CLEARWATER, Florida (Pressemitteilung vom 10. Oktober 2011) - Der IT-Sicherheitsexperte Stu Sjouwerman, Gründer und CEO des ISAT-Unternehmens KnowBe4 (Internet Security Awareness Training), warnt davor, dass kleine und mittlere Unternehmen (KMU) wahrscheinlich mit Phishing-bezogenen Cyberheist-Verlusten konfrontiert werden, wenn Finanzinstitute Verantwortung ablehnen für die Einfälle. Sjouwerman (ausgesprochen „Duschmännchen“) zitierte einen kürzlich veröffentlichten Bloomberg-Artikel, in dem berichtet wurde, dass Cyberkriminelle pro Jahr bis zu 1 Milliarde Dollar von kleinen und mittleren Bankkonten plünderten, während Banken den Opfern die Schuld dafür geben, dass sie nicht autorisierten Zugriff gewährt haben.
$config[code] not found„Viele Internetkriminelle operieren aus dem Ausland und überweisen gestohlene Gelder nach Übersee. Dies macht es den Behörden schwer, die Diebe aufzuspüren und strafrechtlich zu verfolgen, so dass es kaum Chancen gibt, das Geld zurückzuerlangen “, erklärte Sjouwerman. „Und da die FDIC Geschäftskonten nicht denselben Schutz bietet wie bei Privatkonten, bleibt eine von zwei Parteien übrig, um die Verluste zu decken: die Bank oder der Geschäftsinhaber. Daher ist es kein Wunder, dass Banken KMU vorgeworfen haben, dass Cyberkriminelle überhaupt in ihre Netzwerke eindringen können. "
Sjouwerman stellte fest, dass Cyberkriminelle häufig Phishing-E-Mails und andere ähnliche Taktiken verwenden, um Mitarbeiter dazu zu bringen, auf einen Link zu klicken, der dann automatisch Malware in das System des Benutzers lädt. „Mit Keylogger-Loggern und anderen Tools können Cyber-Entertainer Kontoinformationen und Passwörter stehlen, während der Benutzer die Netzwerkverletzung nicht vollständig kennt. Die Hacker initiieren dann eine Reihe von Überweisungen mit den Anmeldeinformationen des Geschäftsinhabers. In vielen Fällen ist das Geld längst verschwunden und nicht mehr auffindbar, wenn die Bank oder das Unternehmen die ungewöhnliche Aktivität bemerken. Infolgedessen beschuldigt die Bank das KMU, Cyberkriminelle gestohlen zu haben, die Online-Banking-Anmeldeinformationen des Unternehmens zu stehlen, während das KMU der Bank vorwirft, unzureichende Betrugsaufdeckung und Diebstahlsicherungsmaßnahmen getroffen zu haben. "
Jüngste Gerichtsverfahren haben gezeigt, dass das Urteil in beide Richtungen gehen kann. Wie in den Gerichtsakten detailliert beschrieben, ermöglichte ein Phishing-Angriff Cyberkriminellen den Zugriff auf die Geschäftskonten von Experi-Metal, Inc. bei der Comerica Bank, was zu 97 Überweisungsaufträgen mit einem Gesamtvolumen von mehr als 1,9 Millionen US-Dollar und einem Kontokorrentkredit von 5 Millionen US-Dollar führte. Comerica konnte bis auf 561.399 US-Dollar der gestohlenen Gelder, die Experi-Metal in einer Klage gegen die Bank verfolgte, zurückerhalten (Experi-Metal, Inc., v. Comerica Bank). Seiner Meinung nach hat der Richter Comerica für schuldig befunden, weil er die betrügerische Aktivität nicht früher erkannt oder beendet hat und einen Überziehung von 5 Millionen USD auf einem normalerweise Null-Kontostand vorgenommen hat.
In einem anderen ähnlichen Fall entschied das Gericht jedoch zugunsten der Bank. Laut Gerichtsdokumenten wurde Patco Construction Opfer eines Cyberheisten in Höhe von 588.851 US-Dollar, der anscheinend auf einen Zeus / Zbot-Trojaner zurückzuführen war, der es Cyber-Kriminellen erlaubte, die Online-Banking-Berechtigungen des Unternehmens zu stehlen. Das Finanzinstitut von Patco, Ocean Bank, konnte einige der Transfers blockieren, aber mehr als 345.000 US-Dollar wurden nicht zurückgefordert. Patco verklagte die Bank für den Verlust (Patco Construction Company, Inc., v. People's United Bank d / b / a / Ocean Bank). Nach Abwägung der von beiden Seiten vorgebrachten Argumente bestätigte der Richter die empfohlene Entscheidung des Richters, wonach der Antrag der Bank auf ein zusammenfassendes Urteil gerügt und Patco den Kreuzzug verweigert werden sollte.
"Da sich Unternehmen nicht auf den Schutz der FDIC oder auf Präzedenzfälle für die Rückerstattung gestohlener Gelder verlassen können, müssen KMU die Cyberkriminellen davon abhalten, auf ihre Systeme zuzugreifen und ihre Bankausweise zu stehlen", sagte Sjouwerman. "Viele Unternehmer sind überzeugt, dass ihr Antiviren-Software- und IT-Team einen ausreichenden Schutz gegen Hacker bietet. Fakt ist jedoch, dass Cyberkriminelle alle diese Maßnahmen umgehen können, indem sie einen einzelnen Mitarbeiter dazu verleiten, auf einen Link in einer Phishing-E-Mail zu klicken."
Sjouwerman behauptet, der beste Weg, um diesem schwachen Zusammenhang entgegenzuwirken, sei durch Schulungen zum Thema Internetsicherheit. „KnowBe4 führte eine Fallstudie mit mehreren unserer Kunden durch und verglich den prozentualen Anteil der Mitarbeiter, die zu Phish neigten - oder anfällig für Phishing-Versuche waren - sowohl vor als auch nach der Einführung unseres Internet Security Awareness-Trainings. Wir stellten fest, dass zwischen 26% und 45% der Mitarbeiter vor der Schulung zu Phish neigten; Die Gesamtsumme wurde jedoch sofort nach der ersten Trainingseinheit um 75% reduziert. Nach vier Wochen zusätzlichen Tests und Umschulungen lag der für Phish anfällige Prozentsatz in jedem Unternehmen bei oder nahe bei null. Wenn Ihre Mitarbeiter wissen, worauf Sie achten müssen, werden sie wahrscheinlich nicht Phishing-Taktiken zum Opfer fallen. Dies kann dazu beitragen, dass Cyberkriminelle von Ihrem Netzwerk und Ihren Bankkonten ferngehalten werden, und Sie können nicht mehr vor Gericht stehen. “
KnowBe4 lädt KMU dazu ein, einen kostenlosen Phishing-Sicherheitstest zu nutzen, aus dem hervorgeht, wie viele Mitarbeiter derzeit anfällig für Phish sind. Das Unternehmen bietet auf seiner Website außerdem eine Reihe kostenloser Schulungsressourcen für Cyberkriminalität an. Diejenigen, die zusätzliche Ratschläge zur Bekämpfung von Cyberangriffen suchen, finden eine Fülle von Informationen in Sjouwermans Buch Cyberheist: Die größte finanzielle Bedrohung für amerikanische Unternehmen seit dem Zusammenbruch von 2008.
Weitere Informationen zu den Internet-Sicherheits-Schulungsdiensten von KnowBe4 finden Sie unter http://www.knowbe4.com. Um einen Überblick über Cyberheist zu erhalten oder die Taschenbuch- oder E-Book-Edition zu bestellen, besuchen Sie
Über Stu Sjouwerman und KnowBe4
Stu Sjouwerman ist der Gründer und CEO von KnowBe4, LLC, die webbasiertes Internet Security Awareness Training (ISAT) für kleine und mittlere Unternehmen anbietet. Sjouwerman, ein Datensicherheitsexperte mit mehr als 30 Jahren Erfahrung in der IT-Branche, war Mitbegründer von Sunbelt Software, einem preisgekrönten Anti-Malware-Softwareunternehmen, das er und sein Partner 2010 an GFI Software verkauft haben Nachdem Sjouwerman die Sicherheitsaspekte ernsthaft vernachlässigt hatte, entschied er sich dazu, Unternehmern bei der Bekämpfung von Cybercrime-Taktiken durch fortschrittliche Schulungen zur Sensibilisierung für Internet-Sicherheit zu helfen. Er ist Autor von vier Büchern, darunter Cyberheist: Die größte finanzielle Bedrohung für amerikanische Unternehmen seit dem Zusammenbruch von 2008.