Blog 2019-11-18T15:08:38+00:00

Blog

Ihr Experten-HelpDesk, damit Sicherheit auch wirtschaftlich bleibt.

In unserem Blog veröffentlichen wir regelmäßig Hinweise, Informationen und Einschätzungen zu aktuellen Sicherheitsthemen.

TOP 5 IRRTÜMER und TIPPS bei einem Payment Diversion Fraud (Zahlungsumleitung)

Zahlreiche Firmen in Deutschland werden aktuell wieder Opfer eines Betruges, bei dem Zahlungen, die eigentlich an Lieferanten gehen sollen, auf Bankkonten von Betrügern überwiesen werden.

Die Vorgehensweise bei der Zahlungsumleitung ist simpel aber effektiv: die Täter melden sich per E-Mail und geben sich als Lieferant aus, dessen Bankkontendaten sich angeblich geändert haben. Dabei spielen fake E-Mail-Domains eine zentrale Rolle, die oft nur in einem einzigen Buchstaben von der echten E-Mail-Domain des Lieferanten abweichen. Die Täuschung wird meist nicht bemerkt, bis das Geld schon überwiesen ist.

In den USA, wo Ermittlungsbehörden Statistiken zu diesen Fällen sammeln, sind laut dem Financial Crimes Enforcement Network (FinCEN) seit 2016 rund 32.000 Fälle mit einer Schadenssumme von insgesamt 9 Milliarden Dollar gezählt worden. Darunter auch zahlreiche Fälle einer weiteren Spielart, dem „CEO Fraud“, auch „Fake President“ genannt. Dabei geben sich die Täter bei den geschädigten Firmen nicht als Lieferant, sondern als ein Vorstandsmitglied der eigenen Firma aus und bringen einen Mitarbeiter der Finanzabteilung dazu, Geld für ein angebliches Spezialprojekt auf ein Konto der Betrüger zu überweisen.

Wir geben Tipps, welche Irrtümer geschädigte Firmen in solchen Situationen vermeiden sollten und was sie tun können, um das Geld zurückzuholen:

Irrtum #1

Unsere Hausbank wird das Geld zurückholen. Meistens klappt das nicht; allenfalls, wenn die besagte Zahlung, die fälschlicherweise an das Konto des Betrügers ging, maximal drei Tage zurückliegt. Alles, was länger her ist, kann die Hausbank nicht mehr zurückrufen. Meist wird ein solcher Betrug aber erst viel später entdeckt. Machen Sie den Versuch über Ihre Hausbank, aber warten Sie nicht ab, bis die sich wieder meldet, bevor sie weitere Maßnahmen treffen.

Irrtum #2

Die Polizei/Staatsanwaltschaft kann uns helfen. In der Regel nicht, weil die Zahlungen internationale Landesgrenzen überschreiten. Selbst die Polizei im jeweiligen Empfängerland kann erstmal nur Ihre Strafanzeige entgegennehmen. Bis sie dann aktiv ermittelt, können Wochen oder Monate vergehen; in der Zeit haben die Täter meist längst die Bankkonten geräumt und das Geld ist weg.

Irrtum #3

Es kommt nicht auf ein paar Stunden an. Doch, tut es. Je schneller Sie auf den Schadensfall reagieren, um so höher ist die Chance, dass das verschwundene Geld noch auf dem Empfängerbankkonto liegt. Zeit zu verspielen kann dabei extrem nachteilig sein. Verbringen Sie bitte keine Zeit damit, den Fall „intern“ erstmal aufzuklären – das dauert viel zu lange. Wichtiger ist, wenn auch nur der Verdacht auf Betrug besteht, sofort die Empfängerbank direkt zu kontaktieren (siehe Tipps unten). Erst Alarm schlagen, dann intern aufklären.

Irrtum #4

Unsere Standard-Prozesse bei Rechnungsvorgängen hätten uns doch eigentlich schützen müssen. Oft zeigt sich, dass die Standard-Prozesse von eigenen Mitarbeitern umgangen wurden (manchmal aus gutem Grund), damit die Zahlung durchgehen konnte. Oder dass die Prozesse bereits fehlerhaft aufgesetzt wurden und eine Kontrolle dadurch gar nicht möglich war.

Irrtum #5

Der Schaden ist zwar bedauerlich, aber wir müssen zur Tagesordnung übergehen – the show must go on. Kann man so machen, ist aber nicht zu empfehlen. Denn ohne einen konkreten Maßnahmenplan zur künftigen Absicherung der Zahlungsvorgänge kann so ein Betrug jederzeit wieder passieren.

Was also tun?

TIPP #1

Sofort handeln. Sobald der Verdacht auf eine betrügerische Zahlung besteht, sollten Sie die Empfängerbank kontaktieren – auch wenn der Fall noch nicht voll aufgeklärt ist. Entweder tut das ein Mitarbeiter des geschädigten Unternehmens oder ein professioneller Sicherheitsdienstleister, der sich mit so etwas auskennt. Bei der Empfängerbank sind die Ansprechpartner: der Geldwäschebeauftragte (Anti-Money-Laundering Officer) oder die Fraud-Abteilung, je nachdem, wer schneller erreichbar ist.

TIPP #2

Hartnäckig bleiben. Bei manchen Banken ist der Kontakt außerordentlich schwierig herzustellen, weil die Ansprechpartner nirgendwo recherchierbar im Internet zu finden sind und es Stunden dauern kann, bis man sich zur richtigen Stelle durchgefragt hat. Zudem spricht nicht jeder Bankmitarbeiter im Ausland gut Englisch; fremde Akzente komplizieren die Kommunikation. Geben Sie nicht auf, seien Sie hartnäckig! Wenn Sie dann erstmal die richtigen E-Mail-Adressen und Telefonnummern haben, nutzen Sie diese Kanäle am besten alle parallel, damit keine Zeit verspielt wird. Informieren Sie die Empfängerbank über den „Fraud & Money-Laundering Incident“ und fordern Sie diese auf, das Konto sofort zu sperren – das funktioniert. Als nächstes schicken Sie Beweise für den Betrug und erstatten Strafanzeige bei der Polizei im Zielland der Überweisung.

TIPP #3

Geht’s auch ohne Gerichtsprozess? Fragen Sie den Anti-Money-Laundering Officer oder die Fraud-Abteilung der Empfängerbank, wie sie das Geld zurückholen können. In manchen Ländern der Welt muss man vor Gericht ziehen, was kostspielig ist und lange dauert. In anderen Ländern geht es je nach Gesetzeslage auch ohne, nämlich mit einem Vorgang namens „Hold Harmless“. Das ist eine Abmachung zwischen Banken, die greift, wenn Gelder unter betrügerischen Umständen überweisen wurden. Fragen Sie die Empfängerbank danach!

TIPP #4

E-Mails der Täter analysieren. Das Schwierige an einem solchen Fraud ist, dass die geschädigte Firma auch danach noch mit ihrem Lieferanten zusammenarbeiten muss, aber oft nicht weiß, ob neue E-Mails vom echten Lieferanten kommen oder stattdessen immer noch von den Tätern. Vor allem, wenn im Rahmen des Betruges tatsächlich Mail-Accounts bei Ihrem Lieferanten gehackt wurden, was keine Seltenheit ist. Dann hilft eine Analyse der Meta-Daten der E-Mails: Täter nutzen eine andere technische Infrastruktur zum Versenden der E-Mails als der echte Lieferant, da sie ja nicht am selben physischen Ort wie der Lieferant sitzen. Diesen „Fingerprint“ der Täter in den Metadaten zu identifizieren ist wichtig, um legitime von fake E-Mails zu unterscheiden – damit das Geschäft weiterlaufen kann.

TIPP #5

Strafanzeigen klug platzieren. In manchen Fällen ist es sinnvoll, Strafanzeigen in Drittländern zu stellen, die besonders kompetente Fraud- und Cyber-Ermittlungsbehörden haben. Dabei kommt es nur darauf an, ob man “jurisdiction”, also Zuständigkeit, in dem jeweiligen Land herstellen kann. Das kann z.B. über die Infrastruktur hergestellt werden, die bei dem Betrug zum Einsatz kam: Wo stammen die Fake-Domains her, die benutzt wurden; wo stehen die E-Mail-Server; welche Provider waren beteiligt; in welcher nationalen Währung wurde das Geld überwiesen? Wir können Ihnen aus jahrelanger Erfahrung sagen, in welchen Ländern es sich lohnt, die Behörden anzusprechen, und wo nicht; und können den direkten Kontakt für Sie herstellen. Wir haben Ansprechpartner weltweit.

Sie sind Opfer einer Payment Diversion oder eines CEO Frauds geworden oder möchten Ihre Zahlungsvorgänge für die Zukunft sicher machen? Sprechen Sie uns an:

Sebastian Okada, Prokurist und Leiter Ermittlungen & Prävention | Wirtschaftskriminalität

 

November 14th, 2019|Kommentare deaktiviert für TOP 5 IRRTÜMER und TIPPS bei einem Payment Diversion Fraud (Zahlungsumleitung)

Mittelstand wappnet sich gegen Sicherheitsrisiken

10.09.2019 – Korrupte Geschäftspartner, eine Produktkontamination, anonyme Drohschreiben, ein Hackerangriff auf das Firmennetzwerk oder ein Mitarbeiter, der im Ausland entführt wurde, auch mittelständische Unternehmen sind heute vielfach kriminellen Bedrohungen ausgesetzt. Häufig fehlen jedoch interne Sicherheitsstrukturen, um diesen Herausforderungen schnell und professionell zu begegnen. Ein externer Sicherheitsspezialist, der 24/365 über eine Krisenhotline zu erreichen ist, bietet hier die ideale Lösung.

07.24 Uhr, plötzlich steht die Kriminalpolizei mit 9 Beamten im Empfangsbereich und will das Unternehmen durchsuchen. Es gab mehrere Hinweise auf einen Mitarbeiter, der angeblich in der Firma einen schwunghaften Drogenhandel betreibt. Dem soll nun nachgegangen und sowohl sein Arbeitsplatz als auch Umkleiden, Sozialbereiche und Toilettenräume durchsucht werden. Der sofort informierte Geschäftsführer ist gerade auf dem Weg zu einem Kunden. Die Empfangsdame hatte ihn auf dem Smartphone erreicht und will wissen, was sie jetzt tun soll. Er ist ziemlich sprachlos, dass so etwas in seinem Unternehmen passiert sein soll, direkt unter seinen Augen. Außerdem weiß er auf die Schnelle gar nicht, was jetzt am besten zu tun ist.

Mittelständische Unternehmen haben in der Regel keinen eigenen Sicherheitsverantwortlichen, der sich um solche Belange kümmert. Fehlt das Know-how, wie mit diesen Vorfällen umzugehen ist, gehen oft wertvolle Minuten oder Stunden verloren, bis die richtigen Maßnahmen eingesteuert werden. Muss ich die Polizei ins Haus lassen? Wenn ja, wer ist als erstes zu informieren und wie kann man mitwirken, um den Vorfall möglichst ohne große Außenwirkung zu regeln? Bei vielen Fällen geht es ja nicht nur darum, dass die Firma selbst durch eine kriminelle Tat geschädigt wurde, sondern es gilt vor allem zu verhindern, dass ein Reputationsschaden entsteht und die Handlungen eines kriminellen Mitarbeiters auf das ganze Unternehmen abfärben.

Während sich die meisten Führungskräfte mit den Gesetzen und Gepflogenheiten in Deutschland noch relativ gut auskennen, kann dies bei einem Vorfall im Ausland gänzlich anders sein. Ist ein Mitarbeiter im Ausland bedroht oder gar entführt, sollte man sich zuerst die Frage stellen, ob man überhaupt mit der örtlichen Polizei zusammenarbeiten kann. Gerade in osteuropäischen, asiatischen oder südamerikanischen Ländern keine ganz einfache Frage. Hier besteht potentiell ein hohes Risiko, dass Behörden korrupt oder sogar mit involviert sind. In diesem Fall braucht man jemanden, der sich mit den Sicherheitsstrukturen in den verschiedenen Ländern auskennt, über ein entsprechendes internationales Netzwerk verfügt und auch dann noch helfen kann, wenn die üblichen internen Strukturen nicht ausreichen.

Gerade mittelständische Unternehmen gehen daher dazu über, solche zwar nicht permanent benötigten, jedoch in einem Not- oder Krisenfall ad hoc benötigten Sicherheitsstrukturen auszulagern. Weil dies nicht zu ihrem Kerngeschäft gehört, beschäftigen sie einen externen Sicherheitsverantwortlichen, der das Unternehmen sowie die Prozesse kennt und rund um die Uhr (24/365) auf einer Hotline zur Verfügung steht. Dies ist viel wirtschaftlicher als ein dauerhaft beschäftigter Mitarbeiter und bietet die Sicherheit, jederzeit auf Spezialisten mit weltweiten Kontakten zurückgreifen zu können.

Typische Fälle für den Einsatz eines externen Sicherheitsverantwortlichen:

  • Ein Mitarbeiter wurde im Ausland in den Abendstunden überfallen und benötigt schnelle Hilfe
  • Es besteht der Verdacht auf illegale Preisabsprachen mit einem Konkurrenten oder korrupte Mitarbeiter
  • Hacker haben mit einem Verschlüsselungstrojaner alle Daten im Unternehmensnetzwerk verschlüsselt und fordern nun Lösegeld (in Bitcoin), um die Daten wieder zu entschlüsseln
  • Gefrustete Mitarbeiter sabotieren bei einem Tochterunternehmen im Ausland immer wieder die Produktion, indem sie kleine Fremdteile einbringen, welche das Endprodukt unbrauchbar machen
  • Alternativ zur kompletten Rückholung benötigt ein auf einer Baustelle im Ausland erkrankter Mitarbeiter eigentlich nur ein spezielles Medikament, welches aber durch riskantes Gebiet transportiert werden muss
  • Ein Geschäftspartner verhält sich eigenartig und es besteht der Verdacht, dass Mitarbeiter oder Führungsverantwortliche kriminell sein könnten
  • Es besteht der Verdacht auf Industriespionage, weil in einem Zweigwerk vertrauliche Informationen abhandengekommen sind
  • Beim Unternehmen gehen anonyme Schreiben ein, die angebliche Missstände anprangern und hohes Potential für einen Reputationsschaden haben

 

September 10th, 2019|Kommentare deaktiviert für Mittelstand wappnet sich gegen Sicherheitsrisiken

Verflechtungsrecherchen decken kriminelle Geschäftspartner auf

04.09.2019 – Joint-Venture-Partner, M&A-Übernahmekandidaten oder einfach nur der wichtige Lieferant, mit dessen Unterstützung eine neue Produktlinie aufgebaut werden soll. Wenn es um einen wesentlichen Geschäftspartner geht, ist es wichtig, die Hintergründe des Unternehmens, die handelnden Personen und potentielle „red flags“ zu kennen. Eine Verflechtungsrecherche zeigt sehr schnell, wenn Verantwortliche in kriminelle Machenschaften verstrickt sind, eine eigene Agenda verfolgen oder sonstige Risiken in der Zusammenarbeit lauern.

Neue gemeinsame Projekte bergen immer Risiken in sich und werfen die Frage auf, ob der Partner zuverlässig ist und die Erwartungen erfüllt. In der Regel gibt meist die Qualität des Produkts, die Liefergeschwindigkeit sowie der Preis den Ausschlag für die Auswahl. Eine Prüfung der Verträge durch Juristen sowie bei wichtigen Projekten oder intensiver Zusammenarbeit eine Financial Due Diligence gehören meist noch zum Standard. Eine Prüfung auf kriminellen Risiken, eine sog. Business Risk Diligence, zur Risikominimierung von kritischen Geschäftsprozessen, unterbleibt jedoch oftmals. Was aber, wenn der Geschäftspartner sich im Nachhinein als unzuverlässig, unseriös oder sogar kriminell entpuppt?

Mit einer Verflechtungsrecherche können geschäftliche Verbindungen, tatsächlich im Hintergrund agierende Personen, internationale Abhängigkeiten und bereits erfolgte Verfahren gegen das Unternehmen oder die handelnden Personen sehr schnell aufgedeckt werden. Immer häufiger gibt es bei solchen Überprüfungen leider red flags auf wirtschaftskriminelle Vorgänge im Unternehmen, Hinweise zu gezielt eingesteuerten Kampfpreisen, um den Zuschlag zu erhalten, oder den Nachweis, dass Führungsverantwortliche bereits in einem Korruptionsverfahren beteiligt waren. Dies kann zum Verlust von Vermögenswerten, einem Abfluss von Know-how oder einem Schaden für die Reputation des eigenen Unternehmens führen.

In einer Zeit zunehmender Digitalisierung werden immer mehr Register online geführt, entstehen täglich neue Datenbanken und gibt es immer mehr Möglichkeiten, solche Verflechtungsrecherchen aus digitalen Quellen am Desktop durchzuführen. Man benötigt jedoch das Wissen über die verfügbaren Quellen, die Zugänge zu den meist kostenpflichtigen Datenbanken und das Know-how, die richtigen Informationen aus einer Flut von Daten gezielt zusammenzutragen. Insbesondere wenn es sich um internationale Geschäftspartner handelt, weltweit verzweigte Firmengeflechte oder zu überprüfende Personen mit ausländischen Wurzeln sind solche Überprüfungen gar nicht so einfach. Vor allem schon deswegen, weil viele der Informationen in unterschiedlichsten Sprachen vorliegen. Darüber hinaus ist es oftmals wichtig zu prüfen, was die Ursprungsquelle einer Information war. Bei vielen Daten aus Zweitquellen stellt man bei genauerem Hinsehen fest, dass es zu Übersetzungsfehlern gekommen ist, es sich um alte und häufig nicht mehr aktuelle Eintragungen handelt oder einfach schlecht zusammengefasst wurde.

Eine professionelle Verflechtungsrecherche ist daher kein Projekt, dass man mal schnell so zwischendurch machen kann. Es ist eine Aufgabe für erfahrene Analysen mit einem langjährigen Sicherheitshintergrund und dem Zugang zu all den weltweit verfügbaren Datenbanken.

Wenn es um die Überprüfung von Personen geht, sollte hinterher zweifelsfrei geklärt sein, dass er/sie nicht auf einer internationalen Sanktions- oder Embargoliste steht. Außerdem sollte sichergestellt sein, dass es noch keine Verfahren nach Antikorruptionsgesetzen (z.B. FCPA oder UK Bribary Act) oder im Zusammenhang mit Betrug, Geldwäsche und Informationsdiebstahl gab sowie ob es Kontakte zur Organisierten Kriminalität (OK) bzw. Nachrichtendiensten oder kritische Verbindungen zu Konkurrenzunternehmen gibt.

Verflechtungsrecherchen zeigen in visuell übersichtlicher Form, welche Verbindungen zwischen Firmen und Personen bestehen. Da zu jeder Verbindung die gefundenen Dokumente jeweils im Chart hinterlegt sind, können diese Recherchen auch als Beweismittel vor Gericht eingebracht werden, sofern z.B. ein Straf-, Arbeits-, Zivil- oder Schiedsgerichtsverfahren angestrebt wird.

Typische Prüfungen bei einer Verflechtungsrecherche:

  • Compliance-Datenbanken mit mehr als 3 Millionen auffällig gewordenen Personen oder Firmen
  • Pressearchive von rund 15.000 Medien weltweit in zehn Sprachen
  • Nationale Handelsregister und internationale Unternehmensdatenbanken mit rund 300 Millionen Firmen- und Personenprofilen
  • Finanzielle Negativdaten, z.B. Insolvenzen oder Bonität
  • Geschäftlicher Leumund und Geschäftsgebaren gegenüber Partnern in der Vergangenheit
  • Immobilienbesitz, Vorstrafen oder Gefängnisaufenthalte (soweit im jeweiligen Land verfügbar)
  • Auffällige Verbindungen zu Politik, staatlichen Institutionen oder Organisierter Kriminalität (OK)
September 4th, 2019|Kommentare deaktiviert für Verflechtungsrecherchen decken kriminelle Geschäftspartner auf

Risk Engineering unter dem Einfluss politischer Umwälzungen

28.08.2019 – Generell sollte sich das Risk Engineering um die Analyse, Bewertung, Prävention, Kontrolle und Eindämmung von Risiken für die Geschäftsprozesse eines Unterneh­mens kümmern. Dabei müssen zuallererst die Geschäftsprozesse an sich betrachtet werden, wie Risiko-behaftet sie sind. In Zukunft sollten jedoch auch verstärkt geopolitische Überlegungen eine Rolle spielen, weil politische Umwälzungen unsere Risikolandschaft deutlich verändern.

Wenn chinesische Firmen deutsche High-Tech-Unternehmen übernehmen, wie z.B. der Verkauf von Kuka an den chinesischen Midea-Konzern, dann ändern sich nicht nur die Besitzverhältnisse, sondern es wandern auch Patente, Entwicklungs- und Produktions-Know-how, das Wissen über strategische Partnerschaften sowie nicht zuletzt die Daten sämtlicher Lieferanten und Kunden in andere Hände. Obwohl es in solchen Fällen meist Vertraulichkeitsvereinbarungen gibt, liegt der Zugriff auf die Daten nun doch in einem Land mit anderer politischer Ausrichtung, anderen Gesetzen und einem völlig unterschiedlichen Verständnis vom Begriff des „ehrbaren Kaufmanns“.

Wenn Cambridge Analytica die Facebook-Daten von ca. 87 Millionen Nutzern missbraucht, um im Jahr 2016 den Wahlkampf von US-Präsident Donald Trump zu manipulieren, oder Russland durch Propaganda und Desinformation versucht, 2017 die Wahlen in Frankreich zu beeinflussen, dann stellt sich die Frage, wie sehr man einzelnen Regierungen in Zukunft noch vertrauen kann und wie stark Manipulation, Desinformation oder Fake News eine Rolle spielen werden? Sicher ist auch hier, dass politische Umwälzungen die Geschäftsprozesse beeinflussen werden und sich das Risk Management darauf einstellen sollte.

Die aktuellen politischen Veränderungen führen dazu, dass die USA und selbst Länder in Europa nicht mehr vorbehaltlos als Freunde der deutschen Wirtschaft betrachtet werden können. Im Gegenzug dazu sollten aber auch China und Russland nicht generell als Feinde angesehen werden. China ist mittlerweile ein wesentlicher Handelspartner von Deutschland und der Einfluss Chinas auf den Welthandel wird durch die Hafenbaumaßnahmen entlang der „Neuen Seidenstraße“ noch gewaltig anwachsen.

Es gibt also eine ganze Reihe neuer Faktoren und Risiken, die in Zukunft verstärkt beachten werden müssen. Wenn künftig z.B. Software für ein Unternehmen angeschafft oder extern gehostete Server-Kapazitäten aufgebaut werden sollen, muss ein nachvollziehbares und parametrisierbares Bewertungsschema aufgebaut werden, in dem, losgelöst von alten Freund-Feind-Bewertungen, sämtliche geopolitischen Faktoren betrachtet werden. Bei der Bewertung müssen Faktoren wie Zölle, Sondersteuern, Ausfuhr- oder Zusammenarbeitsverbote betrachtet werden. Dies betrifft auch indirekte Verbote. Die europäische und insbesondere deutsche Politik im Umgang mit dem Iran läuft derzeit sehr konträr zur amerikanischen Sanktionspolitik. Fast jedes deutsche Unternehmen bezieht jedoch einen Teil seiner externen Serverkapazitäten über das amerikanische Unternehmen Amazon (amazon AWS). Daher sollten deutsche Unternehmen, die im Iran Geschäfte machen, derzeit besser kein Office 365 oder amazon AWS (Cloud Hosting) nutzen, weil dies den amerikanischen Sanktionen zuwiderlaufen würden.

Genauso sollten staatliche Zugriffs- und Eingriffsmöglich­keiten sowie die Verfügbarkeit der Infrastruktur genauestens geprüft werden. Sowohl in Russland als auch in China hat der Staat großflächig die Möglichkeit, Infrastrukturen zu kappen. Dies betrifft z.B. auch die Frage, welcher Telekommunikationsanbieter oder Netzwerkdienstleister ausgewählt wird. Hier sollten genauestens die staatlichen Eingriffsmöglichkeiten in die Vertraulichkeit der Daten bewertet werden. In vielen höher entwickelten Staaten sind Nachrichtendienste in der Lage, im Land gelagerte oder durch das Land transportierte Daten unbemerkt abzugreifen. Darüber hinaus gibt es unterschiedliche Regelungen zur Nutzung von Verschlüsselungstechnologie. Der amerikanische CLOUD Act geht dabei sogar soweit, dass er der US-Justiz Zugriffe auch im Ausland erlaubt.

Für den Bereich der IT-Sicherheit wird es sogar zunehmend wichtiger, geopolitische Faktoren zu berücksichtigen und jeden einzelnen Geschäftspartner stärker zu überprüfen, vor allem dort, wo es vernetzte Systeme gibt. Man sollte jedoch auch dort prüfen, wo zwar keine Vernetzung besteht, die Lieferanten jedoch wichtig sind für die eigenen Produktion, die Lieferfähigkeit oder die Vertraulichkeit des Know-hows. Hier muss in Zukunft sichergestellt sein, dass die Anforderungen an eine hohe Resilienz der Systeme gewährleistet ist. Die Prüfung, wie wichtig ein Lieferant tatsächlich ist, stellt sich dabei als gar nicht so einfach heraus. Geht es nach dem Umsatz, der Ausfallzeit, wenn ein System des Lieferanten befallen wird, oder dem Schaden für die Reputation des eigenen Unternehmens, wenn über einen Lieferanten plötzlich vertrauliche Daten abfließen.

Eine weitere Schwierigkeit, in den verschiedenen Ländern gibt es oftmals unterschiedliche Standards für die IT-Sicherheit und teilweise unterschiedliche gesetzliche Vorgaben für die Sicherung der IT-Systeme. Unternehmen dürfen sich daher nicht mehr darauf verlassen, dass der Geschäftspartner dies schon ordentlich erledigen wird. Gerade im internationalen Umfeld sollte mit einem Cyber Scoring überprüft werden, wie es um die IT-Sicherheit des Geschäftspartners bestellt ist. Mit dieser unabhängigen Außenansicht auf den „Fußabdruck des Unternehmens im Netz“ lassen sich schnell deren Schwachstellen und damit das Risiko für das eigene Unternehmen feststellen. Solche Cyber Scorings sind in der Regel so aufgebaut, dass sie vom Management verstanden werden, auch ohne tiefgreifende IT-Kenntnisse. Gerade in Zeiten von politischen Umwälzungen ist dies ein wichtiger Schritt, um das individuelle Risiko von Lieferanten anhand ihrer Wichtigkeit in Verbindung mit der geopolitischen Location bewerten zu können. Genau das ist das Ziel eines professionellen Risk Engineering.

 

August 28th, 2019|Kommentare deaktiviert für Risk Engineering unter dem Einfluss politischer Umwälzungen

Personenschutz-App kann Überfälle verhindern

23.08.2019 – Viele Straftaten im Privatbereich ließen sich verhindern, wenn die Täter beim Ausbaldowern frühzeitig erkannt worden wären. Bei Entführungen, Raubüberfällen oder sogar Einbrüchen bereiten sich die Kriminellen oftmals langfristig auf ihre Tat vor und kundschaften die Familie und das Anwesen aus. Dabei könnten sie erkannt werden. Weil auch Familienmitglieder häufig etwas Ungewöhnliches in ihrem persönlichen Umfeld registrieren, gibt es jetzt eine Personenschutz-App, um Auffälligkeiten zentral zu erfassen.

Jeder kennt die Situation, man kommt mit dem Fahrzeug nachhause und sieht auf dem Weg, kurz vor der Garageneinfahrt, eine eigenartige Person. Dunkel gekleidet, schlendernder Gang und irgendwie mit neugierigem Interesse für das eigene Haus. Was jetzt? Ist dies ein Einbrecher, ein heimlicher Verehrer der heranwachsenden Tochter oder nur jemand, der mit seinem Hund Gassi geht? Nicht jeder Spaziergänger ist gleich ein Verbrecher, jedoch könnte es ein Täter sein, der gerade seinen nächsten Coup vorbereitet. Der Vorfall sollte daher erfasst werden und, sofern es weitere Auffälligkeiten im unmittelbaren Umfeld gibt, einen Alert an Sicherheitsspezialisten auslösen.

Die meisten Übergriffe auf Personen im privaten Bereich werden von den Tätern vorbereitet, indem sie ihre Opfer ausbaldowern. Sie kundschaften die täglichen Gewohnheiten der Familie aus, notieren, wann Hausangestellte kommen oder gehen und wer die Kinder zur Schule bringt. Ausserdem registrieren sie sämtliche Fahrzeuge, die von der Familie benutzt werden, sei es von den Eltern, Kindern, Freunden oder Angestellten. Gefährdete Personen, die sich vor einer Entführung schützen wollen, vertrauen in der Regel auf professionelle Personenschützer. Schon seit Jahren bedeutet Personenschutz nicht mehr zwingend den Bodyguard an der Seite zu haben, sondern sich durch eine permanente Voraufklärung im Umfeld der Familie zu schützen. Dabei werden von Profis, die sich im Umfeld der Familie bewegen, rund um die Uhr sämtliche Auffälligkeiten zentral erfasst, seien es verdächtige Personen, Fahrzeuge oder ungewöhnliche Sachverhalte. Ein verdächtiger Spaziergänger alleine ist noch kein Grund zur Panik. Kommen allerdings mehrere ungewöhnliche Feststellungen innerhalb kurzer Zeit zusammen, sollte dies die Familie alarmieren.

Professioneller Personenschutz bedeutet heute also vor allem eine hohe Aufmerksamkeit im persönlichen Umfeld, mit zentraler Erfassung sämtlicher Auffälligkeiten. Dies erfolgt bei Profis in der Regel Software-unterstützt, so dass alle Feststellungen detailliert festgehalten und wiederkehrende Kennzeichen, Personen oder Sachverhalte sofort auffallen. Sofern jemand noch nicht auf die Unterstützung durch Personenschützer setzen will, sei es, weil man sich noch nicht für gefährdet genug hält oder die Kosten zu hoch erscheinen, sollten trotzdem alle Feststellungen von Familienmitgliedern oder Angestellten zusammengeführt werden.

Der auffällige blaue Wagen vor der Schule, den der Sohn gesehen hat, als er mittags heimging, der verdächtige Mann mit der schwarzen Kapuze, den der Vater am Abend vor dem Haus sah und die komischen anonymen Anrufe auf dem Telefon, welche die Mutter als eigenartige Scherze abtat, sind alle drei für sich alleine gesehen kein Drama. Wenn jede einzelne Feststellung nur unabhängig betrachtet und nicht an die anderen Familienmitglieder kommuniziert wird, kann es sein, dass Vorbereitungshandlungen der Täter nicht als solche erkannt werden. Um zu prüfen, wann Kinder aus der Schule kommen oder wer zu welcher Uhrzeit das Haus verlässt, müssen die Kriminellen oft über mehrere Tage oder Wochen beobachten und die Familie observieren, um den idealen Zeitpunkt für ihre Tat herauszufinden. Genauso können anonyme Anrufe ein Hinweis darauf sein, dass die Täter zur Vorbereitung ihres Überfalls immer wieder prüfen, wann jemand zuhause ist bzw. wer ans Telefon geht.

Mit der neuen Personenschutz-App können solche Auffälligkeiten von den Familienmitgliedern und ggf. auch Hausangestellten zentral erfasst werden. Damit ist das frühzeitige Erkennen von Vorbereitungshandlungen der Täter gewährleistet. Auffälligen Personen, Fahrzeuge und Sachverhalte werden zentral in einer App eingegeben. Bei wiederholtem Auftreten bzw. Zusammentreffen von mehreren Auffälligkeiten gibt es einen Alarm sowohl an die Familie als auch an Sicherheitsspezialisten, welche dann die weiteren Abklärungen übernehmen. Sie besprechen mit der Familie das weitere Vorgehen und leiten ggf. die erforderlichen Sicherheitsmaßnahmen ein. Je aufmerksamer die Familie also ist und je mehr Informationen von verschiedenen Personen zusammengetragen werden, desto mehr erhöht sich die persönliche Sicherheit.

Die Vorteile der Personenschutz-App:

  • Digitale Schutzfunktion für alle Familienmitglieder
  • Erfassen von Auffälligkeiten im persönlichen Umfeld
  • Details zu Personen, Fahrzeugen und Sachverhalten
  • Einfache Zuordnung über GEO-Koordinaten möglich
  • Warnung bei bereits registrierten Personen/Fahrzeugen
  • Automatisiertes Alert-System
  • Frühzeitiges Erkennen von Ausbaldowern
  • Regelmäßige Bewertung durch Sicherheitsspezialisten

 

August 23rd, 2019|Kommentare deaktiviert für Personenschutz-App kann Überfälle verhindern

Corporate Trust als qualifizierter APT-Response-Dienstleister vom BSI bestätigt

25.07.2019 – Aufgrund zunehmender, massiver Cyber-Angriffe auf Unternehmen und staatliche Institutionen besteht neben der Prävention auch ein steigender Bedarf zur Abwehr laufender oder erfolgter Angriffe. Besonders bei gezielten und nachhaltigen Angriffen starker Gegner (sog. Advanced Persistent Threat, APT) stellen die Abwehr- und Aufklärungstätigkeiten spezielle Anforderungen an die dabei eingesetzten Dienstleister. Corporate Trust ist auf der Liste der vom BSI (Bundesamt für Sicherheit in der Informationstechnik) veröffentlichten Liste der qualifizierten APT-Response Dienstleiter.

Das BSI hat aufgrund gesetzlicher Grundlage die Aufgabe, Betreiber von kritischen Infrastrukturen bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Die Angriffe auf genau solche Firmen nehmen in letzter Zeit sowohl in der Anzahl als auch in der Intensität stark zu. Nicht zur Verfügung stehende Dienste, ein Datenabfluss oder Reputationsverlust erzeugen hohe Schäden. Zur Abwehr solcher Angriffe bedarf es daher oftmals auch professioneller Unterstützung durch externe Dienstleister, die über ein hohes Spezialwissen verfügen.

Um betroffene Unternehmen bei der Suche und Auswahl entsprechend qualifizierter Dienstleister zu unterstützen, zertifiziert das BSI Sicherheitsfirmen und veröffentlicht diese Liste. Corporate Trust wurde nun aufgrund der hohen Expertise bei der Abwehr und Aufdeckung von Industriespionage ebenfalls vom BSI als qualifizierter APT-Response-Dienstleister eingestuft.

Juli 29th, 2019|Kommentare deaktiviert für Corporate Trust als qualifizierter APT-Response-Dienstleister vom BSI bestätigt