Gefälschte IT-Audits: Wenn Cyberkriminelle Prüfer*innen spielen

Cyberkriminelle finden immer wieder neue Wege, um sich sensible Daten, Geld und mehr zu erschleichen.  Die neueste Gefahr: Betrüger*innen tarnen sich als angebliche Mitarbeitende der "Föderalen Cybercrime-Behörde" – eine Institution, die es gar nicht gibt. Mit überzeugenden Argumenten bieten sie Unternehmen einen kostenlosen Sicherheitscheck an und wirken dabei seriös. Statt Sicherheit bringen sie Schadsoftware mit.

Das Vorgehen ist simpel, aber effektiv: Die vermeintlichen Auditor*innen nehmen Kontakt mit Firmen auf und bieten an, das Firmennetzwerk auf Sicherheitslücken zu prüfen. Dabei bringen sie ihre eigene Hardware mit oder fordern ahnungslose Opfer auf, sich mit einer Fernwartungssoftware wie bspw. AnyDesk zu verbinden – und schaffen damit einen direkten Draht in die Systeme der Unternehmen.

Auch die Ukraine meldete bereits ähnliche Betrugsfälle: Dort gaben sich Angreifer als Vertreter des Computer Emergency Response Teams (CERT-UA) aus und forderten Unternehmen auf, sich mit ihrer Software zu verbinden; angeblich zur Cyber-Sicherheitsprüfung, in Wirklichkeit aber zur Spionage oder Sabotage. Die belgischen Behörden raten Unternehmen weltweit, solche Anfragen genau zu prüfen und kritisch zu hinterfragen.

Die größten Warnzeichen für Fake Audits

1. Unprofessionelles Design und Grammatikfehler

Angebote von Fake-Auditor*innen weisen oft ein schlechtes Design und viele Grammatik- oder Rechtschreibfehler auf. Achten Sie auf unprofessionell gestaltete Dokumente, unscharfe Logos oder seltsame Schriftarten. Ein ernstzunehmendes Unternehmen oder eine vertrauenswürdige Organisation sollte gut strukturiert und fehlerfrei auftreten.

2. Fehlende Zertifizierung

Achten Sie darauf, ob die Firma, von der Sie kontaktiert wurden, selbst auditiert und zertifiziert wurde und überhaupt die Berechtigung hat, selbst Audits durchzuführen. Fake-Anbieter enthalten oft keine solche Bescheinigung oder Verweise auf vertrauenswürdige Zertifizierungsstellen.

3. Fragwürdige Identität der Kontaktperson

Im ersten Schritt ist es immer ratsam, die Identität der Person, die Sie kontaktiert hat, über die offiziellen Kontaktdaten der jeweiligen Behörde zu prüfen – nicht über die Nummer oder E-Mail, die die oder der potenzielle Betrüger*in selbst angibt. Auf der offiziellen Website einer Behörde oder Firma findet man oft schnell die richtige Antwort.

4. Unrealistische Versprechungen

Ein weiteres Anzeichen für ein Fake-Audit ist es, wenn „zu perfekte" Ergebnisse versprochen werden - von Bezeichnungen wie „100% sicher“ bis zu „Wir schließen alle Ihre Sicherheitslücken“. Wenn von Auditor*innen Versprechungen gemacht werden, die in der echten Geschäftswelt unrealistisch sind, sollte man besonders vorsichtig sein.

5. Es wird ein kostenloses Audit angeboten

Hier sollten Sie besonders hellhörig werden – denn hinter einem Audit steckt ein strukturierter und genau vorgegebener Prozess, der Personal, Zeit und Ressourcen erfordert. Personen, die solch eine umfassende Leistung kostenlos anbieten, können nur schwer verdächtig sein!

Wie läuft ein echter Audit-Prozess mit der CIS ab?

Nach der ersten Kontaktaufnahme mit einer verifizierten Mitarbeiter*in der CIS erfolgt ein Beratungsgespräch mit einem unserer Expert*innen. Anforderungen und der genaue Ablauf werden vorab besprochen sowie ein Angebot gelegt. Die gesamte Projektplanung sowie alle Details im Prozess werden im nächsten Schritt festgelegt.

Fazit: Eine echte IT-Auditor*in kommt nicht unangekündigt zu Ihnen und hat auch bestimmt keine zwielichtigen Laptops oder mysteriösen Fernwartungszugänge dabei. Wer plötzlich eine "kostenlose" oder „100% sichere“ Überprüfung angeboten bekommt, sollte skeptisch sein – oder gleich die echte zuständige Behörde kontaktieren. Hier finden Sie eine Auflistung offizieller Stellen, an die man sich bei Cybersicherheitsvorfällen melden kann.