„Phreaking”, der unbefugte Zugriff auf Telefonsysteme, ist seit mehr als vier Jahrzehnten ein gutes Geschäft. Allein das Hacking von Telefonanlagen verursacht nach Schätzungen der Communications Fraud Control Association (CFCA) jährlich einen Schaden von rund 4,4 Milliarden Dollar.

Es geht längst nicht mehr um Scherze von Studenten und Witzbolden, sondern um eine wachsende, gut organisierte kriminelle Aktivität, die die betroffenen Unternehmen jedes Jahr Milliarden kostet. Benjamin Lay, Manager Produktmarketing KMU, Alcatel-Lucent Enterprise erläutert die wichtigsten Risikofaktoren, durch die sich ein Unternehmen dem Gebührenbetrug aussetzt, und die Schritte, mit denen Kommunikationssysteme gesichern werden können.

Unter Gebührenbetrug versteht man die unbefugte Nutzung eines Telekommunikationssystems durch Hacker, die in das System eindringen und riesige Summen für Ferngespräche oder für Anrufe bei kostenfreien, von ihnen kontrollierten Rufnummern verursachen. Das organisierte Verbrechen nutzt dabei die Tatsache aus, dass die meisten Unternehmen zwar ihre Netzwerke und PCs wirksam gegen Angriffe von außen schützen, bei ihren Kommunikationssystemen aber wesentlich nachlässiger sind, was sie zu einem leichten Ziel macht.

Die Kosten können erheblich sein, da diese Art von Betrug bei Unternehmen jeder Größenordnung möglich ist und die Risiken mit der schnell wachsenden Verbreitung von VoIP-Kommunikation in den Unternehmen steigen. Nach Untersuchungen der CFCA sind die Verluste durch Gebührenbetrug seit 2011 um 15% gestiegen. Die Ursachen hierfür liegen auch in der Verfügbarkeit von Gebrauchsanweisungen und Video-Anleitungen zum Gebührenbetrug, die über die sozialen Netzwerke verbreitet werden, und in dem relativ geringen technischen Know-how, das für das Eindringen in schlecht geschützte Kommunikationssysteme ausreicht.

Die Telefonkarte der Betrüger
Die Hacker dringen über Port-Scans, einfache Brute-Force-Angriffe oder ausgefeilte Social-Engineering-Techniken in die Systeme ein. Unternehmen bemerken häufig erst, dass sie Opfer von Gebührenbetrug geworden sind, wenn ihnen eine Rechnung ins Haus flattert. Anzeichen, auf die man achten sollte: viele Anrufe zu internationalen Nummern von derselben Nebenstelle aus, viele Anrufe außerhalb der Geschäftszeiten in Länder, mit denen das Unternehmen keine Geschäftskontakte unterhält, viele kurze Anrufe zu einer Premium-Rufnummer.

Risikobewertung
Ältere Systeme, überholte Sicherheitsrichtlinien und nachlässige Konfiguration – insbesondere bei der Integration von VoIP-Telefonen – sind die drei wichtigsten Risikofaktoren. Sie werden von den Unternehmen oft übersehen, setzen sie aber unmittelbar dem sehr realen Risiko aus, Opfer von Telefon-Hacking und Gebührenbetrug zu werden.

Wie kann ein Unternehmen feststellen, ob es gefährdet ist? Beantworten Sie die folgenden Fragen. Wenn Sie auch nur einmal mit „Ja“ antworten, ist Ihr Unternehmen gefährdet.

  • Werden seit mehr als einem Jahr dieselben Passwörter verwendet?
  • Nutzen die Anwender Default-Passwörter für ihre Voice-Mail?
  • Sind Modems an den Kommunikationsserver angeschlossen?
  • Werden Telefondienste für Anwender außerhalb des Unternehmens bereitgestellt?
  • Hat es kürzlich personelle Veränderungen bei der Systemadministration gegeben?

Vorbeugung und Schutz
Firmen wie Alcatel-Lucent Enterprise bieten Audit-Dienstleistungen zum besseren Schutz vor Gebührenbetrug an. Sie helfen Unternehmen bei der Risikobewertung und bei der Einführung von Best Practices und Schutzmechanismen, mit denen viele Szenarien des Gebührenbetrugs verhindert werden können. Wenn Sie Best Practices einführen wollen, um Gebührenbetrug wirksam zu verringern, sollten Sie diese Tipps beachten:

  • Werden Sie ein „Kontroll-Phreak” – Sorgen Sie für starke Passwörter, überarbeiten Sie Ihre Passwort-Vorgaben. Nutzen Sie Anrufsperren, um ausgehende Anrufe auf die Geschäftszeiten zu beschränken. Verlangen Sie Passwort-Eingaben für Ferngespräche oder Anrufe bei Premium-Rufnummern. Implementieren Sie einen Schutz vor externer Weiterleitung. Ebenso wichtig: Überprüfen Sie die Zuständigkeiten und Administrationsrechte Ihrer Mitarbeiter.
  • Halten Sie Ihre Software auf dem neuesten Stand, installieren Sie Sicherheitsupdates – Stellen Sie sicher, dass Sie von aktuellen Produkterweiterungen und technischen Entwicklungen profitieren, indem Sie Ihre Software immer auf dem neuesten Stand halten. Setzen Sie bewährte Vorgehensweisen (Best Practices) ein, und installieren Sie alle Sicherheitsupdates und Patches der Hersteller.  Denken Sie daran, dass Hacker sich laufend weiterentwickeln. Deshalb ist es so wichtig, dass Sie Ihre Systeme regelmäßig auf Schwachstellen und Sicherheitslücken untersuchen.
  • Schaffen Sie ein internes Bewusstsein – Informieren Sie Ihre Mitarbeiter über grundlegende Sicherheits-praktiken, die rechtlichen und finanziellen Folgen von Gebührenbetrug und ihre jeweiligen Zuständigkeiten und Pflichten. Erinnern Sie sie an die Regeln zur Geheimhaltung, die es ihnen verbieten, technische Details über die Kommunikationssysteme weiterzugeben. Gelegentlich ist es auch hilfreich, interne Kampagnen zu entwickeln, die ein Bewusstsein für Gebührenbetrug schaffen und zur Meldung von ungewöhnlichem Vorgehen oder Verhalten bei den Telefondiensten auffordern.

Gebührenbetrug ist eine wachsende Bedrohung für die Unternehmen. Durch die Befolgung dieser einfachen Schritte können Sie es den Betrügern schwerer machen. Damit Ihr Kommunikationssystem kein einfaches Ziel ist.

Weitere Beiträge....