Sonntag, 28. Dezember 2014

Vorsicht vor gefälschten Überweisungsträgern - Betrugsversuche aus dem Ausland

Wir möchten Sie hiermit dringend vor einer Betrugsmasche warnen, die gerade um sich greift. Immer öfter werfen Unbekannte Überweisungsträger mit gefälschten Unterschriften bei Banken ein oder senden diese per Post. Manchmal haben sie damit Erfolg. Bei uns von yourIT ging's gerade nochmal gut.


Uns von yourIT war diese Betrugsmasche mit den gefälschten Überweisungsträgern bereits bekannt. Immerhin durften wir erst im Juli 2014 neben Banken und dem LKA vortragen und die IT-Sicht vertreten bei der Veranstaltung "Betrugsversuche aus dem Ausland". Ein Vertreter der regionalen Banken hatte über die Betrugsmasche mit gefälschten Überweisungsträgern berichtet. Er hatte auch darauf hingewiesen, dass sie ihr Risikomanagement darauf ausgerichtet hatten. Die Bankmitarbeiter sind darauf geschult. Wer hätte gedacht, dass jemand versuchen würde, diesen Betrugsversuch kaum 5 Monate später bei uns selbst anzuwenden.

Betrugsversuch aus dem Ausland - gefälschter Überweisungsträger

Wie läuft der Betrugsversuch ab?


Innerhalb von nur 3 Tagen wurden an unsere beiden Girokonten bei unseren Hausbanken 2 Überweisungsträger geschickt. Beide kamen aus Spanien. Beide wollten etwas mehr als 19.000 EUR abbuchen. Wir sprechen hier also von fast 40.000 EUR. Die Unterschriften beider (!) Geschäftsführer auf den Überweisungsträgern sahen täuschend etc. aus.

In beiden Fällen fielen die Überweisungsträger den Bankangestellten nur deshalb auf,
  • weil die Bank unser Unternehmen kennt,
  • weil wir eigentlich nie Überweisungsträger verwenden und
  • weil wir selten bis nie Überweisungen ins Ausland tätigen.
Die Bankvertreter haben daher erstmal bei uns angefragt und um Freigabe gebeten. Da bei uns nur Geschäftsführer Zahlungen freigeben dürfen, konnte dies bei uns selbstverständlich nicht funktionieren.

Wie sieht das bei Ihrem Unternehmen aus?


Sie sollten sich folgende Fragen stellen:
  • Ist Ihr Unternehmen Ihrer Bank ausreichend bekannt?
  • Verwenden Sie noch papierbasierte Überweisungsträger? Ist dies der Bank bekannt?
  • Kommen Überweisungen ins Ausland von Ihrem Konto vor?

Wer haftet bei einem erfolgreichen Überweisungsmissbrauch?


Erst einmal wird gemäß § 675 u BGB (Bürgerliches Gesetzbuch) die Bank haften, denn bei einer vom Kontoinhaber nicht autorisierten Überweisung ist zwischen Kontoinhaber und der Bank kein wirksamer Vertrag zustande gekommen. Kein Wunder also, dass die Bankmitarbeiter gut geschult und das Risikomanagement aktiv sind.

Um Ärger mit der Bank zu vermeiden empfehlen wir allerdings, selbst entsprechende Vorkehrungen zu treffen und die Schadenswahrscheinlichkeit dadurch zu senken.

Wie können Sie diesen Betrugsversuchen mit gefälschten Überweisungsträgern vorbeugen?


Folgende Maßnahmen sollten Sie jetzt ergreifen:
  • Machen Sie Ihre Bank auf die Betrugsmasche aufmerksam (falls noch nicht bekannt).
  • Teilen Sie Ihrer Bank Ihr übliches Überweisungsverhalten mit.
  • Falls möglich: Verzichten Sie komplett auf beleghafte Überweisungen. Oder veranlassen Sie, dass Ihre Bank bei beleghaften Überweisungen immer Rücksprache mit Ihnen hält.
  • Grenzen Sie die Zahl der Länder ein, an die Sie Überweisungen tätigen werden.
Ein weiterer wichtiger Hinweis kommt vom LKA und zielt auf die täuschend echten Unterschriften der yourIT-Geschäftsführer auf den Überweisungsträgern:
  • Veröffentlichen Sie auf keinen Fall Unterschriftsproben der Zeichnungsberechtigten Ihres Unternehmens (Vorstand, Geschäftsführer, Prokuristen, ...). Angebote müssen in der Regel nicht unterschrieben werden. Wer von sich Unterschrifts-Muster gar im Internet veröffentlicht, braucht sich über Betrugsversuche mit gefälschten Überweisungsträgern nachher nicht wundern.
Achtung: Es wurden bereits Fälle bekannt, in denen der Überweisungsträger ein deutsches Girokonto als Empfängerkonto enthielt. Begrenzen Sie Ihr Augenmerk also nicht ausschließlich auf ausländische Konten.

So machen Sie Ihr Unternehmen sicherer


Bereits im Juli haben wir 10 Handlungsempfehlungen verfasst, um Ihr Unternehmen sicherer zu machen. Lesen Sie hier weiter.

Wir hoffen, wir konnten Ihnen mit dieser Information weiterhelfen.

yourIT - securITy in everything we do.



Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 4. Dezember 2014

yourIT stellt mit Thomas Ströbele ab sofort einen leitenden Auditor ISO 27001

Das Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa verstärkt sein Engagement im Bereich Informationssicherheit. Mitglieder aus dem Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa (IDIE) nahmen in der Woche vom 24.11.2014 bis zum 28.11.2014 an der Schulung zum „ISO/IEC 27001:2013 Leitender Auditor“ in Bad Arolsen teil. Für die yourIT GmbH aus Hechingen nahm Thomas Ströbele erfolgreich teil. Nach eigenen Recherchen ist er damit einer von derzeit gerade mal etwa 80 ISO 27001:2013 Lead Auditoren in ganz Baden-Württemberg.


Das Seminar durchgeführt hat der Marktführer für Normung, Zertifizierung und Weiterbildung, die British Standards Institution (kurz: BSI – http://www.bsigroup.com/de-DE/). Der Tutor Adrian Lambeck begleitete die Teilnehmer durch das fünftägige Training und vermittelte die notwendigen Fähigkeiten und Fertigkeiten, um ein Informationssicherheits-Management-Audit kompetent und konform bis zur höchsten Stufe durchführen zu können.

Die Teilnehmer der BSI-Schulung zum "ISO/IEC 27001:2013 Lead Auditor" mit Thomas Ströbele (5. v.links) von yourIT


Inhalte des Seminars


Durch die Schulung wurde das Fundament der modernen Informationssicherheits-Management-Systeme (ISMS - Information Security Management System) beschrieben und vermittelt, im Einzelnen:
  • der internationale Standard für Informationssicherheit ISO/IEC 27001:2013,
  • der dazugehörige Implementierungsleitfaden ISO/IEC 27002 mit
  • allen wichtigen Teilbereichen wie Security Policies, Risikomanagement, Business Continuity Planning oder internes Auditing.
In den fünf Tagen wurden nicht nur die wesentlichen Grundlagen der Informationssicherheit dargelegt, erörtert und besprochen, sondern auch übergeordnete Aspekte wie die Organisation, Technik oder das Prozessmanagement kamen nicht zu kurz. Zudem wurden die nachfolgenden Inhalte im Kurs erarbeitet:
  • Erstellung eines ISMS, Auswahl und Handhabung der Kontrollinstrumente;
  • Audit- und Interviewtechniken, Führen und Leiten des Auditteams;
  • Einleitung und Durchführung eines Audits, Organisation von Einführungs- und Abschlussmeeting;
  • Auditbericht, Formulierung von Abweichungen und Ausarbeitung von Korrekturmaßnahmen.

bsi.-Zertifikat ISO 27001:2013 Lead Auditor Thomas Ströbele

Resümee eines Teilnehmers


Mit erfolgreichem Bestehen der IRCA Prüfung haben die Teilnehmer die Fähigkeit mitgenommen, exzellente interne und externe Audits nach ISO/IEC 27001:2013 planen und durchführen zu können. Dies kann Thomas Ströbele, Geschäftsführer der yourIT GmbH aus Hechingen und Teilnehmer des ISO/IEC 27001:2013-Seminars, nur bestätigen: "Zusammen mit anderen Experten aus den Bereichen Datenschutz & IT-Sicherheit an einem fünftägigen Intensivtraining teilzunehmen war ein besonderes Erlebnis. Ohne die langjährige Erfahrung aus vielen Datenschutz- und IT-Sicherheits-Audits wäre der Stoff kaum zu meistern gewesen. Wir werden unsere Vorgehensweise nun noch mehr an den Standards der Norm ISO 27001 ausrichten. Dennoch steht für unsere mittelständischen Kunden die Zertifizierung nach ISA+ weiterhin im Vordergrund - eventuell als Zwischenschritt zur ISO 27001.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Abgrenzung Datenschutz & Informationssicherheit

Der Begriff "Informationssicherheit" bezieht sich auf alle schutzwürdigen Informationen im Unternehmen (wie z.B. Betriebsgeheimnisse, Technologie-Knowhow, etc.). Zur Informationssicherheit zählt somit auch die Sicherheit personenbezogener Daten. Der Schutz personenbezogener Daten wird als Datenschutz bezeichnet und ist somit Teil der Informationssicherheit.

Abgrenzung Informationssicherheit und Datenschutz

Ein wichtiger Unterschied: Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben und somit für Unternehmen unumgänglich.

In beiden Bereichen sind vom Unternehmen bestimmte Sicherheitsstandards einzuhalten. Dies kann über Informations-Sicherheits-Management-Systeme (ISMS - Information Security Management System) geschehen sowie über proaktives Vorgehen zum Datenschutz. Damit erfüllen Unternehmen die gesetzliche Vorschriften (Datenschutzgesetze) und gewinnen und sichern gleichzeitig das Vertrauen von Kunden, Lieferanten und Partnern.

yourIT - securITy in everything we do

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

yourIT - securITy in everything we do

Wir stehen für Sicherheit in allen IT-Fragen und freuen uns auf Ihre Projektanfragen.

Ihr yourIT-Team

Für weitere Fragen zum Thema Datenschutz und Informationssicherheit steht Ihnen Herr Ströbele gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele