Die Themen Datenschutz und IT-Sicherheit sind seit einiger Zeit Gesprächsthema wie selten zuvor. Meldungen über und Warnungen vor Hackerangriffen und Datenklau nehmen zu und seit der Einführung der DSGVO beschäftigen sich alle vom Großkonzern bis zum Bäcker mit dem Thema Datenschutz. Es werden Konzepte erstellt, Verfahren dokumentiert und Sicherheitsmaßnahmen geprüft. Dabei ist einer der wichtigsten Faktoren das Verhalten des Menschen sowohl im Berufs- als auch im privaten Kontext. Denn Social Engineering spielt eine große Rolle, wenn es um IT-Sicherheit und Datenschutz geht. Beim Social Engineering versucht der Angreifer durch Ausnutzen menschlicher Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität Menschen auszuhorchen und so unberechtigt Zugang zu Informationen oder IT-Systemen zu erlangen.

Dieses Einfallstor machen sich aktuell wieder Gauner zu Nutze. Wie das niedersächsische Landeskriminalamt (LKA) berichtet, tricksen sie ahnungslose Jobsuchende aus und eröffnen in deren Namen Bankkonten. Diese Masche sei zwar nicht neu, aber sehr beliebt und ermöglicht den Tätern Geldwäsche unter dem Namen des Opfers zu betreiben.

Die Masche

Doch wie bekommt man jemanden dazu ein Konto zu eröffnen, ohne dass derjenige Wind davon bekommt? Zunächst einmal schalten die Täter online Jobanzeigen, wobei sie auch Namen bekannter Unternehmen verwenden. Mit gefälschten Mailadressen und Webseiten erwecken sie den Eindruck man bewerbe sich bei dem benannten Unternehmen. Laut dem LKA sei das Bewerbungsportal der Deutschen Bahn bereits so täuschend echt kopiert worden, dass es kaum von der Originalseite zu unterscheiden war. Zusammen mit den Bewerbungsunterlagen fordern die Täter eine Ausweiskopie und ein Selfie mit dem Ausweis in der Hand. Mit den Daten leiten sie die Eröffnung eines Bankkontos ein und teilen dem Bewerber mit, er müsse sich noch kurz, anstatt eines persönlichen Bewerbungsgespräches, über ein Video-Ident-Verfahren identifizieren. Daraufhin bekommt der Bewerber genaue Anweisungen zur Durchführung des Video-Ident-Verfahren, u.a. über die Installation einer vollkommen legalen und seriösen Video-ID-App. Anschließend werden die Zugangsdaten zur persönlichen Identifizierung übermittelt. Sollte der Bewerber bei der Durchführung des Video-Ident-Verfahrens nicht bemerken, wofür das Verfahren dient (etwa, weil der Mitarbeiter der Bank erwähnt, dass es sich um eine Kontoeröffnung handelt), könnten die Täter das Konto auf den Namen des Opfers nutzen, um z.B. Geldwäsche zu betreiben. Dabei leiten die Täter den Schriftverkehr zwischen Bank und dem Jobsuchenden auf sich um, sodass sie alle Unterlagen erhalten. Auffallen wird dem Jobsuchenden der Betrug oft erst, wenn schon polizeiliche Ermittlungen gegen ihn laufen. Laut LKA reichen bereits wenige Tage und Wochen, um ein Konto für z.B. Geldwäsche zu missbrauchen.

Wie kann man sich wehren?

Die Masche erschöpft sich natürlich nicht auf vermeintliche Bewerbungsverfahren. Es gilt daher Vorsicht walten zu lassen bei der Bitte eines Dritten ein Video-Ident-Verfahren durchzuführen. Sollte der Mitarbeiter bei dem Ident-Verfahren nicht zu Beginn klar zu erkennen geben, dass die Identifizierung tatsächlich dem Zweck dient, der dem Betroffenen mitgeteilt wurde, sollte dieser in jedem Fall nachfragen. Außerdem dürfen Sie grundsätzlich ein gesundes Misstrauen haben, wenn Sie um die Übermittlung eines Ausweisscans oder gar eines Selfies mit Ausweis gebeten werden. Diese Daten können nämlich auch unabhängig von einem Video-Ident missbraucht werden. Bei einem Verdacht auf Missbrauch sollte die Polizei kontaktiert werden.

Es gibt unterschiedliche Webseiten, die regelmäßig über aktuelle Maschen und Tricks von Betrügern oder Sicherheitsrisiken informieren. Dazu zählen die Seiten der Polizei, aber auch die Seiten der Verbraucherzentrale (https://www.verbraucherzentrale.de/aktuelle-meldungen) oder das Bürger-Cert des BSI (https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Buerger-CERT_node.html).

Unternehmen sollten zudem regelmäßig Awareness Schulungen für Ihre Mitarbeiter anbieten, um sich vor Social Engineering Angriffen zu schützen.