Meldung

Mehr CEO-Fraud zu Jahresende erwartet

Die Abwesenheit vieler Führungskräfte und Mitarbeiter in Zusammenhang mit dem anstehenden Jahreswechsel bietet ein ideales Umfeld für den CEO Fraud oder "Cheftrick". Davor warnt die Allianz für Cybersicherheit. Dabei stünden nicht mehr nur eigentümergeführte Kleinunternehmen und Mittelständler im Fokus.
Beim "Cheftrick", auch CEO-Fraud genannt, wird Sachbearbeitern, die Geld im Namen des Unternehmens transferieren dürfen, ein fiktiver Auftrag des Chefs vorgegaukelt. Gerade das Jahresende bietet laut Allianz für Cybersicherheit [1] ein ideales Umfeld für Kriminelle, denn fast alle Unternehmen arbeiten mit reduziertem Personal und dadurch mit einem geschwächten Kontrollumfeld.

Wie in klassischen Phishing-Mails auch wird beim CEO-Fraud mit angeblichem Termindruck ein Handlungsdruck auf den Empfänger aufgebaut. Sei es ein Grundstückskauf, eine Gesellschaftsakquise oder vielleicht ein Rahmenvertrag mit dem neuen Zulieferer – all diese Betrugsszenarien müssen dann angeblich noch schnell vor Jahresende abgeschlossen werden.

Gut organisierte Angreifer
Die Angreifer gehen dabei hochgradig organisiert vor und starten in der Regel mit einer umfassenden Informationsrecherche über die internen Strukturen des Unternehmens. Dazu werden zunächst öffentliche Informationen des Unternehmens, aber auch private Informationen von identifizierten Unternehmensmitarbeitern ausgewertet. Jeder öffentlich zugängliche Eintrag bei sozialen Netzwerken wie XING, LinkedIn oder Facebook bringt einen Angreifer näher an sein Ziel.

Oft kommt es in einem weiteren Schritt zu einer ersten (telefonischen) Kontaktaufnahme mit Mitarbeitern. Durch ausgefeilte Taktiken des Social Engineerings werden unbemerkt interne Informationen wie die Abwesenheit einer bestimmten Führungskraft abgefragt. Diese Informationen werden dann genutzt, um sich bei anderen Mitarbeitern Vertrauen zu erschleichen, das für einen erfolgreichen Angriff notwendig ist.

Prävention nötig
Opfern bleibt in der Regel keine Zeit zur reaktiven Eindämmung im Schadensfall, daher gilt es präventiv zu handeln. Aufklärung der Führungskräfte und der Sachbearbeiter sowie ein funktionierendes automatisiertes internes Kontrollsystem können vor Schaden durch CEOFraud schützen. Wirksam implementierte Kontroll- und Freigabeprozesse verhindern den unzulässigen Abfluss von relevanten Beträgen.

Die bekannt gewordenen Vorfälle zeigen, dass die internen Kontrollsysteme regelmäßig an neue Bedrohungen angepasst und deren Funktionsweise möglichst realistisch überprüft werden müssen. So bieten beispielsweise Geschäftsbanken eine Beratung über mögliche Schutzmechanismen gegen ungewollte Überweisungen. Auch sollten Firmen ihr internes Kontrollsystem in den Zahlungsverkehrs- und Stammdatenprozessen überprüfen sowie Mitarbeiter sensibilisieren.
12.12.2016/dr

Tipps & Tools

Sicherheitslücke in GRUB2 entdeckt [4.08.2020]

Eclypsium-Forscher haben eine Schwachstelle namens "BootHole" im GRUB2-Bootloader entdeckt. Durch die Sicherheitslücke könne ein Angreifer den UEFI Secure Boot umgehen und eigenen Code ausführen, um Kontrolle über ein Gerät zu erhalten. Fast alle signierten Versionen von GRUB2 seien anfällig, was bedeutet, dass praktisch jede Linux-Distribution betroffen ist. [mehr]

Privacy Shield nicht zulässig [21.07.2020]

Der Europäische Gerichtshof hat die "Privacy Shield"-Vereinbarung zwischen der EU und USA für ungültig erklärt. Damit ist für Unternehmen die Datenübertragung persönlicher Daten ihrer Kunden über den Atlantik in vielen Fällen nicht erlaubt. Dennoch genehmigt das Gericht die Übertragung von Daten auf Grundlage sogenannter Standardvertragsklauseln. [mehr]

Fachartikel

Unvorhergesehenen Ereignissen besser begegnen [5.08.2020]

Was haben ein kleines Familienunternehmen, ein mittelständischer Betrieb und ein großer Konzern gemeinsam? Sie alle müssen mit unvorhersehbaren Ereignissen rechnen, die in Betriebsunterbrechungen, -ausfällen und Produktivitätsstopps ihrer Mitarbeiter resultieren können – sei es durch Naturkatastrophen oder eine Downtime bei modernen Telekommunikationstechnologien. Für Unternehmen heißt das: Vorsicht vor Nachsicht walten lassen. Doch wie bereiten sie sich am besten auf das Unvorhersehbare vor? Der Fachartikel gibt darauf eine Antwort. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen