Mit dem technologischen Fortschritt Schritt zu halten gestaltet sich für Unternehmen hochgradig herausfordernd – gerade aus sicherheitstechnischer Sicht. Kriminellen bieten die ständigen Neuerungen in der Informationstechnologie schließlich fast täglich neue Angriffsflächen. Dies umfasst allerdings nicht nur etwaige technologische Sicherheitslücken, sondern auch den Faktor Mensch, denn aus Sicht der Kriminellen stellt die Belegschaft eines Unternehmens immer das schwächste Glied in der IT-Sicherheitskette dar. Immer öfter zielen sie daher auf die “Schwachstelle” Mensch, um die sonst gängigen Sicherheitsvorkehrungen eines Unternehmens zu umgehen oder an sensible Informationen und Daten zu gelangen. IT-Sicherheitsexperten sehen in dieser Vorgehensweise, dem Social Engineering, inzwischen sogar die größte Gefahr für jedes Unternehmen und dessen Systeme. Gezielte soziale ManipulationAls zunehmendes Unternehmensrisiko erweist sich vor allem der sogenannte “Fake President Fraud” oder auch “CEO Fraud”, eine Betrugsmethode, bei der sich die Täter beispielsweise als Unternehmensleiter, CFO oder aber Anwalt der Firma ausgeben, um die Autoritätshörigkeit eines Mitarbeiters auszunutzen. Der hierdurch verursachte Schaden wird weltweit mit 2,8 Mrd. Euro beziffert, so Einschätzungen des FBI; allein auf Europa bezogen geht Europol von Verlusten in Höhe von 500 Mill. Euro aus. Auch für deutsche Unternehmen entwickelt sich der Fake President Fraud zur wachsenden Bedrohung, wie Angaben des Bundeskriminalamts verdeutlichen: Während in 2013 deutschlandweit lediglich vier Fälle des digitalen Betrugs verzeichnet wurden, hat sich die Anzahl der Schadenfälle in kürzester Zeit vervielfacht. Im Jahr 2015 wurden bereits 74 Betrugsvorfälle erfasst, bei denen die Täter einen finanziellen Schaden von mehr als 41 Mill. Euro verursachten – so zumindest das offizielle Resümee, denn Experten gehen bei diesem Phänomen von einem erheblichen Dunkelfeld aus.Fake President Frauds zielen immer auf eines: Das Opfer – meist aus der Finanzabteilung – zu Überweisungen oftmals in Millionenhöhe zu veranlassen. In diesem Zusammenhang hacken die Kriminellen zunächst mehrere E-Mail-Accounts des Unternehmens und spähen dieses sorgfältig über Wochen oder sogar Monate hinweg aus. Nicht selten erstreckt sich die Spionage auf das persönliche Umfeld der für ihren Betrug Auserkorenen des Unternehmens. Mit dem erlangten Wissen um interne Unternehmensabläufe, eine geschickte Kommunikation sowie auch durch die richtige E-Mail-Adresse des Absenders treten sie schließlich authentisch auf und zerstreuen somit eventuelle Zweifel auf Seiten der Belegschaft. Sind die Kriminellen erfolgreich, gelingt der Betrug, kann der Schaden für das betroffene Unternehmen enorm sein. Haftungsrisiko für ManagerAngesichts des nicht zu unterschätzenden Schadenpotenzials müssen sich Risk Manager inzwischen verstärkt mit diesem Risiko auseinandersetzen. Dies gilt allerdings nicht nur für Risk Manager allein, sondern für die Führungskräfte eines Unternehmens, da digitale Risiken für sie noch eine weitere Gefahr bergen: Die Organisationspflicht von Managern umfasst auch den IT-Bereich und somit die IT-Sicherheit, und so haben sie dafür Sorge zu tragen, dass ihr Unternehmen bestmöglich vor jenen Risiken geschützt ist. Dazu zählt, dass etwa bestimmte IT-Sicherheitsrichtlinien befolgt werden oder notwendige Sicherheitsmaßnahmen adäquat umgesetzt werden. Kommen Führungskräfte ihren Pflichten allerdings nicht korrekt nach oder vernachlässigen das Thema IT-Sicherheit sogar, könnte ihnen im Falle eines Schadens, beispielsweise durch Social Engineering, ein Organisationsverschulden vorgeworfen werden. Hier sähe sich der betroffene Manager mit ernstzunehmenden Folgen konfrontiert, könnte er schließlich mit seinem gesamten Privatvermögen haften. Dies zeigt, dass entsprechende Schäden sich auch schnell zum Haftungsrisiko für Führungskräfte entwickeln können.Wenn es darum geht, sowohl Unternehmen als auch deren Führungskräfte vor Cyberrisiken zu schützen, gestaltet sich ein ganzheitliches und systematisches Risk Management als essenzieller Faktor. Umfangreiche technische sowie organisatorische Schutzmaßnahmen vorzunehmen, insbesondere die Belegschaft für jene Risikoart zu sensibilisieren, sie entsprechend zu schulen, ist ein bedeutender Aspekt zur Minderung des Geschäftsrisikos. Regelmäßig auf aktuelle Gefahren hinzuweisen, damit potenzielle Angriffsversuche erkannt werden können, trägt bereits entscheidend dazu bei, das Risiko, dass Dritte in das Unternehmensnetzwerk eindringen, zu verringern. Fakt ist: Jede noch so gute IT-Sicherheitslösung verliert durch Unachtsamkeit oder Fehlverhalten, durch mangelndes Bewusstsein hinsichtlich der Bedeutung von sensiblen Daten und Information sowie fehlende Kenntnisse möglicher Gefahren, die auf Seiten der Belegschaft vorhanden sind, jegliche Wirkung.—-Jana Gesine Dünkeloh, Manager Commercial Risks Germany & Austria bei Chubb