Sie sind hier: Home » Markt » Hinweise & Tipps

CEO-Fraud: Angriffsvektor "E-Mail"


Mittelstand unterschätzt Gefahr von Cheftrick
CEO-Fraud: Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels



Von Michael Heuer, VP Central Europe bei Mimecast

Die Mittelständler in Deutschland stehen für Kontinuität und Bodenständigkeit. Entsprechend unaufgeregt reagieren die Chefetagen auf Schlagzeilen über neue Arten von Cyberangriffen. Seit einigen Jahren warnen IT-Sicherheitsexperten vor CEO-Fraud, bei der ein Mitglied der Geschäftsführung Mitarbeiter zu einer eiligen Überweisung eines hohen Betrages drängt. Häufig geschieht dies über perfekt gefälschte E-Mails, die neben den richtigen Namen und Titeln auch den individuellen Schreibstil der Entscheider und vorhergehenden Mailaustausch imitieren.

Gerade mittelgroße Unternehmen wägen sich aber in Sicherheit, da sie sich zu als klein für solche Angriffe empfinden – "so was gibt es ja nur bei Großunternehmen" hört man da oft. Die Chefetage ist das Vertrauen in die Mitarbeiter wichtig und kann sich nicht vorstellen, dass nachgemachte E-Mails aus der Führungsebene erfolgreich für falsche Überweisungen eingesetzt werden können.

Eine fatale Falschannahme: Die aktuelle Journalistenrecherche der WirtschaftsWoche ist ein Alarmsignal, denn sie zeigt, dass gerade Mittelständler besonders empfänglich für solche Angriffe sind und immer wieder hohe Geldbeträge verlieren, weil sie ihre Sicherheitsstrategie nicht rechtzeitig angepasst haben. Dabei erbeuten die Angreifer Millionenbeträge, die Firmen sogar in den Ruin treiben können.

Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels. Dort fänden sich "patriarchalische" Strukturen mit wenig Rückfrage-Anweisungen von Vorgesetzen. Als Auswahlkriterium für die Kriminellen diene oft, dass die Firma nach dem Gründer und Geschäftsführer benannt ist. Im vergangenen Jahr zählte das Bundeskriminalamt 239 Betrugsversuche. Der ermittelte Schaden beträgt 23,9 Millionen Euro. Viele Mittelständler schrecken aus Angst vor einem Imageverlust vor einer Anzeige zurück – daher dürfte die Dunkelziffer weit höher liegen.

Die Kombination aus gefälschten E-Mails mit vertrauten persönlichen Details, Zeitdruck durch scheinbar einzigartige Optionen und unzureichende Vorbereitung führt zu einer veränderten Gefahrenlage. Die Angreifer haben erkannt, dass gerade kleine- und mittelständische Unternehmen ihre Prozesse noch nicht gegen solche Attacken abgesichert haben.

Der Artikel macht deutlich, dass Entscheider reagieren müssen. Gerade in Traditionsunternehmen ist die Suche nach einem neuen Paradigma nicht immer einfach, besonders wenn alle Facetten eines Unternehmens miteinbezogen werden sollen. Das Mittel der Wahl heißt Cyber-Resilience: Man setzt zu jedem Zeitpunkt den Fokus auf ein Höchstmaß an Widerstandskraft gegen Angriffe.

Ein entsprechender Ansatz sollte folgende Bereiche umfassen:

>> Vorkehrungen: Was sind die häufigsten Angriffsvektoren und wo liegt das schwächste Glied in der Kette? Schon hier müssen proaktiv Maßnahmen getroffen werden.

>> Verteidigung: Während eines Angriffs sind natürlich immer noch Verteidigungsmaßnahmen nötig, gleichzeitig spielt aber das Thema Business Continuity eine Rolle. Grundsätzlich dürfen die Operationsfähigkeit und die Kommunikation von Angestellten nicht eingeschränkt werden – selbst wenn Teile der IT infolge einer Cyberattacke zeitweise nicht verfügbar sind.

>> Nachbereitung: Nach einer Attacke darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.

Beim Thema Cheftrick/CEO-Fraud spielt dabei der Faktor E-Mail eine tragende Rolle. Es braucht eine Sicherheitslösung, die solche Gefahren erkennen kann – speziell, wenn die eigenen Mitarbeiter eine Bedrohung mit bloßen Augen nicht mehr erkennen können. Der Angriffsvektor "E-Mail" wird nach wie vor unterschätzt. Dabei zeigen Studien, dass fast alle Organisationen (97 Prozent) E-Mail-Adressen als Hauptkommunikationsmittel zwischen den Mitarbeitern nutzen.

Mittelständler müssen ihre Sicherheitsprozesse hier anpassen und schon frühzeitig mehrschichtige Filter- und Prüfungsmechanismen implementieren. Um IT-Abteilungen nicht zu überlasten und flexibel zu bleiben, macht es Sinn, hier einen Partner an Bord zu holen, der einen passenden Service bietet.

Damit sichern Organisationen nicht nur ihre Betriebsabläufe, sondern erhöhen auch die Produktivität ihrer Belegschaft. Ungewünschte Inhalte und E-Mail-basierte Cyberangriffe gelangen nicht mehr ins Unternehmen und können gezielt ausgefiltert werden. (Mimecast: ra)

eingetragen: 02.11.18
Newsletterlauf: 14.12.18

Mimecast: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Falsche Rentenbesteuerung Klingelschilder & Datenschutz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen