Embed Size (px)
Citation preview
Vermeidung von Internet-Betrug
Deutsche Bank
Auf einen Blick So schützen Sie sich vor Internet-Betrug
Aufs Wesentliche reduzieren – Installieren Sie nur, was Sie benötigen
– Aktualisieren Sie, was installiert ist
– Deinstallieren Sie, was Sie nicht mehr brauchen
Spam/Phishing – Löschen Sie Spam von unbekannten Absendern sofort
– Prüfen Sie Links (Text/Bilder) – nicht auf Dateianhänge in verdächtigen E-Mails klicken
– Leiten Sie verdächtige E-Mails im Zweifelsfall an Ihre IT-Security-Abteilung weiter
CEO-Fraud – Hinterfragen Sie Überweisungsaufträge auf unbekannte Konten
– Kontaktieren Sie den CEO unter der im Unternehmen hinterlegten Rufnummer
– Prüfen Sie die Glaubwürdigkeit und Plausibilität der gemachten Angaben
Freigabe von Zahlungen – Grenzen Sie Aufgaben klar voneinander ab
– Geben Sie Zahlungen nur im 4-Augen-Prinzip frei
– Nutzen Sie eine Zwei Faktor-Authentifizierung
– Vertrauen Sie nicht blind - auch wenn starker Druck ausgeübt wird
Passwort/Virenschutz – Verwenden Sie unterschiedliche und komplexe Passwörter für
verschiedene Systeme
– Löschen Sie inaktive Accounts
– Installieren Sie aktuellste Sicherheitsupdates/Anti-Viren-Schutz
– Setzen Sie Makro-Sicherheitseinstellungen auf ein hohes Niveau
Bewusstsein der Mitarbeiter – Bieten Sie regelmäßig Cyber Security Awareness-Trainings an
– Versenden Sie Newsletter und Tests zum Social Engineering-Betrug/Phishing
Erläuterung üblicher Angriffsarten
Übliche Angriffsarten – Phishing
Gefälschte E-Mails, die Nutzer dazu verführen sollen, vertrauliche Informationen wie User-IDs oder Passwörter preiszugeben.
– Smishing Phishing durch SMS-Nachrichten. Eine an das Mobiltelefon gesendete Nachricht mit der Aufforderung, persönliche oder vertrauliche Informationen preiszugeben.
– Vishing Sogenannte „War Dialers” rufen zu einem bestimmten Zeitpunkt tausende Nummern an. Wenn ein Anruf angenommen wird, wird eine Aufnahme abgespielt, die behauptet, dass eine Kreditkarte oder ein Bankkonto gefährdet wurde und persönliche Informationen benötigt werden.
– Spear Phishing Nutzt hochrangige Einzelpersonen (CFOs, CIOs) in einem Unternehmen, um vertrauliche Informationen zu gewinnen.
– Trojaner Eine bösartige Software, die vorgibt, eine spezielle Funktion für den Nutzer auszuführen, sich in Wirklichkeit aber unautorisierten Zugang zum System verschafft oder Daten verschlüsselt (Locky).
– Man-in-the-Browser-Attacken Daten werden abgefangen, indem eine sichere Kommunikation zwischen dem Nutzer und einer Onlineapplikation angegriffen wird. Ein Trojaner wird z.B. in der Browserapplikation verankert und kann jegliche eingegebene Information abfangen und manipulieren.
– Key Logger Robot Programme, die alle Tastatureingaben registrieren, um Nutzer-IDs und Kontoinformationen zu speichern.
– Social Engineering Anrufe in bösartiger Absicht, E-Mails oder andere Arten von Manipulationen, um Menschen zu Aktionen oder zur Veröffentlichung von vertraulichen Informationen zu verführen.
Beispiele üblicher AngriffsartenInternet-Betrug und CyberkriminalitätDer Business E-Mail Compromise (BEC) ist eine immer beliebter werdende Methode des Angriffs von Cyberkriminellen auf Unternehmen, die regelmäßig Banküberweisungen durchführen.
„Fake President“ – Der E-Mail-Account von einem Senior Executive in einem
Unternehmen (meist CEO oder CFO) wird gehackt.
– Eine gefälschte E-Mail wird an den Controller des Unternehmens gesendet mit der Anfrage, eine erhebliche Summe an ein ausländisches Bankkonto zu überweisen.
– Die betrügerische E-Mail fordert Sie auf, die Überweisung dringend auszuführen, um eine ausländische Transaktion zu ermöglichen.
Hacken des E-Mail-Accounts eines Mitarbeiters – Der E-Mail-Account eines Mitarbeiters wird gehackt.
– Zahlungsaufforderungen zugunsten von Konten, die von dem Betrüger kontrolliert werden, werden an Geschäftskunden versendet. Die Kundeninformationen werden aus den Kontaktlisten des Mitarbeiters identifiziert.
– Eventuell wird das Unternehmen erst auf den Betrug aufmerksam, wenn es beim Kunden nach dem Stand der Zahlung nachfragt.
Phishing-E-Mail mit gefälschten Links – Ein Krimineller sendet eine E-Mail an einen Zahlungsver-
kehrsmitarbeiter des Zielunternehmens. Die E-Mail erweckt den Eindruck, als wäre sie von einem Finanzdienstleister. Es wird nach einem Update der Zahlungssystem-Software gefragt.
– Die Pishing-E-Mail fordert dazu auf, ein Formular auszufüllen oder auf einen Link oder Button zu klicken, wodurch sich eine betrügerische Website öffnet, die eine Kopie des referierten Unternehmens ist. Ziel ist das Abgreifen persönlicher Daten (User-ID, Passwort) aus der Onlinebanking-Anwendung.
Best Practice zur Reduzierung von Internet-ZahlungsbetrugSchutz des E-Mail-Accounts
– Spam löschen Sofortiges Löschen von unerwünschten E-Mails (Spam) von unbekannten Absendern.
Öffnen Sie keine Spam-E-Mails, klicken Sie auf keine Links und öffnen Sie keine Anhänge in Spam-E-Mails. Diese enthalten oft Malware, wodurch Kriminelle Zugang zu Ihrem Computersystem erlangen können.
– „Weiterleiten” statt „Antworten” Nutzen Sie nicht die „Antworten”-Funktion, um geschäftliche E-Mails zu beantworten.
Nutzen Sie stattdessen die „Weiterleiten”-Funktion und geben Sie die korrekte E-Mail-Adresse ein oder wählen Sie diese aus Ihrem Adressbuch, um sicherzustellen, dass die richtige Adresse verwendet wird.
– Überprüfen Sie alle Anfragen mit eventuell vorgetäuschter Dringlichkeit Viele Spam-E-Mails behaupten, dass Ihr Account in Gefahr sei, wenn nicht etwas Kritisches sofort aktualisiert würde.
Seien Sie wachsam, wenn Sie z. B. von Ihrem CEO oder CFO eine Nachricht bekommen, dass eine vertrauliche Transaktion dringend ausgeführt werden soll. Rufen Sie immer den entsprechenden Manager zur Verifizierung an.
– Überprüfen Sie E-Mails, die Sie zu einem System-Update auffordern Kontaktieren Sie immer Ihren Relationship Manager, wenn Sie in einer E-Mail zu einer Aktualisierung Ihrer Onlinebanking- Anwendung aufgefordert werden.
Bewusstsein der Mitarbeiter – Richten Sie Cyber Security-Awareness-Trainings für alle
Mitarbeiter ein.
– Abonnieren Sie regelmäßige Newsletter mit den neuesten Betrugstrends und Schutzmöglichkeiten.
– Führen Sie Tests zur Erkennung von Social-Engineering- und Phishingbetrug durch.
Computersicherheit – Vermeiden Sie es, Dateien von unbekannten Quellen aus dem
Internet oder von einem USB-Stick zu laden.
– Stellen Sie sicher, dass Ihr Computer den aktuellsten Malware-Antivirenschutz hat und die aktuellsten Sicherheitsupdates auf Ihrem Computer installiert sind.
– Stellen Sie die Makro-Sicherheitseinstellungen auf ein hohes Niveau.
– Überlegen Sie, für Onlinezahlungen einen separaten Computer zu nutzen mit speziellen physischen Sicherheitskontrollen.
– Nutzen Sie nicht das gleiche Passwort für verschiedene Systeme, aktualisieren Sie es regelmäßig und löschen Sie inaktive Accounts.
Best Practice zur Reduzierung von Internet-Zahlungsbetrug
Schutz vor der Ausführung fehlerhafter Zahlungen – Freigabe von Zahlungen im 4-Augen-Prinzip
Alle Zahlungen über einem bestimmten Betragslimit sollten eine doppelte Freigabe benötigen.
– 2-Faktoren-Authentifizierung für Zahlungsfreigaben Zahlungsfreigaben sollten immer eine 2-Faktoren-Authentifizierung erfordern (z. B. Chipkarte und Passwort).
– Tägliche Überwachung und Abgleich der Zahlungskonten
– Implementierung von Grenzwertüberwachung Bei außergewöhnlich hohen Beträgen erfolgt eine automatische Information über die Transaktion schon bei der Eingabe.
– 2-Faktoren-Authentifizierung für das Kunden-Log-in nutzen, wo möglich
– Zahlungskonten White List Pflegen einer Positivliste mit gültigen Zahlungskonten. Änderungen in der Liste sollten durch eine zweite Kontrolle genehmigt werden.
– Abgrenzung der Aufgaben Sicherstellung einer ordnungsgemäßen Abgrenzung der Aufgaben bei Zahlungserfassung, Zahlungsbestätigung und Zahlungsfreigabe.
– HR Policy Sicherstellen, dass Arbeitsplatzrotation und Pflichturlaub für Zahlungsverkehrsmitarbeiter umgesetzt werden.
Informationssicherheit @ Deutsche Bank
– Eine unserer höchsten Prioritäten ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Kunden- und Bankdaten zu schützen.
– Dazu hat die Deutsche Bank ein umfassendes Informations- und Internetsicherheitsprogramm etabliert:
– schriftlich festgelegte und regelmäßig aktualisierte Sicherheitsrichtlinien und Standards (auch für IT- Lieferanten der Deutschen Bank)
– vielfältige Kontrollen, u.a. physische (z.B. Zugangs- kontrollen, sichere Datenzentren), technische (z.B. Legitimation und Genehmigung, Netzwerkzonen) und administrative Kontrollen (z. B. funktionale Trennung von Aufgaben, neutrale Kontrollen, regelmäßige Mitarbeiterrezertifizierung)
– neueste Sicherheitstechnologien, z.B. Anti-Malware, Verschlüsselung, Network Intrusion Detection, Sicherheitspatches, Data Leakage Prevention (DLP)
– eine Lösung zur Entdeckung und Vermeidung von Distributed Denial of Service (DDoS) Attacken
– Sicherheitsexperten der Deutschen Bank informieren sich kontinuierlich über die Bedrohungslage und neueste Schutzmaßnahmen, indem sie eng mit Experten externer Sicherheitsfirmen, Forschungsgruppen und anderen Unternehmen zusammenarbeiten und Sicherheitstrainings und -konferenzen besuchen.
– Das Cyber Intelligence Team der Deutschen Bank erhält regel-mäßig Informationen über die aktuelle Bedrohungssituation und stellt aktiv anonymisierte Informationen für Partner in der Sicherheitsindustrie, z. B. das FS-ISAC (Financial Services-Information Sharing and Analysis Center), zur Verfügung. Der Global Head of Cyber Security der Deutschen Bank ist Vorstandsmitglied des FS-ISAC.
Informationssicherheit @ Deutsche Bank
– Interne elektronische Geräte und externe Systeme werden regelmäßig gescannt, um Schwachstellen zu finden.
– Die Einhaltung der Deutsche Bank-Sicherheitsrichtlinien und -standards sowie IT-Systeme wird in „Red Team”-Übungen überprüft.
– Kritische IT-Systeme der Deutschen Bank werden rund um die Uhr überwacht.
– Alle Mitarbeiter und Lieferanten können sicherheitsrelevante Vorfälle rund um die Uhr an eine weltweit erreichbare Sicherheitshotline melden.
– Ein globaler Cyber Security-Response Prozess kann zu jeder Zeit auf potenzielle Sicherheitsvorfälle reagieren, damit Gegenmaßnahmen ergriffen werden können und die Behebung der zugrunde liegenden Ursachen eingeleitet werden kann.
– Regelmäßige Informationssicherheitstrainings für interne und externe Mitarbeiter werden durchgeführt. Ergänzend zu den Trainings werden weitere Kanäle, z.B. eine dezidierte Informationssicherheitswebsite, Videos, Phishingkampagnen und Cyber Security Roadshows, angeboten, um das Risiko- bewusstsein der Mitarbeiter zu schärfen.
Sprechen Sie mit uns
Für weitere Informationen wenden Sie sich bitte an Ihren Firmenkundenbetreuer oder ProduktspezialistenE-Mail: [email protected] Internet: deutsche-bank.de/firmenkunden
Diese Publikation dient lediglich zu Informationszwecken und bietet einen allgemeinen Überblick über das Leistungsangebot der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften. Die allgemeinen Angaben in diese Publikation beziehen sich auf die Services von Global Transaction Banking der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften, wie sie den Kunden zum Zeitpunkt der Drucklegung dieser Publikation im Dezember 2017 angeboten werden. Zukünftige Änderungen sind vorbehalten. Diese Kundenpräsentation und die allgemeinen Angaben zum Leistungsangebot dienen lediglich der Veranschaulichung, es können keinerlei vertragliche oder nicht vertragliche Verpflichtungen oder Haftung der Deutsche Bank AG, ihrer Niederlassungen oder Tochtergesellschaften daraus abgeleitet werden.
Deutsche Bank AG hat eine Banklizenz nach dem deutschen Kreditwesengesetz (zuständige Behörde: Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)) und ist in Großbritannien durch die Prudential Regulation Authority autorisiert. Sie unterliegt der Aufsicht der Europä¬ischen Zentralbank und der BaFin, sowie in begrenztem Umfang der Prudential Regulation Authority und Financial Conduct Authority in Großbritannien. Einzelheiten zum Umfang der Zulassung und Beaufsichtigung durch diese Behörden sind auf Anfrage erhältlich.
Copyright © Dezember 2017 Deutsche Bank AG.
Alle Rechte vorbehalten.
