Digitaler Kommunikation vertrauen: Strategien gegen Betrugsmaschen

Schutz vor CEO-Fraud in Zeiten wachsender Betrugsmaschen

Der rasante Anstieg digitaler Kommunikation eröffnet Unternehmen neue Möglichkeiten, birgt jedoch auch erhebliche Risiken. Eine der gefährlichsten Bedrohungen ist der CEO-Fraud, bei dem Betrüger sich als Führungskräfte ausgeben, um vertrauliche Informationen oder Geld zu erlangen. Auf dem jüngsten Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden hierzu essenzielle Maßnahmen zur Betrugsprävention diskutiert.

Im Folgenden teile ich gerne meinen eigenen Arbeitsauftrag nach 2 Tagen BSI Sicherheitskongress 2023 … sowie meine ersten Erkenntnisse!

Da wir vermehrt digital kommunizieren, müssen wir auf Nachrichten, Links & Dateien vertrauen. Jedoch bietet die Flut an Nachrichten ein Einfallstor für Betrugsmaschen.

Bezogen auf Betrugsprävention nehme ich drei Schwerpunkte aus dem Event mit:

1. Zwei-Faktor-Authentifizierung (2FA): Eine zusätzliche Sicherheitsebene neben dem Passwort, die durch Einmalcodes oder biometrische Merkmale den Schutz von Benutzerkonten erhöht.
   
2. Digitale Signaturen: Diese bestätigen die Echtheit von E-Mails und Dokumenten, minimieren Manipulationsrisiken und erhöhen die Integrität und Glaubwürdigkeit.
   
3. Kontinuierlicher Scan nach geklauten Zugangsdaten: Regelmäßige Überprüfung öffentlicher Datenbanken nach eigenen Daten, um Sicherheitsverletzungen frühzeitig zu erkennen und entsprechende Maßnahmen zu ergreifen.
   

DEEP DIVES:

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierungen2FA sind unerlässlich, um die Sicherheit von Online- und Benutzerkonten zu erhöhen. Dazu wird neben User-IDs & Passwörtern ein zweiter Kanal eingesetzt; z.B. Einmalcodes oder digitale/biometrische Merkmale.

"Time-Based One-Time Password" TOTP ist dabei ein Verfahren zur Erzeugung von zeitlich begrenzten Einmalpasswörtern & wird häufig in Authentifizierungs-Apps verwendet.

Meine Feststellungen:

• nicht bei allen meiner privaten Konten kann ich 2FA aktivieren bzw. die Option finden. Ich habe freundlich bei dem jeweiligen Support nachgefragt... mal abwarten.
  
• Bei allen geschäftlichen Zugängen konnte ich 2FA aktivieren bzw. als Unternehmensstandard definieren.
  
• Wenn 2FA verfügbar ist, werden SMS/Anruf- & TOTP-Verfahren angeboten. Letzteres bevorzuge ich.
  

Authentifizierungs-Apps:

• Google Authenticator
  
• Microsoft Authenticator
  
• Authy
  
• LastPass Authenticator
  

Weiterführende Informationen:

• Erklärvideo zu „Time-Based One-Time Password”
• FIDO 2 Authentifizierungsstandard der FIDO Alliance
• Erklärvideo zu „FIDO Enterprise“

Digitale Signaturen

Digitale Signaturen von E-Mails ermöglichen es, die Echtheit der Absender zu überprüfen & Manipulationen zu erkennen. In der Konsequenz lassen sich bei Verwendung die Integrität & Glaubwürdigkeit erhöhen sowie das Risiko von Betrug, Hacking oder Phishing reduzieren.

Ähnlich steht es um PDFs, denn mittels digitaler Signaturen können die Inhalte bestätigt werden.

Allerdings funktioniert dies nur, wenn stets digitale Signaturen verwendet werden, sodass das Fehlen ungewöhnlich ist.

Meine Erfahrung:

• Während Studium und früheren Anstellungen hatte ich als Anwender beides genutzt. Es war einfach und unkompliziert.
  
• Privat und in eigenen Firmen habe ich digitale Signaturen zuletzt jedoch noch nicht genutzt. Mir fehlt dazu ein Zertifikatsanbieter.
  
• Ich bin nun auf der Suche und schaue mir die Angebote in den nächsten Tagen genauer an. Mein aktueller Stand der Anbietersuche ist in der folgenden Linkliste.

Meine aktuelle Shortlist der Mail- & PDF-Zertifikatsanbieter zur weiteren Prüfung:

• GlobalSign
• DigiCert
• Sectigo
• Comodoca

Kontinuierlicher Scan nach geklauten Zugangsdaten

Ein "Breach Scanner" sucht nach potenziellen Daten- oder Sicherheitsverletzungen. Dabei werden öffentliche Datenbanken & veröffentlichte Informationen auf eigene Daten überprüft. Sie weisen somit frühzeitig auf Sicherheitsverletzungen hin & ermöglichen es Schutzmaßnahmen zu ergreifen z.B. Passwörter & E-Mail-Adressen zu wechseln.

Meine Nutzung:

• Eigene E-Mail-Adressen werden durch meinen Passwort-Manager NordPass überprüfen. 
• Eigene Domänen habe ich zur vollständigen Prüfung bei Have I Been Pwned registriert.
  
• Eine System-Mail-Adresse schlug an & wurde nun ausgetauscht.
• Eine weitere Überprüfungsmöglichkeit bietet der Leakchecker der Uni Bonn an.
  

Weitere Informationen zum 19. Deutscher IT-Sicherheitskongress 2023 - Digital sicher in eine nachhaltige Zukunft:

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog