Domains sind das Herzstück der Online-Präsenz und Kommunikation jedes Unternehmens. Doch die Sicherheit dieser wertvollen digitalen Ressourcen wird oft vernachlässigt, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Ein besonders bedrohliches Angriffsszenario ist der sogenannte „Sitting Ducks“ Angriff, der Domain-Besitzer weltweit in Gefahr bringt.WeiterlesenDomain-Hijacking mittels „Sitting Duck“-Angriffen
Schlagwort: CEO-Fraud
CEO-Fraud, auch bekannt als „Business Email Compromise“ oder „BEC“, ist eine Form der Cyberkriminalität, die auf Unternehmen abzielt.
Um sich vor CEO-Fraud zu schützen, ist es wichtig, starke Sicherheitsprotokolle zu implementieren und einzuhalten, einschließlich der Überprüfung von Finanztransaktionen über mehrere Kommunikationskanäle und der regelmäßigen Schulung der Mitarbeiter zu diesem und ähnlichen Themen. Hier beginnen auch die rechtlichen Probleme: Das Management kann haftbar gemacht werden, wenn unzureichende Sicherheitsprotokolle installiert werden oder wenn dem Unternehmen aufgrund von Fehlern ein wirtschaftlicher Schaden entsteht.
In diesem Szenario geben sich die Betrüger als der CEO oder eine andere hochrangige Führungskraft des Unternehmens aus, oft durch Hacking oder Spoofing von E-Mail-Konten. Sie senden dann eine E-Mail an einen Mitarbeiter (häufig jemand aus der Finanzabteilung), in der sie dringend um eine Überweisung oder eine andere finanzielle Transaktion bitten, in der Regel unter dem Vorwand einer vertraulichen oder dringenden Geschäftsangelegenheit.
Die Betrüger nutzen die Autorität und den Respekt aus, den diese Führungspositionen normalerweise mit sich bringen, um Mitarbeiter dazu zu bringen, die üblichen Sicherheitsprotokolle und Überprüfungsverfahren zu umgehen. Daher der Name „CEO-Fraud“.
Ziel des Betrugs ist es, das Unternehmen dazu zu bringen, Geld direkt auf ein Konto der Betrüger zu überweisen. Da die Anfragen oft sehr professionell und überzeugend wirken, kann es schwierig sein, den Betrug zu erkennen, bis das Geld bereits überwiesen wurde.
Das OLG Zweibrücken (4 U 198/21) betont, dass die Beauftragung von Überweisungen aufgrund einer falschen Mitteilung einer geänderten Kontoverbindung keine Verletzung einer organspezifischen Pflicht des Geschäftsführers darstellt. Denn: Eine solche Tätigkeit wäre üblicherweise eine solche der Buchhaltung gewesen. Die dem Geschäftsführer obliegende Geschäftsführung als solche wird dadurch nicht berührt, auch nicht in Form einer Verletzung…WeiterlesenKeine Geschäftsführerhaftung bei Geldüberweisung aufgrund gefälschter Kontoverbindung
Cybersicherheit ist längst im Fokus der Unternehmen: Zu lange wurde die IT-Sicherheit im Kontext der Digitalisierung, sei es aus Kostengründen, sei es aus Unwissenheit, vernachlässigt. Während nun größere Unternehmen „aufrüsten“, in Infrastruktur und Schulung investieren, scheuen kleine und kleinste Unternehmen die Kosten. Es entsteht eine gefährliche Schieflage und fernab der juristischen Debatte möchte ich hier…WeiterlesenCybersicherheit in kleinen Unternehmen
In NRW gab es einen ebenso professionell wie gross angelegten Online-Betrug mit der Corona-Soforthilfe. Auch hier gilt leider wieder, dass die Not-Situation vieler auch immer gleich Betrüger anzieht, wie die Notdurft die Schmeissfliegen. Das Ergebnis ist ein derzeit gestopptes Corona-Soforthilfeprogramm in NRW. Das Ganze dürfte erhebliche strafrechtliche Breitenwirkung haben. Denn, das sage ich direkt zu…WeiterlesenInternet-Betrug mit Corona-Soforthilfe
Werden Sie von einer Nummer angerufen und ein englisch sprechender Mensch versucht Sie in ein Gespräch zu verwickeln? Seien Sie auf der Hut, hierbei wird es sich um Scam handeln – ich hatte soeben (endlich) einmal einen solchen Anruf, den ich nur aus Berichten kenne. Angerufen hatte eine angebliche Nummer aus Bayern auf meinem Notfallhandy,…WeiterlesenBetrügerische Anrufe
Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben. Es lässt sich wenig überraschend…WeiterlesenCybersecurity: Lage der IT-Sicherheit 2019
Rechnungsbetrug
Beim Rechnungsbetrug geht es darum, dass auf irgendeinem Weg eine Rechnung am Ende im Raum steht, die seriös aussieht, die aber betrügerisch ist. Im einfachsten Fall geht es um eine nur scheinbar bestellte Dienstleistung und einen Dritten, der eine Geschäftsbeziehung schlicht vorgaukelt. Wesentlich komplexer ist der Rechnungsbetrug im eigentlichen Sinne: Hier wird – etwa durch…WeiterlesenRechnungsbetrug
Beim CEO-Fraud (CEO-Betrug) geht es um eine Variation des Social-Engineerings: Hier versuchen Täter, zielgerichtet entscheidungsbefugte Personen in einem Unternehmen zu manipulieren, insbesondere mit dem Ziel dass diese hohe Geldbeträge ins Ausland überweisen. Man besorgt sich vorher umfangreiche und umfassende Informationen über das Unternehmen, um die Vorspiegelung geschickt wirken zu lassen, am Erfolg versprechendsten sind Unternehmen…WeiterlesenCEO-Fraud – CEO-Betrug
Social Engineering
Was ist Social Engineering? Moderne Angriffe laufen nur teilweise technisch, Erfolg versprechender sind regelmäßig Ansätze im Bereich des Social Engineering. Hierbei geht es darum, sich nicht auf das System sondern einen Nutzer zu konzentrieren und den Nutzer durch soziale Verhaltensweisen dazu zu bringen, gewollt oder ungewollt, zumindest Hinweise auf Informationen etwa zu einem Login zu…WeiterlesenSocial Engineering