein, Skandal!".

---

Auch im Ausland, z.B. in Spanien, hat man sicher gute Möglichkeiten, Betrüger zu identifizieren.

---

Wahrscheinlich... aber wie genau im Ausland gearbeitet wird, kann ich nicht beurteilen.... und werde auch kein Urteil hierzu abgeben... 

---

Vielleicht gilt aber für die Behörden das Motto:

"Wer den Schaden hat, braucht für den Spott nicht zu sorgen"

---

Skandal!

---

oder "Wo kein Kläger, da kein Richter"

---

Wohl eher. Präventiv können die Strafverfolger immer nur in den Medien darauf hinweisen, dass man(n)/frau/divers *VOR* dem Anklicken endlich mal das Hirn einschaltet.

Und im Zweifel tut eine zuviel gelöschte Mail weniger weh, wie das wegüberwiesene Geld.

---

Man hört nur sehr selten von der Verfolgung und von der konsequenten Bestrafung von Internet-Betrügern

---

Weil die Spitzbuben einfach nicht dumm sind. Wenn das Geld auf dem Konto eingegangen ist, ist es von dort auch schon wieder weg. Dann auch meist über Kryptowährungen. Und dann wird es richtig schwierig.

Diese "Sprungbrett-Konto" sind mitunter auch Konto von unbescholten Bürgern. 

- Entweder sind die Zugangsdaten abhanden gekommen

- Man hat sich bei einer lukrativen Arbeitgeberstelle (SPAM-Mail) bewerben lassen und wäscht somit unwissentlich Geld.. 

- u.s.w.

Fakt ist: Die Inhaber der Sprungbrett-Konten sind die kleinsten Fische... 

Beste Grüße
Christian Ockenfels

---

@vogtsburger  schrieb:

 

diese Fake-Rechnungen sind nun schon seit mehreren Monaten im Umlauf.

 

Ich kapiere nicht, warum sich anscheinend keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

 

Wenn Beträge auf bestimmte Bankkonten überwiesen werden, müssten auch deren Kontoinhaber identifizierbar sein oder man müsste wenigstens der Spur des Geldes folgen können.

 

E-Mail-Absender-Adressen sind entweder gefälscht oder nur für einen kurzen Moment reserviert, und dann bei einem Hoster der garantiert nicht in Europa oder gar in Deutschland sitzt. Die Zielkonten sind dann Konten von Leuten, die mit einem Nebenjob der Art "Sie brauchen nichts weiter tun, als eintreffendes Geld auf dieses Konto zu überweisen", und dann geht es zu Western Union oder sonstwo hin, wo man die Spur nicht weiterverfolgen kann.

Diese Fake-Rechnungen sterben erst dann aus, wenn niemand mehr darauf hereinfällt.

---

@vogtsburger  schrieb:

 

diese Fake-Rechnungen sind nun schon seit mehreren Monaten im Umlauf.

 

Ich kapiere nicht, warum sich anscheinend keine staatlichen Stelle(n) um solche Betrüger 'kümmern' und ihnen das 'Handwerk' legen können.

 

Die Polizei ist in diesen Fällen durchaus aktiv. Hauptproblem ist, dass die Täter "irgendwo" auf unserem schönen Planeten sitzen und daher die Staatsgrenzen schlicht faktische und rechtlich Barrieren darstellen.

---

@vogtsburger  schrieb:

 

Wenn Beträge auf bestimmte Bankkonten überwiesen werden, müssten auch deren Kontoinhaber identifizierbar sein oder man müsste wenigstens der Spur des Geldes folgen können.

 

Das ist leider ein verbreiteter Irrglaube:  Es gibt "Banken" oder besser FinTech-Unternehmen mit Banklizenz, die nichts anderes anbieten als "Zahlstelle" für andere Banken und Kunden zu sein.  Das Geld geht ein und ist binnen Sekunden transferiert; teilweise über mehrere solcher Anbieter.  Die Spuren zu finden ist extrem aufwändig bei zugleich geringen Erfolgschancen.

---

@vogtsburger  schrieb:

 

...Vielleicht gilt aber für die Behörden das Motto:

"Wer den Schaden hat, braucht für den Spott nicht zu sorgen"

 

das kann ich nicht bestätigen.  Ich habe vor kurzen für einen Mandanten Strafanzeige in einer ähnlichen Geschichte gestellt (Bankverbindung wurde in Rechnung ausgetauscht).  Die Kripo hat binnen Stunden nach Eingang angerufen, zusätzliche Details abgefragt und Hinweise für Sofortmaßnahmen gegeben; allerdings auch darauf hingewiesen, dass die Spuren der Täter wohl Richtung Osten führen und dort die Kooperation "verbesserungswürdig" sei. 

Glücklicherweise konnte in unserem Fall die Zahlung auf das "falsche" Bankkonto noch verhindert werden, so dass kein unmittelbarer Schaden entstanden ist.

Welche Länder generell im Internet besonders "aktiv" sind, wird z.B.  World Cybercrime Index: Enthüllung globaler Brennpunkte aufgelistet.  Führt die Spur in ein solches Land ist eine Kooperation wohl eher weniger zu erwarten.

so wie man sein eigenes Konto über den bundesweiten Sperr-Notruf 116 116 sperren lassen kann, ...

... müsste man eigentlich auch als betrügerisch identifizierte bzw. in betrügerischer Absicht genutzte Bankkonten bundesweit melden und sperren können, ...

... sodass Zahlungsaufträge nicht ausgeführt werden können

Wenn einem kurze Zeit nach dem Absenden einer Überweisung diese Rechnung 'spanisch' vorkommt, gäbe es dann noch eine Chance, den Totalverlust zu vermeiden

Für einen solchen Service würde man gerne auch eine prozentuale Gebühr bezahlen 

... wäre vielleicht eine Geschäftsidee für ein FinTech-Unternehmen ... 😎

... solange der überwiesene Betrag noch nicht auf dem Empfängerkonto gutgeschrieben wurde, müsste es doch möglich sein, dass sich die Empfängerbank und die eigene Bank über das Stoppen eines Zahlungsauftrags analog oder digital abstimmen können

---

@vogtsburger  schrieb:

 

so wie man sein eigenes Konto über den bundesweiten Sperr-Notruf 116 116 sperren lassen kann, ...

... müsste man eigentlich auch als betrügerisch identifizierte bzw. in betrügerischer Absicht genutzte Bankkonten bundesweit melden und sperren können, ...

... sodass Zahlungsaufträge nicht ausgeführt werden können

 

Wenn einem kurze Zeit nach dem Absenden einer Überweisung diese Rechnung 'spanisch' vorkommt, gäbe es dann noch eine Chance, den Totalverlust zu vermeiden

 

Für einen solchen Service würde man gerne auch eine prozentuale Gebühr bezahlen 

 

... wäre vielleicht eine Geschäftsidee für ein FinTech-Unternehmen ... 😎

Ich sage nur "Datenschutz": Gute Idee, aber faktisch nicht machbar, zumal ein solches System mindestens EU-weit aufgesetzt werden müsste.

---

@vogtsburger  schrieb:

 

... solange der überwiesene Betrag noch nicht auf dem Empfängerkonto gutgeschrieben wurde, müsste es doch möglich sein, dass sich die Empfängerbank und die eigene Bank über das Stoppen eines Zahlungsauftrags analog oder digital abstimmen können

---

Die Möglichkeit besteht; nur vergeht zwischen Überweisung und Feststellung, dass die Überweisung falsch war, i.d.R. so viel Zeit, dass die Gutschrift bereits beim Empfänger erfolgte.  Auch müsste bei der Bank des Zahlenden eine Person erreichbar sein, die diesen Rückruf veranlassen kann. (Heute kaum noch denkbar).

---

@vogtsburger  schrieb:

... müsste man eigentlich auch als betrügerisch identifizierte bzw. in betrügerischer Absicht genutzte Bankkonten bundesweit melden und sperren können, ...

---

Da sehe ich ein viel zu hohes Missbrauchsrisiko im Verhältnis zum "Nutzen". Es gibt jetzt schon extrem viele Möglichkeiten anderen Menschen das Leben schwer zu machen (siehe "Drachenlord", der aber bei weitem kein Einzelfall ist), ein entsprechender Sperrnotruf würde in über 90 % der Fälle dazu missbraucht. Zudem du auch jetzt schon der Empfängerbank einen entsprechenden Hinweis geben kannst, woraufhin sie sich das Konto einmal genauer anschauen werden.

Und da haben wir ein zweites Problem neben dem Datenschutz die Gesellschaft an sich. Es ist wirklich nur noch schlimm und ich verstehe es einfach nicht, warum man nicht einfach mal nach dem Prinzip Leben und Leben lassen leben kann. Nein jedem muss das Leben schwer gemacht werden.

Datenschutz ist kein Problem.

Kein Datenschutz ist ein Problem.

---

@Moonshine  schrieb:

Es ist wirklich nur noch schlimm und ich verstehe es einfach nicht, warum man nicht einfach mal nach dem Prinzip Leben und Leben lassen leben kann. Nein jedem muss das Leben schwer gemacht werden.

---

Das ist aber auch nichts neues, und der Anteil an der Bevölkerung dürfte auch ungefähr gleich geblieben sein. Aber durch das Internet gibt es deutlich mehr Möglichkeiten als früher, wo man hinter ihrem Rücken über die Nachbarn herzog und sie vielleicht auch mal beim Finanz- oder Ordnungsamt anschwärzte. Und während du früher nur zwei, drei solcher Leute in deinem Umfeld hattest, können sich heute auf Websites wie krautchan Hunderte zusammen finden und auf ein gemeinsames Opfer stürzen.

---

@agmü  schrieb:

[...] 

Auch müsste bei der Bank des Zahlenden eine Person erreichbar sein, die diesen Rückruf veranlassen kann. (Heute kaum noch denkbar).

Wenn man in der Bankenwelt dieses Problem der Falschüberweisungen wirklich lösen wollte, würde man vermutlich eine technische (digitale) Lösung finden.

Im Zahlungsauftrag werden ja sowieso sämtliche relevanten Zahlungsdaten übermittelt, Auftraggeber, Zahlungsempfänger, die beiden IBANs etc.
Ich sehe hier kein Datenschutzproblem.

Selbstverständlich müsste sich Derjenige, der eine Zahlung blockieren will, auch als Auftraggeber der Zahlung authentifizieren können, z.B. per Personalausweis mit PIN.

Anonymes Anschwärzen, Denunzieren und Mobben, wie es in "(a)Sozialen Medien" üblich ist, darf natürlich nicht noch begünstigt werden.

Rein technisch könnte ich es mir (automatisiert) so ähnlich vorstellen wie bei der "Echtzeit-Überweisung".

Anstatt der sofortigen Überweisung würde eine solche Überweisung dann eben absichtlich z.B. mindestens 2 Werktage zurückgehalten, also eine Art Terminüberweisung mit einer festen Verzögerung von X Tagen.

In dieser Zeitspanne sollte man als Auftraggeber dann natürlich geprüft haben, ob man wirklich zahlen will oder nicht 😎

Da man für einen solchen Service vermutlich eine Gebühr zu zahlen hätte, würde man ihn nur in Zweifelsfällen nutzen.

'Händisches' und panisches Hinterhertelefonieren bei der eigenen Bank sollte so nicht erforderlich sein.

Im Zweifel ist der zuständige Bankmitarbeiter nämlich oft gerade nicht erreichbar.

Ich rechne es meiner Sparkasse sehr an, dass ich bei ungewöhnlichen Zahlungen in der Vergangenheit angerufen wurde. war zwar Fehlalarm, aber ich habe da in der Tat ungewöhnlich überwiesen.

---

@f_mayer  schrieb:

Ich rechne es meiner Sparkasse sehr an, dass ich bei ungewöhnlichen Zahlungen in der Vergangenheit angerufen wurde. war zwar Fehlalarm, aber ich habe da in der Tat ungewöhnlich überwiesen.

---

... aber auch hier wird nicht immer gut hingeschaut.

... habe schon mehrfach erlebt, dass die VOBA Überweisungen mit hohen Beträgen zurückgehalten und nicht wie üblich kurzfristig ausgeführt hat, obwohl diese Beträge auf eines meiner eigenen Konten bei einer 'fremden' Bank ging zwecks Kapitalanlage.

... oder dass sich bei 'Umschichtungen' von Kapitalanlagen plötzlich ein Bankberater meldet, ob ich Beratungsbedarf in Sachen Kapitalanlage habe.

Bei höheren Guthaben, die zinslos auf einem Girokonto liegen, gilt aber:

"kein Sch.... ruft mich an, 
keine S.. interessiert sich für mich" 😎

"cui bono ?" 😎

OLG-Urteil: S-pushTAN-Verfahren reicht nicht für starke Kundenauthentifizierung | heise online

Das passt ja ganz leicht ins Thema. In meinen Augen ein Armutszeugnis:

Trotzdem sprach das OLG der Sparkasse ein Mitverschulden von 20 Prozent zu.