- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

CEO Fraud ist ein einträgliches Geschäftsmodell


BSI warnt Unternehmen gezielt vor akutem Risiko durch CEO Fraud
Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen

- Anzeigen -





Mittels einer Betrugsmasche namens "CEO Fraud" versuchen kriminelle Täter derzeit, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen. Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung und weist auf die Risiken des CEO Fraud hin.

"CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten", erklärt BSI-Präsident Arne Schönbohm.

Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.

Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in Sozialen Netzwerken, in Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu überweisen.

Handlungsempfehlungen des BSI:
>> Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken
>> Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
>> Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen
a) Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
b) Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber
c) Information der Geschäftsleitung oder des Vorgesetzten

Mehr Informationen zum Thema CEO Fraud hat das BSI in seinen Lageberichten
(https://www.bsi.bund.de/lageberichte)
sowie das Bundeskriminalamt in einer Themenbroschüre
(https://www.bka.de/SharedDocs/Downloads/DE/IhreSicherheit/CEOFraud.html)
zusammengefasst. Für Rückfragen von Betroffenen steht das BSI unter der Rufnummer 0800 – 2741000 zur Verfügung.
(BSI: ra)

eingetragen: 22.07.17
Home & Newsletterlauf: 05.09.17

BSI: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Prüfung von Google Assistant und Amazon Alexa

    Der Google Assistant, der Sprachassistent von Google, versteht so manches falsch: Das zeigt eine aktuelle technische Prüfung des Marktwächter-Teams der Verbraucherzentrale NRW. So reagiert er auch auf Begriffe, die dem Aktivierungswort ähnlich sind und auf starke Abwandlungen. Zudem hatte sich Google in der Vergangenheit offen gehalten, nach eigener Einschätzung Auskunftsanfragen von Nutzern zu gespeicherten Daten abzulehnen. Daher hat das Marktwächter-Team Google abgemahnt. Mit Erfolg: Die unzulässige Bestimmung wurde gestrichen. Neben Googles Sprachassistenten prüften die Marktwächter-Experten abermals Amazons Alexa. Auch in der aktuellen technischen Prüfung hat Amazons Alexa wieder auf Wörter reagiert, die dem Aktivierungswort ähneln. Dabei wurden dieses Mal Wörter gewählt, die nicht Teil des kürzlich veröffentlichten Marktwächter-Reaktions-Checks waren. So reagiert Amazons Sprachassistent etwa auch auf "Alexandra" (für "Alexa"), "Gecko" (für "Echo") und "Ham wa schon" (umgangssprachlich "Haben wir schon" statt "Amazon"). Und er kann sogar völlig willkürlich reagieren.

  • Kontoauszüge und ihre Aufbewahrung

    Viele Verbraucher nehmen sich jetzt einen "Frühjahrsputz" ihrer Finanz-Unterlagen vor. Eine wichtige Frage dabei ist jedes Jahr: Wie lange müssen Kontoauszüge eigentlich aufbewahrt werden? Die Antwort: Eine einheitliche Frist oder Verpflichtung für Verbraucher, Kontoauszüge aufzubewahren, gibt es nicht. Denn gesetzlich sind Privatpersonen nicht verpflichtet, Zahlungsbelege aufzubewahren. Eine Ausnahme sind Handwerker- oder Dienstleistungsrechnungen, die ein Grundstück betreffen. Diese Belege müssen generell zwei Jahre archiviert werden. Wer einen Gärtner oder eine Reinigungskraft als haushaltsnahe Dienstleistung steuerlich absetzen will, muss die entsprechenden Kontoauszüge mindestens so lange aufbewahren, bis der Steuerbescheid eingeht und die Einspruchsfrist abgelaufen ist.

  • Tückische Fragen beim Jobinterview

    Erste Hürde geschafft: Das persönliche Vorstellungsgespräch steht bevor. Obwohl sich Bewerber akribisch auf das Jobinterview mit dem Unternehmen vorbereiten, kommen oftmals tückische Fragen, die den Kandidaten aus der Bahn werfen. Mit diesen sogenannten Fangfragen testen Personaler die Reaktion des Bewerbers in Stresssituationen. Gleichzeitig dienen sie dazu, hinter vorab einstudierte Antworten zu blicken, um zu erkennen, welche Charaktereigenschaften Interessierte besitzen und welche Karriereziele sie verfolgen. "Dabei kommt es nicht auf die perfekte Antwort an, sondern vielmehr darauf, wie souverän und selbstsicher sich Bewerber aus der Situation befreien", weiß Oliver Kerner, professioneller Vertriebstrainer, Speaker und Coach aus Bremen und Gründer von OK-Training. Im Folgenden gibt der Experte typische Beispiele für passende Antwortmöglichkeiten auf kniffelige Fragen.

  • Wo flexible Abrechnungsmodelle helfen können

    Datenbanken und Datenbankmanagementsysteme (DBMS) gehören heute zu den Kernsystemen für fast jedes Unternehmen. Die Lizenz- und Supportkosten für diese Systeme sind jedoch nicht gerade Peanuts und verschärfen die ohnehin angespannte Budgetsituation in IT-Abteilungen zusätzlich. Auch die mit den Lizenzverträgen einhergehende Hersteller-Abhängigkeit ist für viele Anwender zu einem Ärgernis geworden: Allein unter Oracle-Kunden denkt laut DOAG jeder Dritte über eine Ablösung der Datenbank nach. TmaxSoft, Spezialist für Cloud-, Infrastruktur- und Legacy-Modernisierung, erläutert, worauf Entscheider beim Datenbank-Wechsel achten sollten und zeigt die Vorteile einer flexiblen Datenbank-Lizenzierung auf.

  • Datenschutz und Verschlüsselung

    Was die vergangenen zwölf Jahre anbelangt, lag die Verantwortung für die Entwicklung und Umsetzung einer Verschlüsselungsstrategie zum überwiegenden Teil bei der IT-Abteilung. Das ist allerdings eine Situation, der sich laut den Ergebnissen des 2017 Global Encryption Trends Report geändert hat. Demnach haben sich die Verantwortlichkeiten und Kräfteverhältnisse verschoben, wenn es darum geht, das Thema Verschlüsselung aus strategischer Hinsicht zu betrachten. Die Verantwortlichen der einzelnen Fachabteilungen haben jetzt das Sagen.