Sie sind hier: Home » Markt » Hinweise & Tipps

CEO-Fraud: Angriffsvektor "E-Mail"


Mittelstand unterschätzt Gefahr von Cheftrick
CEO-Fraud: Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels



Von Michael Heuer, VP Central Europe bei Mimecast

Die Mittelständler in Deutschland stehen für Kontinuität und Bodenständigkeit. Entsprechend unaufgeregt reagieren die Chefetagen auf Schlagzeilen über neue Arten von Cyberangriffen. Seit einigen Jahren warnen IT-Sicherheitsexperten vor CEO-Fraud, bei der ein Mitglied der Geschäftsführung Mitarbeiter zu einer eiligen Überweisung eines hohen Betrages drängt. Häufig geschieht dies über perfekt gefälschte E-Mails, die neben den richtigen Namen und Titeln auch den individuellen Schreibstil der Entscheider und vorhergehenden Mailaustausch imitieren.

Gerade mittelgroße Unternehmen wägen sich aber in Sicherheit, da sie sich zu als klein für solche Angriffe empfinden – "so was gibt es ja nur bei Großunternehmen" hört man da oft. Die Chefetage ist das Vertrauen in die Mitarbeiter wichtig und kann sich nicht vorstellen, dass nachgemachte E-Mails aus der Führungsebene erfolgreich für falsche Überweisungen eingesetzt werden können.

Eine fatale Falschannahme: Die aktuelle Journalistenrecherche der WirtschaftsWoche ist ein Alarmsignal, denn sie zeigt, dass gerade Mittelständler besonders empfänglich für solche Angriffe sind und immer wieder hohe Geldbeträge verlieren, weil sie ihre Sicherheitsstrategie nicht rechtzeitig angepasst haben. Dabei erbeuten die Angreifer Millionenbeträge, die Firmen sogar in den Ruin treiben können.

Laut des Berichts sind gerade Familienunternehmen ein beliebtes Ziels. Dort fänden sich "patriarchalische" Strukturen mit wenig Rückfrage-Anweisungen von Vorgesetzen. Als Auswahlkriterium für die Kriminellen diene oft, dass die Firma nach dem Gründer und Geschäftsführer benannt ist. Im vergangenen Jahr zählte das Bundeskriminalamt 239 Betrugsversuche. Der ermittelte Schaden beträgt 23,9 Millionen Euro. Viele Mittelständler schrecken aus Angst vor einem Imageverlust vor einer Anzeige zurück – daher dürfte die Dunkelziffer weit höher liegen.

Die Kombination aus gefälschten E-Mails mit vertrauten persönlichen Details, Zeitdruck durch scheinbar einzigartige Optionen und unzureichende Vorbereitung führt zu einer veränderten Gefahrenlage. Die Angreifer haben erkannt, dass gerade kleine- und mittelständische Unternehmen ihre Prozesse noch nicht gegen solche Attacken abgesichert haben.

Der Artikel macht deutlich, dass Entscheider reagieren müssen. Gerade in Traditionsunternehmen ist die Suche nach einem neuen Paradigma nicht immer einfach, besonders wenn alle Facetten eines Unternehmens miteinbezogen werden sollen. Das Mittel der Wahl heißt Cyber-Resilience: Man setzt zu jedem Zeitpunkt den Fokus auf ein Höchstmaß an Widerstandskraft gegen Angriffe.

Ein entsprechender Ansatz sollte folgende Bereiche umfassen:

>> Vorkehrungen: Was sind die häufigsten Angriffsvektoren und wo liegt das schwächste Glied in der Kette? Schon hier müssen proaktiv Maßnahmen getroffen werden.

>> Verteidigung: Während eines Angriffs sind natürlich immer noch Verteidigungsmaßnahmen nötig, gleichzeitig spielt aber das Thema Business Continuity eine Rolle. Grundsätzlich dürfen die Operationsfähigkeit und die Kommunikation von Angestellten nicht eingeschränkt werden – selbst wenn Teile der IT infolge einer Cyberattacke zeitweise nicht verfügbar sind.

>> Nachbereitung: Nach einer Attacke darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.

Beim Thema Cheftrick/CEO-Fraud spielt dabei der Faktor E-Mail eine tragende Rolle. Es braucht eine Sicherheitslösung, die solche Gefahren erkennen kann – speziell, wenn die eigenen Mitarbeiter eine Bedrohung mit bloßen Augen nicht mehr erkennen können. Der Angriffsvektor "E-Mail" wird nach wie vor unterschätzt. Dabei zeigen Studien, dass fast alle Organisationen (97 Prozent) E-Mail-Adressen als Hauptkommunikationsmittel zwischen den Mitarbeitern nutzen.

Mittelständler müssen ihre Sicherheitsprozesse hier anpassen und schon frühzeitig mehrschichtige Filter- und Prüfungsmechanismen implementieren. Um IT-Abteilungen nicht zu überlasten und flexibel zu bleiben, macht es Sinn, hier einen Partner an Bord zu holen, der einen passenden Service bietet.

Damit sichern Organisationen nicht nur ihre Betriebsabläufe, sondern erhöhen auch die Produktivität ihrer Belegschaft. Ungewünschte Inhalte und E-Mail-basierte Cyberangriffe gelangen nicht mehr ins Unternehmen und können gezielt ausgefiltert werden. (Mimecast: ra)

eingetragen: 02.11.18
Newsletterlauf: 14.12.18

Mimecast: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Falsche Rentenbesteuerung Klingelschilder & Datenschutz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen