Der deutsche Autozulieferer LEONI AG ist Opfer eines millionenschweren Betrugs geworden. Die Täter nutzten dafür gefälschte Dokumente und Identitäten sowie elektronische Kommunikationswege, wie das Unternehmen am Dienstag überraschend mitteilte. Damit sei Geld auf Konten im Ausland transferiert worden. Der Schaden belaufe sich auf rund 40 Mio. Euro. Binnen einer Stunde nach Bekanntgabe des Vorfalls fiel die Aktie um knapp 9 Prozent.
Aus dem Firmenumfeld hieß es, jemand habe sich gegenüber Mitarbeitern des Hauses als Leoni-Mitarbeiter ausgegeben und behauptet, "besondere Befugnisse zu haben". Auf diese Weise habe er "bestimmte Geschäftsvorgänge vorbereiten" lassen.
Das Vorgehen der Täter ähnelt dem "Chef-Betrug" (CEO-Fraud), dem auch die österreichischische Firma FACC aufgesessen war und auch einen Schaden von 40 Mio. Euro erlitt, mit dem Wirtschaftsbetrüger in den vergangenen Monaten bereits mehrere andere Unternehmen um große Beträge erleichtert hatten. Bei dieser Weiterentwicklung des berüchtigten Enkeltricks meldet sich der vermeintliche Chef oder Finanzchef des Unternehmens – über eine gefälschte E-Mail-Adresse – beim Buchhalter und drängt zur Eile: Für wichtige Transaktionen müsse dringend Geld überwiesen werden ...
Dabei hat hat das BSI in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 schon auf die Problematik hingewiesen: „Es fehlt vielfach an Bewusstsein der Anwender für Social Engineering und Manipulationsversuche, die viele Cyber-Angriffe begleiten.“
Scheinbar liest das keiner, oder das Thema Social Engineering (=Hackers best Friend) wird immer noch nicht ernst von den Verantworlichen genommen, sonst würden Systemadministratoren untersagt bekommen, in sozialen Netzwerken Ihre Kenntnisse detailliert aufzulisten, damit man als Hacker schon mal Rückschlüsse auf die verwendeten Systeme ziehen kann.
Eigentlich müsste doch jedem klar sein:
Technische Massnahmen können nur bis zu einem gewissen Grad die Informationssicherheit in Unternehmen verbessern. Ebenso wichtig ist der Faktor Mensch. Eine wichtige, oft unterschätzte Rolle spielt daher das Thema Security Awareness, indem bei den Mitarbeitern das Bewusstsein für die IT-Sicherheit geschaffen und erweitert wird.
p.s.
2014 hat Leoni noch in einer <link file:343>Fallstudie Vulnerability Management stolz verkündet, durch prozessgesteuerte wiederholte Schwachstellen-Scans die Zahl der Schwachstellen in den weltweiten IT-Systemen um sage und schreibe 90% zu haben. Security Awareness hat da wohl eine untergeordnete Rolle gespielt ...