Email-Hacking Schwachstellen und Gegenmaßnahmen DZI Spenden-SiegelFORUM2022, Berlin 17.05.2022
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Email-Hacking
Schwachstellen und Gegenmaßnahmen
DZI Spenden-SiegelFORUM2022, Berlin 17.05.2022
1
Email Hacking Schwachstellen und Gegenmaßnahmen 1. ToGeV auf einen Blick 2. Struktur 2017 3. Was ist passiert? 4. Schwachstellen 5. Gegenmaßnahmen 6. Whistleblower-Hotline 2
3
Interne Struktur 2017
1 Team in 6 Ländern
• Headquarter in Berlin
• Leiterin Berliner Büro
• Desk Officer Finance nur in Vertretung besetzt
• Regional Office Nairobi
• Geschäftsführung
• alle Abteilungsleitungen inkl. des Finanzabteilungsleiters
• Landesbüros
• Planung & Durchführung der Projekte
4
Email-Hacking Ausgangssituation • Projekt im Sudan • Problem: US-Embargo zur Überweisung von Devisen in den Sudan • Projektgelder vom Geber in USD -> ins HQ überwiesen -> müssen an Partnerorganisationen in USD und ins Landesbüro im Sudan weitergeleitet werden • Partnerorganisationen verfügen oft über Bankverbindungen in Europa 5
Email Hacking Was ist nicht passiert in Berlin und Nairobi wurde nicht… • eingebrochen • kein Virus, kein Trojaner, oder sonstiger Schadcode verwendet • keine Firewall geknackt • und auch hat kein Hacker eine Hintertür benutzt 6
Email-Hacking vs CEO-Fraud
Was ist passiert
• social hacking
• menschliche Eigenschaften auszunutzen
• Vertrauen, Autoritätshörigkeit, Neugier
• spear phishing
• die Quelle der Nachricht scheint bekannt und vertrauenswürdig zu sein
• die Informationen in der Nachricht untermauern den Eindruck der Gültigkeit und sind plausibel
• das Ersuchen der Person scheint eine nachvollziehbare Grundlage zu haben
• manipulierte Kommunikation
• Eingriff in die Kommunikation
7
CEO-Fraud
Was ist konkret passiert?
• Einflechten von gefälschten Mails in einen
bestehenden Dialog
• Mailverkehr wurde angezapft
• gefälschte Mails enthalten Zitate von nicht gefälschten Mails
• gefälschte Mails nehmen Bezug auf den laufenden Dialog
• Anhänge wurden „adressatengerecht“
manipuliert
8
9
10
CEO-Fraud
Schwachstellen Betrüger schreibt
Email an
Mitarbeiter*in von
einer gefälschten
Email
• Team
• blindes Vertrauen Betrüger gibt sich als
Chef aus & fordert
Mitarbeiter*in zur
• eingleisige Kommunikation dringenden Zahlung
auf
• Manipulation nicht vorstellbar
• interne Kommunikationshierarchien
durch Hinweis auf
Dringlichkeit der
Zahlung wird Druck
aufgebaut
• Technik
• unzureichende Infrastruktur
Mitarbeiter*in
• unsignierte & unverschlüsselte Emailkommunikation überweist Geld an
Betrüger
11CEO-Fraud Gegenmaßnahmen 12
Gegenmaßnahmen Technische Infrastruktur I • Email: signiert und verschlüsselt • erhöhter Virenschutz • Einrichtung Mail-Gate • Sensibilisierung • Schulungen 13
Gegenmaßnahmen Technische Infrastruktur II • Enterprise Ressource Planing System (ERP) • digitale Zeichnungsprozesse auch für Zahlungsanforderungen • strategische Beschaffungsprozesse • Finanzbuchhaltungssystem 14
Gegenmaßnahmen Ein starkes Team! 15
Whistleblower - Hotline!
It is ok to ask for help!
• mehrstufiges complain mechanism system
• persönlicher Kontakt
• über die Abteilungeleiter*innen und Vorgesetzen
• interne Hotline - nicht anonymisiert
• externe Ombudsperson
• extern & anonymisert
• Whistleblowerhotline
• https://vsfg.nemexis.de/de
1617
Do what is right!
Ihre persönlichen Ansprechpartner*innen
Shoshanna Hillmann-Breuer
Abteilungsleitung PR & FR
Tel.: 030 364 288 116
E-Mail: shoshanna.hillmann@togev.de
Christian Griebenow
Managing Director
Tel.: 030 364 288 117
E-Mail:
Christian.Griebenow@togev.de
18Sie können auch lesen
