„Finanzkriminalität darf keine Zukunft in Deutschland haben“, schreibt das Bundesfinanzministerium in seinen im August 2022 veröffentlichten Eckpunkten zur Bekämpfung der Finanzkriminalität. Diese sehen im Wesentlichen drei Maßnahmen vor:
- Kernkompetenzen unter einem Dach bündeln
- Hochqualifizierte Finanzermittlerinnen und Finanzermittler ausbilden
- Digitalisierung und Vernetzung von Registern vorantreiben
Zwei der sechs Hauptrisiken im Fokus der BaFin 2023 beziehen sich zudem erneut auf Cyberattacken und die Geldwäscheprävention – aktuelle und herausfordernde Themen, die auch beim „20. Forum zur Prävention von Geldwäsche, Terrorfinanzierung und sonstiger strafbarer Handlungen“ auf dem Campus Schloss Montabaur im Fokus standen.
Der Mensch als Sicherheitsrisiko
„Man ist nicht geschützt vor Hackerangriffen, wenn man technisch auf den höchsten Sicherheitsstandards ist, aber bei den eigenen Mitarbeitern keine Awareness und keine Resilienz gegen solche Angriffe schafft“, ist Michael Willer, Geschäftsführer der Human Risk Consulting GmbH, überzeugt. In 90 Prozent der Hackangriffe seien menschliche Fehler die Ursache. Besonders E-Mails stellen einen großen Angriffsvektor dar, so Willer.
Vor der Manipulation dieser menschlichen Komponente in Form von Social Engineering erfolgt seitens der Angreifer immer erst die Informationsbeschaffung. Willer führte beim Forum anhand verschiedener Praxisbeispiele erschreckend anschaulich vor, wie einfach Kriminelle an Informationen gelangen, um damit Menschen zu leichtfertigem Verhalten zu verleiten. Dies gelinge vor allem durch zwei Informationsquellen:
- OSINT/SOCMINT (Open Source Intelligence/Social Media Intelligence): Informationen aus frei verfügbaren, offenen Quellen, wie z. B. Internet, Social Media, Printmedien
- HUMINT (Human Intelligence): Informationsgewinnung durch menschliche Quellen, wie es z. B. bei der Polizei, Nachrichtendiensten, aber auch unter Journalisten angewendet wird.
Mithilfe der beschafften Informationen eignen sich die Angreifer die notwendigen Hintergrundinformationen zu ihren Zielen, die Tonalität und den Stil eines Unternehmens an, um Vertrauen aufzubauen, eine falsche Identität anzunehmen und die Opfer hin zu einer bestimmten Verhaltensweise zu manipulieren, beispielsweise zur Preisgabe vertraulicher Informationen oder zur Freigabe autorisierter Zahlungen.
Das können Unternehmen und Kreditinstitute tun
Als Maßnahmen zur Abwehr von Hackerangriffen empfiehlt Willer regelmäßige Schulungen der Mitarbeitenden durchzuführen. Bereits kleine Schutzmaßnahmen, wie das Verdecken der PIN-Eingabe mit der Hand oder der Einsatz von Sichtschutzfolien auf Laptops und Smartphones können große Wirkung zeigen. Zudem verdeutlichte Willer die Notwendigkeit, die Medienkompetenz zu stärken und verantwortungsbewusster mit persönlichen und Unternehmensinformationen umzugehen, insbesondere im Internet.
Wenn statt Mitarbeitern die Kunden zu Betrugsopfern von Hackerangriffen oder Geldwäsche werden, können Kreditinstitute entscheidend unterstützen. „Durch schnelle Hilfe für ihre Kunden verringern Banken das Risiko eines Reputationsschadens des eigenen Hauses und leisten einen aktiven Beitrag zur Bekämpfung von Betrug und Geldwäsche“, erklärte Julian Ursic, Spezialist für Geldwäsche- und Betrugsprävention und Geschäftsführer Fraud20four7Prevention UG, im Rahmen des Forums. Seine Empfehlungen für Schutzmaßnahmen:
- Einrichten einer Webseite mit aktuellen Informationen zur Betrugsprävention
- Ermöglichung der Meldung von Betrugsfällen 24/7 über eingerichtete Meldekanäle
- Regelmäßige Schulungen aller Mitarbeiter
- Aufbau eines Netzwerks aus Ansprechpartnern und Kontakten innerhalb der Branche