Thought Leadership
Betrüger tarnen sich als seriöse IT-Sicherheitsunternehmen und nutzen Angst vor Datenlecks, um Unternehmen abzukassieren. Trustwave warnt vor der Betrugsmasche und gibt einen Leitfaden zur Überprüfung von Security-Anbietern.
In Australien häufen sich Fälle einer neuen Betrugsmasche, vor der das Sicherheitsunternehmen eindringlich warnt: Vermeintliche Cybersecurity-Firmen nutzen professionelle Webauftritte, gefälschte LinkedIn-Profile und künstlich erzeugte Fachartikel, um Unternehmen in Panik zu versetzen und ihnen anschließend nutzlose Dienstleistungen zu verkaufen. Die Masche sei so ausgeklügelt, dass selbst erfahrene IT-Verantwortliche darauf hereinfallen können.
Legitimität als Tarnung
Diese Betrüger operieren demnach anders als herkömmliche Cyberkriminelle auf den ersten Blick völlig legal: Sie verfügen über eine gültige Gewerbeanmeldung (Australian Business Number, ABN), präsentieren sich mit aufwendig gestalteten Websites und lassen KI-generierte Fachbeiträge über aktuelle Sicherheitsvorfälle veröffentlichen. Nach einer Phase des Vertrauensaufbaus kontaktieren sie potenzielle Opfer mit alarmierenden Behauptungen: “Wir haben Ihre Daten im Darknet gefunden” oder “Wir haben kritische Sicherheitslücken in Ihren Systemen entdeckt”.
Das Kalkül dahinter: Durch die Kombination aus scheinbarer Seriosität und gezielt geschürter Angst sollen Entscheider unter Zeitdruck dazu gebracht werden, für nicht validierte “Hilfeleistungen” zu bezahlen, so die Analyse.
10-Punkte-Checkliste zur Anbieter-Überprüfung
Trustwave hat einen umfassenden Leitfaden entwickelt, mit dem CISOs, CIOs und Einkaufsleiter verdächtige Anbieter systematisch prüfen können:
1. Unternehmensregistrierung verifizieren
Die Gewerbeanmeldung (in Australien: ABN/ACN) sollte über offizielle Datenbanken wie das Australian Business Register überprüft werden. Die Experten empfehlen, nicht nur den Handelsnamen auf der Website zu prüfen, sondern die tatsächlich registrierte juristische Person und deren Status. Zusätzlich sollten ASIC-Register (Australian Securities and Investments Commission) konsultiert werden, die Informationen über Firmendokumente, Geschäftsführer und Inhaber enthalten.
2. Zertifizierungen überprüfen
Bei Anbietern von Penetrationstests oder Red-Team-Services sollte eine CREST-Akkreditierung vorhanden sein, die über den offiziellen Verifizierungsservice überprüfbar ist. Für Regierungsaufträge ist zudem eine nachweisbare Beziehung zum Australian Cyber Security Centre (ACSC) relevant.
3. ISO-Zertifikate validieren
Eine ISO-27001-Zertifizierung lässt sich über Akkreditierungsregister wie JAS-ANZ oder die öffentlichen Verzeichnisse der Zertifizierungsstellen verifizieren. Ein Logo auf der Website allein ist wertlos.
4. Prüfberichte anfordern
Seriöse Anbieter können SOC-2- oder ISAE-3402-Berichte vorweisen. Diese sollten entweder als Executive Summary verfügbar sein oder unter Geheimhaltungsvereinbarung eingesehen werden können – inklusive Nennung der prüfenden Wirtschaftsprüfungsgesellschaft.
5. Partnerschaften verifizieren
Partnerlogos von Microsoft, AWS oder Google sollten über die offiziellen Partner-Verzeichnisse dieser Anbieter überprüft werden (z.B. Microsoft AppSource).
6. LinkedIn-Profile analysieren
Gefälschte Profile erkennt man an kurzer Verweildauer, Stock-Fotos, inkonsistenten Lebensläufen oder plötzlich aufgetauchten “Mitarbeiter”-Clustern. Seriöse Fachkräfte haben meist Spuren in Form von Konferenzvorträgen, GitHub-Profilen oder veröffentlichten Forschungsarbeiten.
7. Technische Nachweise verlangen
Behauptungen über Datenlecks oder Sicherheitslücken müssen durch konkrete, verifizierbare Artefakte belegt werden: Hashes, mit Datum versehene Screenshots oder geschwärzte Logs. Diese sollten vom eigenen Incident-Response-Team oder einem vertrauenswürdigen Dritten unabhängig überprüft werden.
8. Einkaufs- und Rechtsprozesse einhalten
Seriöse Anbieter akzeptieren standardisierte Beschaffungsprozesse mit Leistungsbeschreibung, Vertragsvereinbarungen und Versicherungsnachweisen (Berufshaftpflicht, Cyber-Versicherung). Druck zur schnellen Zahlung, um “Schaden abzuwenden”, ist ein deutliches Warnsignal.
9. Soziale Beweisstücke prüfen
Tiefe Unternehmenshistorie, konsistente Zeitverläufe bei Mitarbeitern, verifizierbare frühere Arbeitgeber und Firmen-E-Mail-Adressen sind Indikatoren für Legitimität.
10. Bei Zweifeln offizielle Stellen kontaktieren
Wenn sich ein Anbieter auf staatliche Cybersecurity-Dienste beruft, sollte man direkt beim ACSC nachfragen, anstatt dem Kontakt zu vertrauen.
Pause statt Panik
Die Empfehlung von Trustwave: Die beste Verteidigung gegen diese Form des Social Engineering ist eine Kombination aus Skepsis und Prozesstreue. Bei unaufgeforderten Sicherheitswarnungen erst innehalten, dann verifizieren, Beweise einfordern und alle Kontakte durch die etablierten Incident-Response-, Rechts- und Beschaffungsprozesse leiten. Zeitdruck ist dabei fast immer ein Warnsignal – echte Sicherheitsvorfälle erfordern zwar schnelles Handeln, aber keine überstürzten Zahlungen an ungeprüfte Dienstleister, so das Fazit der Sicherheitsexperten.
