Cybercrime in der Wohnungswirtschaft erkennen und stoppen

Cyberkriminalität ist mittlerweile die dominierende Form der Wirtschaftskriminalität. Die Täter*innen stammen immer häufiger aus dem Bereich der organisierten Kriminalität. Auch die Branche der Immobilien- und Wohnungswirtschaft ist potenzielles Ziel betrügerischer Machenschaften. Wohnungsunternehmen sollten daher mögliche Risiken frühzeitig erkennen und wirksame Strategien zur Gefahrenabwehr und Mitarbeiterschulung ergreifen.

Sind die Methoden von Betrüger*innen im digitalen Zeitalter von DDOS- bis zu Ransomware-Angriffen sehr vielfältig, so ist das Motiv der Täter*innen am Ende immer gleich: Für die gestohlenen Daten fordern die Täter*innen Lösegeld, Schweigegeld oder Schutzgeld.

Die Wohnungswirtschaft war bereits vielfach Gegenstand von Cyberangriffen, da die Branche ein entsprechendes Erpressungspotenzial aufweist. Aus Sicht der Täter*innen sind Wohnungsunternehmen zahlungsstark und auf den uneingeschränkten Zugang zu ihren Finanz- und Mieterdaten angewiesen, um die Wohnungsbestände zu verwalten. Ferner stellen personenbezogene Mieterdaten ein besonderes Erpressungspotenzial dar und können auch zu Reputationsrisiken führen.

Dabei haben die heutigen Täter*innen weniger die tatsächliche Verwertung der Daten als Ziel, sondern einzig die Verhinderung des Zugriffs durch das Wohnungsunternehmen. Dazu wird eine sogenannte Ransomware verwendet. Hierbei handelt es sich um eine Schadsoftware, welche die Dateien verschlüsselt oder unbrauchbar macht, bis Lösegeld (auf englisch „ransom“) für das Entsperren bezahlt wurde.

Die Schadsoftware gelangt im Regelfall unbewusst durch Mitarbeitende der Unternehmen in die Systeme. Kommt es zu einem Vorfall, ist dies - bei mittlerweile in fast allen Unternehmen eingeführten IT-Sicherheitsmechanismen (Firewall etc.) - auf menschliches Zutun zurückzuführen.

Die Täter*innen zielen bei immer besserer IT-Infrastruktur-Sicherheit der Unternehmen auf die Psyche ihrer menschlichen Opfer ab. Mit diesen Methoden werden Zugangsdaten von den Mitarbeitenden erbeutet oder unbemerkt Schadsoftware auf den dienstlichen IT-Systemen installiert:

• Phishing-Mails

• Anrufe mit falsch angezeigten Rufnummern

• Gefälschte QR-Codes

Die Betrugsversuche werden dabei immer raffinierter. Die Verfügbarkeit von Informationen zu Unternehmen, Mitarbeitenden, Organisationsdetails, Adressen, Events etc. im Internet und den sozialen Netzwerken macht die Recherche der Betrüger*innen über ihre Opfer immer leichter. Mittels dieses sogenannten „Social Engineerings“ werden sehr glaubhafte Szenarien entwickelt, die den betrügerischen Hintergrund nur sehr schwer erkennen lassen.

Das Bedrohungspotenzial wächst mit dem fortschreitenden Einsatz von künstlicher Intelligenz (KI) durch Kriminelle. Imitierte Stimmen, gefälschte Videokonferenzen und täuschend echte Dokumentenfälschungen sind bereits heute schon erfolgreich von Betrüger*innen zur Manipulation von Mitarbeitenden von Unternehmen im Einsatz.

Da das Einfallstor in der Regel nicht primär die IT-Infrastruktur bzw. die Systeme, sondern die Nutzer*innen der Systeme sind, gilt es, umfassende Sicherungsmaßnahmen im Unternehmen einzurichten. Durch eine Sensibilisierung für Cyberbedrohungen lernen Mitarbeitende, Phishing-E-Mails zu erkennen und auf Social Engineering-Taktiken zu reagieren.

Folgende Schutzmaßnahmen empfehlen wir für Wohnungsunternehmen:

1. Mitarbeitende sensibilisieren

• Regelmäßige Schulungen zu Phishing, Social Engineering & Co.

• Awareness-Kampagnen

• Realistische Testszenarien

2. Technische Sicherheitsstandards

• Passwortmanager einsetzen

• IT-Zugriffsrechte klar regeln

• Notfallpläne für Datenzugriffe und Zahlungsverkehr

3. Risikomanagement etablieren

• Risikoanalysen durchführen

• Sicherheitsrichtlinien für besonders sensible Daten festlegen

• Rückrufprozesse bei Zahlungsaufträgen definieren

Aufgrund der Einstufung als kritische Infrastrukturen sind Banken übrigens angehalten und verpflichtet, Mitarbeitende im Bereich der IT-Sicherheit regelmäßig zu schulen und für mögliche Betrugsmaschen zu sensibilisieren.