Sie sind hier: Home » Markt » Hinweise & Tipps

CEO-Fraud: Angriffsvektor "E-Mail"


Mittelstand unterschätzt Gefahr von Cheftrick
CEO-Fraud: Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels



Von Michael Heuer, VP Central Europe bei Mimecast

Die Mittelständler in Deutschland stehen für Kontinuität und Bodenständigkeit. Entsprechend unaufgeregt reagieren die Chefetagen auf Schlagzeilen über neue Arten von Cyberangriffen. Seit einigen Jahren warnen IT-Sicherheitsexperten vor CEO-Fraud, bei der ein Mitglied der Geschäftsführung Mitarbeiter zu einer eiligen Überweisung eines hohen Betrages drängt. Häufig geschieht dies über perfekt gefälschte E-Mails, die neben den richtigen Namen und Titeln auch den individuellen Schreibstil der Entscheider und vorhergehenden Mailaustausch imitieren.

Gerade mittelgroße Unternehmen wägen sich aber in Sicherheit, da sie sich zu als klein für solche Angriffe empfinden – "so was gibt es ja nur bei Großunternehmen" hört man da oft. Die Chefetage ist das Vertrauen in die Mitarbeiter wichtig und kann sich nicht vorstellen, dass nachgemachte E-Mails aus der Führungsebene erfolgreich für falsche Überweisungen eingesetzt werden können.

Eine fatale Falschannahme: Die aktuelle Journalistenrecherche der WirtschaftsWoche ist ein Alarmsignal, denn sie zeigt, dass gerade Mittelständler besonders empfänglich für solche Angriffe sind und immer wieder hohe Geldbeträge verlieren, weil sie ihre Sicherheitsstrategie nicht rechtzeitig angepasst haben. Dabei erbeuten die Angreifer Millionenbeträge, die Firmen sogar in den Ruin treiben können.

Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels. Dort fänden sich "patriarchalische" Strukturen mit wenig Rückfrage-Anweisungen von Vorgesetzen. Als Auswahlkriterium für die Kriminellen diene oft, dass die Firma nach dem Gründer und Geschäftsführer benannt ist. Im vergangenen Jahr zählte das Bundeskriminalamt 239 Betrugsversuche. Der ermittelte Schaden beträgt 23,9 Millionen Euro. Viele Mittelständler schrecken aus Angst vor einem Imageverlust vor einer Anzeige zurück – daher dürfte die Dunkelziffer weit höher liegen.

Die Kombination aus gefälschten E-Mails mit vertrauten persönlichen Details, Zeitdruck durch scheinbar einzigartige Optionen und unzureichende Vorbereitung führt zu einer veränderten Gefahrenlage. Die Angreifer haben erkannt, dass gerade kleine- und mittelständische Unternehmen ihre Prozesse noch nicht gegen solche Attacken abgesichert haben.

Der Artikel macht deutlich, dass Entscheider reagieren müssen. Gerade in Traditionsunternehmen ist die Suche nach einem neuen Paradigma nicht immer einfach, besonders wenn alle Facetten eines Unternehmens miteinbezogen werden sollen. Das Mittel der Wahl heißt Cyber-Resilience: Man setzt zu jedem Zeitpunkt den Fokus auf ein Höchstmaß an Widerstandskraft gegen Angriffe.

Ein entsprechender Ansatz sollte folgende Bereiche umfassen:

>> Vorkehrungen: Was sind die häufigsten Angriffsvektoren und wo liegt das schwächste Glied in der Kette? Schon hier müssen proaktiv Maßnahmen getroffen werden.

>> Verteidigung: Während eines Angriffs sind natürlich immer noch Verteidigungsmaßnahmen nötig, gleichzeitig spielt aber das Thema Business Continuity eine Rolle. Grundsätzlich dürfen die Operationsfähigkeit und die Kommunikation von Angestellten nicht eingeschränkt werden – selbst wenn Teile der IT infolge einer Cyberattacke zeitweise nicht verfügbar sind.

>> Nachbereitung: Nach einer Attacke darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.

Beim Thema Cheftrick/CEO-Fraud spielt dabei der Faktor E-Mail eine tragende Rolle. Es braucht eine Sicherheitslösung, die solche Gefahren erkennen kann – speziell, wenn die eigenen Mitarbeiter eine Bedrohung mit bloßen Augen nicht mehr erkennen können. Der Angriffsvektor "E-Mail" wird nach wie vor unterschätzt. Dabei zeigen Studien, dass fast alle Organisationen (97 Prozent) E-Mail-Adressen als Hauptkommunikationsmittel zwischen den Mitarbeitern nutzen.

Mittelständler müssen ihre Sicherheitsprozesse hier anpassen und schon frühzeitig mehrschichtige Filter- und Prüfungsmechanismen implementieren. Um IT-Abteilungen nicht zu überlasten und flexibel zu bleiben, macht es Sinn, hier einen Partner an Bord zu holen, der einen passenden Service bietet.

Damit sichern Organisationen nicht nur ihre Betriebsabläufe, sondern erhöhen auch die Produktivität ihrer Belegschaft. Ungewünschte Inhalte und E-Mail-basierte Cyberangriffe gelangen nicht mehr ins Unternehmen und können gezielt ausgefiltert werden. (Mimecast: ra)

eingetragen: 02.11.18
Newsletterlauf: 14.12.18

Mimecast: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Tipps für Security-Audits mit Mehrwert

    NIS2, die aktuelle Richtlinie zur Netzwerk- und Informationssicherheit, verfolgt das Ziel, EU-weit das Cybersicherheitsniveau zu steigern. Auf die betroffenen Unternehmen kommen infolgedessen neue Rechenschaftspflichten über ihre Sicherheitslage zu.

  • Wie werden Aktien und Fonds besteuert?

    Als Anlegerin oder Anleger sollten Sie bei Ihren Finanzentscheidungen auch steuerliche Aspekte berücksichtigen. Sie müssen aber nicht selbst aktiv werden: Die auf Kapitalerträge entfallenden Steuern werden von Ihrer Depotbank bei der Auszahlung einbehalten und an das Finanzamt abgeführt. Wichtig ist, dass Sie einen Freistellungsauftrag bei Ihrer Bank einreichen, um den Sparer-Pauschbetrag nutzen zu können.

  • Geordnet gegen Chaos beim Cyberangriff

    Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.

  • Die fünf wichtigsten Auswirkungen von eIDAS 2.0

    Starke Identifizierung ist entscheidend für den Aufbau von Vertrauen und die Gewährleistung sicherer Transaktionen in einer zunehmend digitalen Welt. Die jüngste Überarbeitung der eIDAS-Verordnung durch die EU, mit der digitale ID-Wallets für alle Bürger eingeführt werden, kommt zur rechten Zeit.

  • Crowdfunding: Worauf ist zu achten?

    Ob es sich um eine innovative Geschäftsidee, ein neues Produkt oder ein spannendes Projekt handelt: Eine gute Idee braucht Startkapital! Das Crowdfunding bzw. -investing ist eine von vielen Möglichkeiten, an dieses Startkapital zu gelangen und dadurch ein Projekt an den Markt zu bringen.

Falsche Rentenbesteuerung Klingelschilder & Datenschutz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen