Arbei­ten in der Corona-Pan­de­mie: Inter­view mit Rüdi­ger Kirsch

„Die Com­pliance-Regeln haben es oft nicht mit ins Home Office geschafft“

Viele Unternehmen lassen in Zeiten der Corona-Pandemie die üblichen Sicherheitsvorkehrungen schleifen. Diese Sorglosigkeit kann teuer werden, denn Kriminelle haben die neuen Schwachstellen schnell erkannt, warnt Rüdiger Kirsch, Vorsitzender der AG Vertrauensschadenversicherung im GDV.

Herr Kirsch, in der Corona-Pandemie funktionieren viele Unternehmen aus dem Home Office heraus. Das stellt die IT-Abteilung natürlich vor Herausforderungen. Sie sehen darin aber noch ganz andere als rein technische Risiken – welche?
Rüdiger Kirsch: Im Home Office sind die ganzen Abläufe ungewohnt, der Betrieb muss sich erst wieder einspielen. Viele sind schon froh, wenn der Laden nur irgendwie weiterläuft. Alles, was nicht als unbedingt nötig oder als zu unbequem wahrgenommen wird, fällt hinten runter. Und hier sehen wir bei Teilen unserer Kunden eine ganz gefährliche Entwicklung: Viele Compliance-Regeln und Sicherheitsvorkehrungen haben es nicht mit ins Home Office geschafft.


Woran machen Sie das fest?
Kirsch: Ganz einfach, das sehen wir unter anderem an den Schadenmeldungen. Gerade in den letzten Wochen sind einige unserer Kunden Opfer der sogenannten Payment-Diversion-Masche geworden: Da geben sich Betrüger als angebliche Lieferanten aus und geben eine neue Kontoverbindung durch. Wer das ungeprüft übernimmt, bezahlt also nicht seine Rechnung, sondern überweist das Geld aktiv auf ein Konto der Betrüger.
Und die Unternehmen fallen gerade jetzt eher auf solche Sachen herein?
Kirsch: Leider ja, mit dem Umzug ins Home Office sind viele Routinen verloren gegangen – und das wissen auch die Betrüger, für die ist die Corona-Pandemie ein Eldorado. Viele Ansprechpartner sind schwerer zu erreichen, der persönliche Kontakt zu Vertragspartnern fehlt, ebenso der informelle Austausch mit den Kollegen. Wenn einem im Büro etwas komisch vorkommt, bittet man einen Kollegen, sich das mal anzuschauen oder man fragt direkt beim Absender nach. Das müsste jetzt nicht nur weiterhin passieren, es ist sogar noch wichtiger geworden.

Nehmen Sie eine einfache Rechnung: Die wird im Home Office logischerweise nicht mehr physisch von mindestens zwei Personen unterschrieben. Dabei ist gerade diese physische Unterschrift ein sehr sicheres Verfahren, weil sich Kriminelle von außen in einen solchen unternehmensinternen Vorgang nur sehr schwer einschalten können. Eine Mail zu fälschen ist dagegen ein Kinderspiel.
Was raten Sie Unternehmen, die auf das Home Office angewiesen sind?
Kirsch: Zwei Dinge sollten vollkommen klar sein und auch allen Mitarbeitern entsprechend mitgegeben werden. Erstens: Die Compliance- und Sicherheitsregeln werden durch die Pandemie nicht ausgehebelt. Sie gelten auch für die Arbeit im Home Office uneingeschränkt, unter Umständen müssen sie sogar verschärft werden. Das wird nicht überall deutlich genug.

Gerade neulich habe ich eine Mail gesehen, in der Mitarbeiter gebeten wurden, ihre Passwörter während der Corona-Pandemie nicht zu ändern, um Probleme mit dem Fernzugriff zu vermeiden. Eine solche Anweisung sendet ein völlig falsches Signal an die Mitarbeiter. Die sollten die Dinge jetzt nicht entspannter angehen, sondern ganz im Gegenteil noch wachsamer sein. Das ist der zweite wichtige Punkt: Man sollte wirklich alles, was einem auch nur irgendwie skurril vorkommt, aktiv hinterfragen und überprüfen.


Wie kann eine solche Prüfung aussehen?
Kirsch: Wir kennen in der IT-Sicherheit die sogenannte Zwei-Faktor-Authentifizierung, das heißt Sie brauchen nicht nur ein Passwort, sondern einen zweiten Faktor – beim Online-Banking etwa eine PIN, die an Ihr Smartphone gesendet wird. Genauso gehen Sie am besten auch hier vor. Ihr Lieferant schickt Ihnen eine neue Kontoverbindung? Dann rufen Sie Ihren Kontakt an. Und zwar nicht unter der Nummer in der Mail-Signatur, sondern unter der Ihnen bekannten Nummer. Andersherum: Wenn Ihr Vorgesetzter Sie am Telefon zur Zahlung einer bestimmten Summe auffordert, bitten Sie ihn um eine schriftliche Bestätigung per Mail, besser noch um die Bestätigung einer zweiten Person.
Halten solche Überprüfungen den Betrieb nicht unnötig auf? 
Kirsch: Nein, das ist in den meisten Fällen ganz einfach und geht auch schnell – wenn Sie entsprechend vorbereitet sind, also die Mail-Adressen, Durchwahlen und die Handynummern der wichtigsten Ansprechpartner immer griffbereit haben, für den Notfall auch die privaten Kontaktdaten. Aber der Faktor Zeit ist aus einem anderen Grund ein ganz wichtiger: Betrüger werden nämlich in vielen Fällen versuchen, Zeitdruck aufzubauen und ihre Opfer zu vorschnellen Handlungen zu drängen. Da zeigen die Kriminellen oft ein erstaunliches psychologisches Geschick.


In vielen Unternehmen werden jetzt neben Telefon und Mail verstärkt auch Messenger-Dienste und soziale Medien für die Kommunikation genutzt – ein weiterer Vorteil für Betrüger?
Kirsch: Tatsächlich nutzen viele Unternehmen jetzt Kommunikationsmittel,  die bei ihnen bis zur Corona-Pandemie vielfach aus gutem Grund verboten waren, etwa WhatsApp.  Das ist auch erstmal nicht weiter schlimm, selbstverständlich kann und soll man in einer außergewöhnlichen Situation auch außergewöhnliche Wege gehen. Aber es ist schon ein Unterschied, ob ich meine Abteilungsrunde über HouseParty organisiere – oder ob ich eine Zahlungsanweisung als WhatsApp-Sprachnachricht bekomme. Wer das normal findet, arbeitet in einem sehr hemdsärmeligen Unternehmen, um es mal positiv auszudrücken.

Die Vertrauensschadenversicherung schützt nicht nur gegen externe Betrüger, sondern auch gegen kriminelle Mitarbeiter aus dem eigenen Betrieb – sehen Sie auch hier eine größere Gefährdung?
Kirsch: Wir gehen davon aus, dass jedes Jahr fünf bis zehn Prozent der deutschen Unternehmen von eigenen Mitarbeitern betrogen werden. Bei den Tätern kommen häufig zwei Faktoren zusammen: Zum einen eine finanzielle Notlage, zum andere die günstige Gelegenheit zur Tat. Insofern könnten die Pandemie und ein wirtschaftlicher Abschwung  die Gefahr noch verstärken. Bislang stellen wir hier aber noch keine vermehrten Schäden fest – aber wir stehen ja auch erst am Anfang.

Zur Startseite
Auch inter­essant