Homeoffice als Boost für Cybercrime?

Erstellt von Alexander Wagner | |  Fraud • Risk • Compliance

So nutzen Online-Kriminelle die Coronakrise für ihre Zwecke

Vermutlich werden die wenigsten deutschen Unternehmen darauf ausreichend vorbereitet gewesen sein, aufgrund des Corona-Lockdowns den Großteil ihrer Mitarbeiter von heute auf morgen ins Homeoffice zu schicken. Die Gefahr ist groß, dass dadurch Sicherheitslücken entstanden sind. Denn die schnelle Auslagerung vieler Mitarbeiter ins Homeoffice geht in den Unternehmen mit riskanten Kompromissen in der IT-Sicherheit einher. Unsere Experten Alexander Wagner und Niklas Gretser erklären, warum insbesondere das Homeoffice zum Ziel virtueller, krimineller Angriffe wird, welche Rolle Mitarbeiterkriminalität dabei spielt und wie sich Unternehmen effektiv vor Übergriffen schützen können.

Das Baker Tilly Competence Center Fraud Risk Compliance verzeichnet einen enormen Anstieg von Anfragen zu Fraud-Verdachtsfällen und Cyber-Schadensfällen, die auf den vermehrten Einsatz von Homeoffice-Arbeitsplätzen zurückzuführen sind. Denn:

„Veränderungen technischer und prozessualer Rahmenbedingungen in Unternehmen als Folge des sog. Lockdowns bieten eine größere Angriffsfläche und begünstigen kriminelle Handlungen für Innen- und Außentäter. Diese sind insbesondere auch digitaler Natur; und sie können auch existenzielle Ausmaße annehmen.“ – Alexander Wagner, Partner Competence Center Fraud • Risk • Compliance.

Dieser Aussage steht keine statistische oder wissenschaftliche Erhebung gegenüber und es geht nicht um einen Generalverdacht gegen Mitarbeiter. Es ist vielmehr eine Ableitung aus der Beobachtung unserer Beratungspraxis in der Aufklärung von sog. Fraud-Verdachtsfällen, der Begutachtung von Cyber-Schadenfällen für Versicherungen, der Berichterstattung zu Warnhinweisen der Bundesregierung, der Behörden und der Medienberichte zu den Vorkommnissen. 

Welche Rolle spielt dabei das Homeoffice? 

Das Homeoffice ist in vielen Unternehmen seit einigen Jahren mehr oder weniger ausgeprägt etabliert. Die Corona-bedingte, schnellstmögliche und großflächige Auslagerung vieler Mitarbeiter ins Homeoffice unter Aufrechterhaltung der Funktionalität, war in diesem Jahr für einige Unternehmen aber durchaus eine Herausforderung, leider auch mit ungewollten Folgen, z. B.:

  • Kompromisse in der IT-Sicherheit und Datenschutz, z. B. auch Schatten-IT durch Konzepte wie „bring-your-own-device“ bei einem Mangel an mobiler Ausstattung, Ineffizienzen bei der Sperrung von externen Ports; Informationsaustausch über Messenger-Dienste außerhalb der Unternehmenssphäre; 
  • Ausgesetzte oder durch Änderungen in den Abläufen unwirksame interne Prozesskontrollen;
  • Nicht identifizierte und adressierte Risiken aus der nun dezentralen Organisation der Arbeitsbereiche;
  • Ausnutzung der Schwachstelle “Mensch”; 
  • Internal-Audits und Compliance-Audits vor Ort wurden abgesagt, eingeschränkt per Fernzugriff durchgeführt oder auf unbestimmten Zeitpunkt verschoben. 

Nicht die Arbeit im Homeoffice ist das Sicherheitsrisiko. Eine größere Angriffsfläche der Unternehmen für kriminelle Handlungen entsteht mit einer Zunahme von Tatgelegenheiten, wenn technische und prozessuale Anpassungen in Unternehmen nicht mit den geänderten und neuen Rahmenbedingungen Schritt halten können. Und das gilt nicht nur während der Corona-Krise. Die Herausforderung ist nicht die technische Ausstattung für flächendeckendes mobiles Arbeiten in Unternehmen verfügbar zu machen, sondern auch aus kriminalitätspräventiver Sicht die Auswirkungen auf das interne Kontrollsystem prozessübergreifend zu verstehen und das Restrisiko aus den Veränderungen der Rahmenbedingungen für die Organisation gering zu halten. 

Was ist „Wirtschaftskriminalität“ aus dem Netz?

Vor der Pandemie bestand die wahrgenommene virologische Bedrohungslage eher aus Computer-Viren. Schadsoftware, die als Massenphänomen moderne Gadgets unbrauchbar machen und von Cyber-Kriminellen auch gezielt gegen kritische Infrastrukturen und Unternehmen eingesetzt werden kann. 

Aktuell wird beinahe täglich medial über die verschiedenen Ausprägungen von Cybercrime berichtet. In vielen Fällen handelt es sich um einen Angriff via Internet auf das Vermögen der Wirtschaftsunternehmen. 

In den letzten Wochen wurden zum Beispiel die Schwachstellen von schnellen und unkomplizierten Corona-Staatshilfe-Plattformen betrügerisch ausgenutzt und auch Unternehmen und Mitarbeiter gezielt nach dem CEO-Fraud-Muster angegriffen. CEO-Fraud ist der digitalisierte Enkeltrick und der Modus Operandi in unterschiedlichen Varianten schon bekannt. Die Besonderheit eines solchen Angriffs ist, dass die Masche dem Grund nach bekannt ist und die Täter trotzdem immer noch erfolgreich sind. Ein Grund liegt sicher darin, dass diese Angriffe sicherheitstechnisch kaum zu verteidigen sind, weil die Täter sehr gezielt und manipulativ die Schwachstelle „Mensch“ ausnutzen. 

Das Cyber-Crime Risiko wurde in 2020 von internationalen Experten vor allem deshalb zum Top-Risiko für Unternehmen erklärt, weil es in Verbindung mit Betriebsunterbrechungen zu Millionenschäden führen kann. Das Risiko ist für die Unternehmen – völlig unabhängig von der Corona-Krise – hoch.

Dabei sind die Mehrzahl der Cyber-Angriffe auf Unternehmen ungezielte Breitenangriffe z. B. auf Sicherheitslücken in Betriebssystemen. Regelmäßig wird versucht, mit Schadsoftware Geld von Unternehmen zu erpressen oder mittels Phishing-Attacke Informationen abzugreifen. Gezielte Angriffe dagegen sind aufwendiger für die Täter und eher seltener, können zugleich aber die Betroffenen enorm schädigen. 

Die Digitalisierung der Kriminalität und die Professionalisierung der Täter ist hoch. Die sog. Underground Economy hat seit einigen Jahren ein starkes Umsatzwachstum. Heute kann sich praktisch jeder Täter Wissen über Tutorials aneignen und auch Produkte und Dienstleistung auf anonymen Marktplätzen im Netz dazukaufen. Für die Abwicklung illegaler Geschäfte stehen anonyme digitale Zahlungswege zur Verfügung. Die Täter kommen häufig von außen, können aber auch Mitarbeiter sein, die z. B. geheime Daten handeln. 

Die Antwort auf die Frage nach dem Warum?

Aus der wissenschaftlichen Forschung (vgl. Studie „Der Wirtschaftsstraftäter in seinen sozialen Bezügen“) haben wir für die Beantwortung der Frage drei Aspekte aus dem Bereich der Mitarbeiterkriminalität abgeleitet: 

  • Tatgelegenheiten zeichnen sich grundsätzlich durch Kontrolldefizite während der Tatbegehung aus. Ob langfristig mit einer Entdeckung zu rechnen ist, wird von den Tätern bei der Bewertung einer kriminogenen Situation als Gelegenheit nicht erkennbar in das Kalkül einbezogen. Für den Bereich Cybercrime ist die Entdeckungswahrscheinlichkeit wegen komplexer Verschleierungsmöglichkeiten für einen Täter ohnehin eher gering. 
  • Die aktuelle Krise und ihre wirtschaftlichen Folgen kann als Ereignis in der Karriere eines Mitarbeiters anomischen Druck auslösen. Mit der Tat verbindet ein Täter die Hoffnung, einen Ausweg aus dieser ansonsten ausweglos erscheinenden Situation gefunden zu haben. 
  • Die kriminologischen Grundannahmen beinhalten auch den Aspekt der Neutralisierungstechniken. Der vom Baden-Württembergischen Ministerpräsidenten Winfried Kretschmann geprägte Satz „Ein Virus ist halt nun mal nicht gerecht.“ liefert – ohne Zweifel vom Urheber völlig ungewollt – den perfekten Rechtfertigungsgrund: Die individuell gefühlte Ungerechtigkeit hilft dem Täter, ein nicht integres Handeln vor sich selbst zu rechtfertigen und sich selbst zu entlasten. Kurz gesagt: Der Virus war schuld! 

Die Antwort auf die Frage, warum Mitarbeiter Straftäter werden, ist aus der Täterperspektive also komplexer und besteht nicht nur aus der reinen Bereicherungsabsicht. Die Rechtfertigungsstrategie des Täters hat nach unserer Beobachtung letztlich auch eine Wechselwirkung zur Schadenhöhe, denn je wirkungsvoller die Rechtsfertigungsstrategie, desto einfacher können die drohenden Konsequenzen des Handelns durch den Täter neutralisiert werden. Das Risiko für Wiederholungstaten steigt dadurch im Zeitverlauf an. 

Auch den Handlungen von Außentätern liegen sicherlich Gelegenheiten, Motive und Neutralisierungsstrategien zugrunde. Im Bereich Cybercrime sehen wir zusätzlich Besonderheiten: 

Cyber-Täter sind nicht zwingend monetär getrieben. Aus unserer Praxiserfahrung ist auch die Bewältigung der technischen Herausforderung und die Anerkennung in der Community ein wesentlicher Treiber. Aber auch politische und ideelle Motive sind von Bedeutung. Nicht zuletzt gibt es immer wieder auch Hinweise auf Cyber-Attacken aus staatlichen Organisationen heraus.

Handlungsempfehlung: Wie kann sich ein Unternehmen schützen?

  • Prüfen Sie die Wirksamkeit der internen Kontrollsysteme unter den Corona-bedingt geänderten Rahmenbedingungen und definieren Sie Änderungen in den Prozessabläufen und Arbeitsanweisungen neu – wenn erforderlich für eine zeitlich befristete Übergangsphase.
  • Implementieren Sie möglichst digitale Workflows mit IT-gestützten Berechtigungskonzepten und automatisierten oder manuellen IT-Kontrollen. 
  • Definieren Sie die elementaren Sicherheitsstandards und vermeiden Sie Umgehungsmöglichkeiten. 
  • Durchführung regelmäßiger risikoorientierter Datenanalyse als Monitoring der Geschäftsvorfälle im Unternehmen, um auffällige Buchungen, sog. Red Flags und Prozessabweichungen, frühzeitig aufzudecken. 
  • Identifizierung und Reduzierung von Schwachstellen mit Cyber-Security Audits. Zum Beispiel:
    • Penetration Testing zur Identifikation von Schwachstellen und Lücken in den IT-Sicherheits-Systemen, die sich z. B. durch Anpassung der IT-Landschaft an die durch Covid-19 geänderten Arbeitsbedingungen ergeben,
    • Prozessmining zur Erhebung von z. B. durch das Homeoffice bislang unbemerkten Änderungen in Prozessen, aus denen sich Risiken für das Unternehmen ergeben können. 
  • Prüfen Sie Ihren Versicherungsschutz gegen Cyber-Angriffe und daraus resultierenden Betriebsunterbrechungen sowie Non-Compliance.

Unterliegen Sie nicht dem Trugschluss an der falschen Stelle zu sparen; eine erhöhte Risikolage verlangt mehr und nicht weniger Kontrolle - sonst könnte die Rechnung für das „Sparen“ an der falschen Stelle schlussendlich ungewollt hoch ausfallen.

Baker Tilly Online-Seminar „So schützen Sie sich gegen Ransomware: Strategien und Vorgehensweisen digitaler Erpresser“

Um Ihre Organisation vor solchen Übergriffen effektiv schützen zu können, sollten Sie zunächst einmal verstehen, wie Ihre Gegner grundsätzlich arbeiten. Unter dem Motto „Know your enemy“ möchten wir Ihnen in unserem Online-Seminar Einblicke in die Denk- und Vorgehensweise der Kriminellen geben und wollen dabei - ohne umfangreiches IT-Wissen vorauszusetzen - Denkanstöße zur Reflexion der eigenen Präventionsmaßnahmen schaffen. Ein Online-Seminar für Entscheider, fachliche Mitarbeiter und Prüfer der Internen Revision in Unternehmen, zu dem wir auch Sie – selbstverständlich kostenlos – einladen möchten.

Jetzt kostenlos anmelden!
 

Zurück