Von Susanne Grau

Die Cybersicherheit ist für eine funktionierende Wirtschaft von zentraler Bedeutung, ebenso dient sie dem Kampf gegen Wirtschaftskriminalität. Cyberbedrohungen und Cyberangriffe häufen sich ständig und stellen eine stetige Herausforderung für die Wirtschaftsteilnehmenden dar. Welche Bedrohungen standen im Jahr 2024 im Vordergrund und welche Erkenntnisse können gestützt darauf gewonnen werden?

Gemäss dem Bundesamt für Cybersicherheit BACS sind im Jahr 2024 rund 63’000 Meldungen über Cybervorfälle eingegangen. Dies bedeutet gegenüber dem Vorjahr einen Anstieg um rund 13’000 Meldungen (26%). Die Zunahme ist fast ausschliesslich auf «Drohanrufe im Namen von Fake-Behörden» zurückzuführen.

Anrufe im Namen von Fake-Behörden (Polizei, Zoll)

Knapp 22’000 Meldungen betrafen im Jahr 2024 Anrufe von Fake-Behörden. Das Vorgehen dieses Betrugsversuchs ist immer das gleiche. Es ruft eine vermeintliche Polizeibehörde an. Dahinter versteckt sich eine computergenerierte Stimme, welche die Angerufenen darüber informiert, dass ihre persönlichen Bankkontodaten im Zusammenhang mit einer Straftat aufgetaucht seien. Für weitere Informationen solle die Ziffer 1 auf dem Telefon gedrückt werden. Die Opfer werden danach aufgefordert ein Tool herunterzuladen, welches den Fernzugriff auf ihren Computer gewährt. Ziel der Angreifer ist es, Zugriff auf das E-Banking-Konto der Angerufenen zu erhalten.

Das BACS empfiehlt:

• Telefonanruf sofort abbrechen;
• Kreditkartenfirma unverzüglich kontaktieren, um die Karte sperren zu lassen, sofern diese Daten bekannt gegeben worden sind;
• Bank unverzüglich kontaktieren, um eine allfällig bereits in Auftrag gegebene Zahlung stoppen zu lassen;
• Deinstallation des Fernzugriff-Programms und Untersuchung und bei Verdacht auf eine Infizierung Säuberung des Computers durch eine Fachperson. Sicherste Variante: Computer vollständig neu aufsetzen lassen.

Betrügerische Gewinnspiele

Über 3’400 Meldungen betrafen betrügerische Gewinnspiele, was im Vergleich zum Vorjahr eine Verdreifachung bedeutet. Es handelt sich hierbei um vermeintliche Gewinnversprechen von Mobilfunkgeräten oder Gutscheinen, welche häufig im Namen bekannter Lebensmittel- oder Detailhändlern versendet werden. Ziel ist es, möglichst viele Teilnehmende zu generieren, die Fragen sind daher sehr einfach zu beantworten. Um an den vermeintlichen Gewinn zu kommen, müssen die Teilnehmenden auf einer gefälschten Webseite ihre persönlichen Daten bekanntgeben wie beispielsweise Kreditkartendaten, Name und E-Mail-Adresse. Was die Teilnehmenden nicht merken: Sie schliessen ein mehrjähriges Abonnement ab, dessen Gebühr unverzüglich auf der Kreditkarte belastet wird.

Das BACS empfiehlt:

• Nachrichten mit verlockenden Gewinnversprechen kritisch hinterfragen;
• Nachrichten ignorieren und löschen, keinesfalls an die eigenen Kontakte weiterleiten;
• Kreditkartenfirma unverzüglich kontaktieren, sofern Daten bekannt gegeben worden sind;

Das Staatssekretariat für Wirtschaft (SECO) empfiehlt:

• Sofort nach Entdeckung des Irrtums einen eingeschriebenen Brief an den Anbieter senden und den Vertrag wegen Irrtums und absichtlicher Täuschung anfechten;
• Das Schreiben sollte im Minimum folgenden Inhalt haben: «Ich bin durch Ihre Website getäuscht worden. Deshalb fechte ich einen allenfalls abgeschlossenen Vertrag wegen Irrtums und absichtlicher Täuschung an.»

Phishing

Über 12’000 Meldungen betrafen unter Phishing fallende Vorgehensweisen, was gegenüber dem Vorjahr eine Zunahme von 2’500 Meldungen bedeutet. Die Opfer werden hierbei dazu verleitet, ihre Passwörter und weitere persönliche Informationen anzugeben. Die meisten Phishing-Fälle geschehen immer noch klassisch über E-Mail, oftmals unter Ausnutzung der Gutgläubigkeit und Hilfsbereitschaft der Opfer. Es handelt sich um ein Massengeschäft, bei welchem die Angreifer nur auf eine kleine Erfolgsquote hoffen können. Neuerdings gehen sie daher auch gezielt vor. Beispielsweise rufen angebliche Bankmitarbeitende an, welche vorgeben, eine betrügerische Zahlung stoppen zu wollen. Eine andere neue Masche ist wiederum das Überkleben von QR-Codes auf Parkuhren.

Das BACS empfiehlt:

• Passwort sofort bei allen Diensten ändern, wo es eingesetzt wird, wenn es auf einer Phishing-Seite angegeben wurde;
• Alle Passwörter der Web-Dienstleister zurücksetzen, sofern diese mit einem Konto in Verbindung stehen, dessen E-Mail-Passwort auf einer Phishing-Seite angegeben wurde;
• Kreditkartenfirma unverzüglich kontaktieren, um die Karte sperren zu lassen, sofern diese Daten bekannt gegeben worden sind.

Autorin: Susanne Grau

Susanne Grau ist verantwortlich für den Themenbereich Wirtschaftskriminalistik, Dozentin und Projektleiterin am Institut für Finanzdienstleistungen Zug IFZ der Hochschule Luzern sowie Inhaberin und Geschäftsführerin der SUSANNEGRAU Consulting GmbH. Sie amtet als Vizepräsidentin von SwissAccounting und Verwaltungsrätin der Controller Akademie AG. Zudem ist sie Vorstandsmitglied der Schweizerischen Expertenvereinigung zur Bekämpfung der Wirtschaftskriminalität SEBWK und des ACFE Switzerland Chapters.