Sie sind hier: Home » Markt » Hinweise & Tipps

CEO-Fraud: Angriffsvektor "E-Mail"


Mittelstand unterschätzt Gefahr von Cheftrick
CEO-Fraud: Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels



Von Michael Heuer, VP Central Europe bei Mimecast

Die Mittelständler in Deutschland stehen für Kontinuität und Bodenständigkeit. Entsprechend unaufgeregt reagieren die Chefetagen auf Schlagzeilen über neue Arten von Cyberangriffen. Seit einigen Jahren warnen IT-Sicherheitsexperten vor CEO-Fraud, bei der ein Mitglied der Geschäftsführung Mitarbeiter zu einer eiligen Überweisung eines hohen Betrages drängt. Häufig geschieht dies über perfekt gefälschte E-Mails, die neben den richtigen Namen und Titeln auch den individuellen Schreibstil der Entscheider und vorhergehenden Mailaustausch imitieren.

Gerade mittelgroße Unternehmen wägen sich aber in Sicherheit, da sie sich zu als klein für solche Angriffe empfinden – "so was gibt es ja nur bei Großunternehmen" hört man da oft. Die Chefetage ist das Vertrauen in die Mitarbeiter wichtig und kann sich nicht vorstellen, dass nachgemachte E-Mails aus der Führungsebene erfolgreich für falsche Überweisungen eingesetzt werden können.

Eine fatale Falschannahme: Die aktuelle Journalistenrecherche der WirtschaftsWoche ist ein Alarmsignal, denn sie zeigt, dass gerade Mittelständler besonders empfänglich für solche Angriffe sind und immer wieder hohe Geldbeträge verlieren, weil sie ihre Sicherheitsstrategie nicht rechtzeitig angepasst haben. Dabei erbeuten die Angreifer Millionenbeträge, die Firmen sogar in den Ruin treiben können.

Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels. Dort fänden sich "patriarchalische" Strukturen mit wenig Rückfrage-Anweisungen von Vorgesetzen. Als Auswahlkriterium für die Kriminellen diene oft, dass die Firma nach dem Gründer und Geschäftsführer benannt ist. Im vergangenen Jahr zählte das Bundeskriminalamt 239 Betrugsversuche. Der ermittelte Schaden beträgt 23,9 Millionen Euro. Viele Mittelständler schrecken aus Angst vor einem Imageverlust vor einer Anzeige zurück – daher dürfte die Dunkelziffer weit höher liegen.

Die Kombination aus gefälschten E-Mails mit vertrauten persönlichen Details, Zeitdruck durch scheinbar einzigartige Optionen und unzureichende Vorbereitung führt zu einer veränderten Gefahrenlage. Die Angreifer haben erkannt, dass gerade kleine- und mittelständische Unternehmen ihre Prozesse noch nicht gegen solche Attacken abgesichert haben.

Der Artikel macht deutlich, dass Entscheider reagieren müssen. Gerade in Traditionsunternehmen ist die Suche nach einem neuen Paradigma nicht immer einfach, besonders wenn alle Facetten eines Unternehmens miteinbezogen werden sollen. Das Mittel der Wahl heißt Cyber-Resilience: Man setzt zu jedem Zeitpunkt den Fokus auf ein Höchstmaß an Widerstandskraft gegen Angriffe.

Ein entsprechender Ansatz sollte folgende Bereiche umfassen:

>> Vorkehrungen: Was sind die häufigsten Angriffsvektoren und wo liegt das schwächste Glied in der Kette? Schon hier müssen proaktiv Maßnahmen getroffen werden.

>> Verteidigung: Während eines Angriffs sind natürlich immer noch Verteidigungsmaßnahmen nötig, gleichzeitig spielt aber das Thema Business Continuity eine Rolle. Grundsätzlich dürfen die Operationsfähigkeit und die Kommunikation von Angestellten nicht eingeschränkt werden – selbst wenn Teile der IT infolge einer Cyberattacke zeitweise nicht verfügbar sind.

>> Nachbereitung: Nach einer Attacke darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.

Beim Thema Cheftrick/CEO-Fraud spielt dabei der Faktor E-Mail eine tragende Rolle. Es braucht eine Sicherheitslösung, die solche Gefahren erkennen kann – speziell, wenn die eigenen Mitarbeiter eine Bedrohung mit bloßen Augen nicht mehr erkennen können. Der Angriffsvektor "E-Mail" wird nach wie vor unterschätzt. Dabei zeigen Studien, dass fast alle Organisationen (97 Prozent) E-Mail-Adressen als Hauptkommunikationsmittel zwischen den Mitarbeitern nutzen.

Mittelständler müssen ihre Sicherheitsprozesse hier anpassen und schon frühzeitig mehrschichtige Filter- und Prüfungsmechanismen implementieren. Um IT-Abteilungen nicht zu überlasten und flexibel zu bleiben, macht es Sinn, hier einen Partner an Bord zu holen, der einen passenden Service bietet.

Damit sichern Organisationen nicht nur ihre Betriebsabläufe, sondern erhöhen auch die Produktivität ihrer Belegschaft. Ungewünschte Inhalte und E-Mail-basierte Cyberangriffe gelangen nicht mehr ins Unternehmen und können gezielt ausgefiltert werden. (Mimecast: ra)

eingetragen: 02.11.18
Newsletterlauf: 14.12.18

Mimecast: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

Falsche Rentenbesteuerung Klingelschilder & Datenschutz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen