Ein praktischer Leitfaden für Behörden, die ihre Mitarbeiter, ihre Zahlungen und ihre Partner schützen wollen
Von Scott Wilson, SVP & Global Chief Security & Privacy Officer | Herausgegeben von Jeremiah Akin, Senior Manager, Globales Marken- und Inhaltsmarketing
Personalvermittlungs- und Rekrutierungsagenturen basieren auf Vertrauen. Sie verarbeiten sensible Daten, verwalten große Mengen an Finanztransaktionen und unterhalten ständige Beziehungen zu Dutzenden, manchmal Hunderten von Anbietern und Partnern. Das macht Sie zu einer Zielscheibe.
Cyberkriminelle wissen das. Sie haben es nicht nur auf große Unternehmen mit eigenen IT-Abteilungen abgesehen. Unternehmen mit weniger als 100 Mitarbeitern sind 350 % häufiger von Social-Engineering-Angriffen betroffen als größere Organisationen, und etwa die Hälfte aller kleinen Unternehmen verfügt über keinen Cybersicherheitsplan. Wenn Ihre Behörde bisher ohne klare Sicherheitsgrundlagen gearbeitet hat, sind Sie nicht allein. Es lohnt sich, das jetzt zu ändern.
Dieser Beitrag befasst sich mit den grundlegenden Kontrollen, die jede Personalvermittlungsagentur einrichten sollte. Es sind keine fortgeschrittenen technischen Kenntnisse erforderlich.
Warum Agenturen ein Ziel sind
Die gleichen Dinge, die Personalvermittlungs- und Rekrutierungsagenturen für ihre Arbeit auszeichnen, machen sie auch für Betrüger attraktiv: häufige Kommunikation mit neuen Kontakten, regelmäßige Überweisungen und Lieferantenzahlungen sowie schlanke Teams, die schnell arbeiten.
Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC ) ist eine der schädlichsten Formen des Betrugs, die heutzutage auf Agenturen abzielt. Es funktioniert folgendermaßen: Ein Krimineller nutzt ein gefälschtes oder kompromittiertes E-Mail-Konto, um eine rechtmäßige Zahlung auf ein betrügerisches Konto umzuleiten. Das FBI meldete allein für das Jahr 2024 Verluste in Höhe von 2,77 Milliarden US-Dollar im Zusammenhang mit BEC, und diese Zahl spiegelt nur die gemeldeten Fälle wider. Laut der AFP-Umfrage 2026 zu Betrug und Kontrolle im Zahlungsverkehr hatten 76 % der US-Unternehmen im Jahr 2025 mit versuchtem oder tatsächlichem Betrug im Zahlungsverkehr zu tun, und 74 % waren speziell von BEC betroffen.
Auch die Taktiken haben sich geändert. Die Kriminellen verlassen sich nicht mehr auf schlecht geschriebene E-Mails, die leicht zu erkennen sind. Sie nutzen künstliche Intelligenz, um den Schreibstil von Personen zu imitieren, denen Sie bereits vertrauen. Sie fälschen E-Mail-Adressen, die fast identisch mit seriösen Adressen aussehen, und erzeugen Dringlichkeit, damit Sie handeln, bevor Sie nachdenken.
Die Bedrohungsanalyse von Hoxhunt verzeichnete einen 14-fachen Anstieg von KI-generierten Phishing-Angriffen in der Urlaubssaison 2025, wobei KI-gestützte Angriffe bis Anfang 2026 etwa 40 % aller gemeldeten Phishing-Angriffe ausmachen werden. Dies sind nicht die offensichtlichen Betrügereien von vor fünf Jahren.
Die unverzichtbaren Dinge
Dies sind die Kontrollen, die jede Agentur vor allem anderen einrichten sollte. Sie sind nicht kompliziert, aber sie machen einen enormen Unterschied.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)
MFA erfordert eine zweite Form der Verifizierung, wenn sich jemand bei einem Konto anmeldet: einen Code aus einer App, eine Textnachricht oder einen Hardwareschlüssel. Selbst wenn ein Krimineller Ihr Passwort hat, verhindert MFA, dass er sich Zugang verschafft.
Die von Microsoft zitierte Studie zeigt, dass MFA 99 % der Phishing-bedingten Kontokompromittierungen verhindert. Trotzdem haben nur 27 % der kleinen Unternehmen mit weniger als 25 Mitarbeitern MFA aktiviert. Aktivieren Sie sie für jedes Konto, das sie anbietet: E-Mail, Finanzplattformen, Ihr ATS, einfach alles.
Führen Sie seriöse Antiviren-Software aus und halten Sie sie auf dem neuesten Stand.
Antiviren-Software ist nicht nur einmalig zu installieren. Sie muss ausgeführt, aktualisiert und aktiv überwacht werden. Zu den seriösen Optionen gehören Malwarebytes, Bitdefender und ESET. Wenn Ihr Team mit mehreren Geräten arbeitet, stellen Sie sicher, dass jedes Gerät abgedeckt ist, nicht nur die Bürocomputer.
Alles automatisch aktualisieren lassen
Software-Updates schließen Sicherheitslücken. Wenn Ihr Betriebssystem, Ihr Browser oder Ihre Anwendungen veraltet sind, bleiben diese Sicherheitslücken bestehen. Richten Sie automatische Updates für alle Geräte ein, die Ihr Team verwendet. Dies ist eine der einfachsten und effektivsten Maßnahmen, die Sie ergreifen können.
Verwenden Sie einen Passwort-Manager
Schwache oder wiederverwendete Passwörter sind eine der häufigsten Arten, wie Konten kompromittiert werden. Mit einem Passwort-Manager können Sie sichere, eindeutige Passwörter für jedes Konto erstellen und diese sicher speichern. Deaktivieren Sie das automatische Ausfüllen des Browsers für sensible Websites und speichern Sie keine Passwörter in Ihrem Browser.
Schutz Ihrer Zahlungen
Auf Finanzkontrollen richten Betrüger den größten Teil ihrer Energie. Diese Schritte machen es ihnen deutlich schwerer, erfolgreich zu sein.
Überprüfung von Zahlungsänderungen außerhalb der Bandbreite
Wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, die Bankdaten eines Verkäufers zu aktualisieren, sollten Sie dieser Aufforderung erst dann nachkommen, wenn Sie den Verkäufer direkt unter der bei Ihnen gespeicherten Telefonnummer angerufen haben. Verwenden Sie niemals eine Telefonnummer, die in der E-Mail selbst angegeben ist. Mit diesem einen Schritt lassen sich die meisten BEC-Versuche verhindern.
Verlangt eine doppelte Genehmigung für Überweisungen
Verlangt, dass jede Überweisung oder elektronische Zahlung oberhalb eines bestimmten Schwellenwerts von mindestens zwei Personen genehmigt wird. Dies wird manchmal als „Vier-Augen-Prinzip“ bezeichnet und ist eine der wirksamsten Abschreckungsmaßnahmen. Selbst wenn eine Person betrogen wird, haben Sie durch eine zweite Person, die die Zahlung genehmigt, einen Kontrollpunkt.
Stimmen Sie Ihre Konten täglich ab
Je schneller Sie eine betrügerische Überweisung aufdecken, desto größer sind Ihre Chancen, die Gelder zurückzuerhalten. Die meisten Banken haben ein begrenztes Zeitfenster, um eine Überweisung zurückzurufen. Ein täglicher Abgleich, bei dem ausgehende Zahlungen mit genehmigten Anträgen verglichen werden und unbekannte Empfängerkonten markiert werden, sollte in Ihre Routine aufgenommen werden.
Sichere Übermittlung von Bankdaten durch Lieferanten
Vermeiden Sie es, Bankdaten von Lieferanten per E-Mail anzunehmen. Verwenden Sie stattdessen ein sicheres Portal oder einen verifizierten Eingangsprozess. Dadurch wird einer der häufigsten Ansatzpunkte für Zahlungsbetrug beseitigt.
Schützen Sie Ihre E-Mail-Domäne
Dies ist eine technische Frage, aber Ihr IT-Ansprechpartner oder E-Mail-Anbieter kann sich darum kümmern. Drei Protokolle, SPF, DKIM und DMARC, arbeiten zusammen, um zu verhindern, dass Kriminelle gefälschte E-Mails versenden, die scheinbar von Ihrer Domäne stammen. Wenn diese nicht konfiguriert sind, könnte sich jemand als die E-Mail-Adresse Ihrer Agentur ausgeben und sie zum Betrug an Ihren Partnern oder Kunden verwenden.
Bitten Sie Ihren IT-Support zu bestätigen, dass alle drei korrekt eingerichtet sind. Es handelt sich um eine einmalige Konfiguration, die Ihren Ruf und Ihre Partner schützt.
Aufbau einer Kultur der Berichterstattung
Der Bericht von Verizon über die Untersuchung von Datenschutzverletzungen aus dem Jahr 2025 ergab, dass etwa 60 % der Datenschutzverletzungen auf menschliches Handeln zurückzuführen sind. Das ist kein Grund, den Mitarbeitern die Schuld zu geben. Es ist ein Grund, in sie zu investieren.
Der Phishing-Benchmark-Bericht 2025 von KnowBe4 hat ergeben, dass einer von drei Mitarbeitern zu Beginn anfällig für Phishing ist. Bei Unternehmen, die regelmäßig Schulungen zum Sicherheitsbewusstsein durchführen, sinkt diese Zahl innerhalb von 90 Tagen um mehr als 40 % und innerhalb eines Jahres um bis zu 86 %.
Ein paar Gewohnheiten, die es wert sind, in Ihre Teamkultur integriert zu werden:
Ermutigung zur frühzeitigen Meldung. Wenn Ihnen etwas komisch vorkommt, eine seltsame E-Mail, eine unerwartete Anfrage, ein Link, der sich falsch anfühlt, sollte Ihr Team das sofort melden, ohne Angst vor einer Verurteilung. Eine frühzeitige Meldung rettet Unternehmen. Schweigen ist das, was Betrug zum Erfolg verhilft.
Führen Sie Phishing-Simulationen durch. Regelmäßige sichere Phishing-Tests sorgen dafür, dass das Sicherheitsbewusstsein nicht nachlässt, und helfen Ihnen zu erkennen, wo zusätzliche Schulungen hilfreich wären. Viele Sicherheitsplattformen bieten dies als integrierte Funktion an.
Teilen Sie, was Sie sehen. Wenn Ihre Behörde eine verdächtige E-Mail erhält oder ein neues Betrugsmuster entdeckt, teilen Sie es Ihren Partnern mit. Betrugsprävention funktioniert besser, wenn man sich gemeinsam bemüht.
Eine Quick-Reference-Checkliste
Nutzen Sie dies, um zu beurteilen, wo Ihre Agentur heute steht.
Personen- und Gerätesicherheit
- MFA ist für alle Konten aktiviert (E-Mail, Finanzplattformen, ATS, HR-Systeme)
- Auf allen Geräten ist eine seriöse Antiviren-Software installiert und auf dem neuesten Stand
- Betriebssysteme, Browser und Anwendungen sind so eingestellt, dass sie automatisch aktualisiert werden.
- Im gesamten Team wird ein Passwort-Manager verwendet; das automatische Ausfüllen von Passwörtern im Browser ist für sensible Websites deaktiviert.
Finanzielle Kontrollen
- Alle Überweisungen und elektronischen Zahlungen, die einen bestimmten Schwellenwert überschreiten, erfordern eine doppelte Genehmigung
- Zahlungsänderungsanträge von Verkäufern werden telefonisch überprüft, bevor Maßnahmen ergriffen werden.
- Die Konten werden täglich abgeglichen, mit einem Verfahren zur Kennzeichnung und Eskalation nicht erkannter Transaktionen
- Die Bankdaten des Anbieters werden über ein sicheres Verfahren erfasst, nicht per E-Mail.
E-Mail- und Domänensicherheit
- SPF, DKIM und DMARC sind auf Ihrer E-Mail-Domäne konfiguriert.
- Die Mitarbeiter wissen, wie sie einen verdächtigen Absender erkennen können (Überprüfung der vollständigen E-Mail-Adresse, nicht nur des Anzeigenamens)
Kultur und Bewusstsein
- Die Mitarbeiter fühlen sich wohl dabei, verdächtige E-Mails oder Anfragen ohne Zögern zu melden.
- Schulungen zum Sicherheitsbewusstsein sind Teil Ihres Einführungs- und jährlichen Überprüfungsprozesses
- Phishing-Simulationen werden regelmäßig durchgeführt
Ihre Agentur verdient einen starken Partner
Der Schutz Ihrer Agentur vor Betrug ist nur ein Teil eines größeren Ganzen. Personalvermittlungsagenturen müssen sich auch mit komplexen Compliance-Anforderungen für Arbeitskräfte, dem Risiko der Klassifizierung von Auftragnehmern und grenzüberschreitenden Beschäftigungsverpflichtungen auseinandersetzen. Hier kommt People2.0 ins Spiel.
People2.0 bietet EOR- und AOR-Dienstleistungen für Personalvermittlungsagenturen in mehr als 130 Ländern an und hilft Ihnen bei der sicheren Vermittlung von Arbeitskräften, der Einhaltung von Vorschriften und der Verringerung von Risiken in jeder Phase des Engagements. Wenn Sie einen genaueren Blick darauf werfen möchten, wie wir Agenturen wie Ihre unterstützen, würden wir uns gerne mit Ihnen unterhalten.
