Mario Bauschke - Bereichsleiter Compliance & Support DKB AG

Die fortschreitende Digitalisierung in der Wohnungswirtschaft bringt neben effizienteren Prozessen und Erleichterungen auch eine weitere Professionalisierung von Betrügern mit sich und kann zu Wirtschaftskriminalität mit potenziell unbegrenzten Möglichkeiten führen. Was gilt es zu beachten und wie können sich Wohnungsunternehmen wirksam schützen?

Cyberkriminalität ist mittlerweile die dominierende Form der Wirtschaftskriminalität. Die Täter stammen immer häufiger aus dem Bereich der organisierten Kriminalität. Auch die Branche der Immobilien- und Wohnungswirtschaft ist potenzielles Ziel betrügerischer Machenschaften. Wohnungsunternehmen sollten daher mögliche Risiken frühzeitig erkennen und wirksame Strategien zur Gefahrenabwehr und Mitarbeiterschulung ergreifen. 

Breites Spektrum an möglichen Betrugsmethoden

Sind die Methoden von Betrügern im digitalen Zeitaltervon DDOS- bis zu Ransomware-Angriffen sehr vielfältig, so ist das Motiv der Täter am Ende immer gleich. Für die gestohlenen Daten fordern die Täter Lösegeld, Schweigegeld oder Schutzgeld. 

Die Wohnungswirtschaft war bereits vielfach Gegenstand von Cyberangriffen, da die Branche ein entsprechendes Erpressungspotenzial aufweist. Aus Sicht der Täter sind Wohnungsunternehmen zahlungsstark und auf den uneingeschränkten Zugang zu ihren Finanz- und Mieterdaten angewiesen, um die Wohnungsbestände zu verwalten. Ferner stellen personenbezogene Mieterdaten ein besonderes Erpressungspotenzial dar und können auch zu Reputationsrisiken führen. 

Dabei haben die heutigen Täter weniger die tatsächliche Verwertung der Daten als Ziel, sondern einzig die Verhinderung des Zugriffs durch das Wohnungsunternehmen. Dazu wird eine sogenannte Ransomware verwendet. Hierbei handelt es sich um eine Schadsoftware, welche die Dateien verschlüsselt oder unbrauchbar macht, bis Lösegeld (auf englisch „ransom“) für das Entsperren bezahlt wurde.

Die Schadsoftware gelangt im Regelfall unbewusst durch Mitarbeitende der Unternehmen in die Systeme. Kommt es zu einem Vorfall, ist dies - bei mittlerweile in fast allen Unternehmen eingeführten IT-Sicherheitsmechanismen (Firewall etc.) - auf menschliches Zutun zurückzuführen.

Social Engineering - Anfänger hacken Systeme, Profis hacken Menschen

Die Täter zielen bei immer besserer IT-Infrastruktur-Sicherheit der Unternehmen auf die Psyche ihrer menschlichen Opfer ab. Mit Phishing-Mails, Anrufen mit falschen angezeigten Rufnummern oder gefälschten QR-Codes werden Zugangsdaten von den Mitarbeitenden erbeutet oder unbemerkt Schadsoftware auf den dienstlichen IT-Systemen installiert. Die Betrugsversuche werden dabei immer raffinierter. Die Verfügbarkeit von Informationen zu Unternehmen, Mitarbeitenden, Organisationsdetails, Adressen, Events etc. im Internet und den sozialen Netzwerken macht die Recherche der Betrüger über ihre Opfer immer leichter. Mittels dieses sogenannten „Social Engineerings“ werden sehr glaubhafte Szenarien entwickelt, die den betrügerischen Hintergrund durch das Opfer nur sehr schwer erkennen lassen.

Das Bedrohungspotenzial wächst mit dem fortschreitenden Einsatz von künstlicher Intelligenz (KI) durch Kriminelle. Imitierte Stimmen, gefälschte Videokonferenzen und täuschend echte Dokumentenfälschungen sind bereits heute schon erfolgreich von Betrügern zur Manipulation von Mitarbeitenden von Unternehmen im Einsatz.

Mitarbeitende sensibilisieren und IT-Infrastruktur wirksam schützen 

Da das Einfallstor in der Regel nicht primär die IT-Infrastruktur bzw. die Systeme, sondern die Nutzer der Systeme sind, gilt es, umfassende Sicherungsmaßnahmen im Unternehmen einzurichten. Durch eine Sensibilisierung für Cyberbedrohungen lernen Mitarbeitende, Phishing-E-Mails zu erkennen und auf Social Engineering-Taktiken zu reagieren.

Als mögliche Sicherungsmaßnehmen empfehlen sich neben regelmäßigen Mitarbeiter-Schulungen und deren Auffrischungen auch die Verwendung von Passwortmanagern. Ebenso sollten Wohnungsunternehmen eine umfassende Risikoanalyse vornehmen und Notfallpläne bzw. Sicherheitsstandards im Umgang mit besonders sensiblen Daten sowie im Zusammenhang mit dem Zahlungsverkehr zu Vermeidung von betrügerischen Geldabflüssen implementieren (z.B. Richtlinien für IT-Zugriffsrechte und Sicherheitsstandards z.B. im Zusammenhang mit Rückrufen von Zahlungsaufträgen). 

Aufgrund der Einstufung als kritische Infrastrukturen sind Banken angehalten und verpflichtet, Mitarbeitende im Bereich der IT-Sicherheit regelmäßig zu schulen und für mögliche Betrugsmaschen zu sensibilisieren. 

 

Mario Bauschke

Bereichsleiter Compliance & Support DKB AG