CEO wegen Scam gefeuert

CEO wegen Scam gefeuert (113 Beiträge, 2732 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

http://www.securityweek.com/austrian-firm-fires-ceo-after-56-million-cyber-scam

Man sollte vielleicht den einen oder anderen Euro investieren, nicht zum Wohle der Firma, sondern einfach nur um egoistischerweise seinen Job zu behalten.

LG Mike

Welche Art von Investment schwebt dir vor?

In der 500-Mio.-Umsatz-Firma scheinen nur die Kommunikationswege kurz und das Konto locker gewesen zu sein.

PGP-signierte Mails kosten nix, sind aber umständlich... Was mich wundert, ist dass es bei solchen Beträgen allein Verfügungsberechtigte gibt.

Bevor ich jetzt ausschweife und hier die 1Mio Zeichen sprenge, beschränk ich mich aufs Wesentliche: User Awareness Trainings

LG Mike

Hm, ich kenne die Details nicht, aber finde die Vorstellung, dass sich der Mitarbeiter tatsächlich getäuscht hat, zumindest zweifelhaft.

finde die Vorstellung, dass sich der Mitarbeiter tatsächlich getäuscht hat,
zumindest
zweifelhaft.

nein. Der MA ist nicht beteiligt, der ist wirklich so blöd.

Du kommst aus einem IT-Umfeld, hast dein Leben lang mit IT-menschen gearbeitet. Du hast nicht die leiseste Vorstellung, wie STRUNZDUMM User in der Realität agieren können. Die sind echt so blöd.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Kannst Du nehmen und in die Tonne hauen. User sind nicht aware. Waren sie nie, werden sie nie. Kannst Du schulen bis Du blöd wirst.

Ist auch logisch. Die Hack'n von dem ist nicht Security. Das ist meine.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Was willst du gegen einen 100% "legitimen" Scam ausrichten, abgesehen von User Schulungen.
Ich hab andere Erfahrungen mit Enterprises, wo das zu Tode gelebt wurde bis es der/die blödeste verstanden hat. Ich spreche nicht von reinen Kursen ...

LG Mike

Bei uns in der Firma haben sie mal einen Security Test (Fake Mail, Telefonanruf...) mit allen Mitarbeitern durchgeführt, um die Awareness zu steigern. War recht lustig! Hat schon bei einigen einen Denkprozess ausgelöst, was man nicht anklicken und was man wem nicht unbedingt sagen sollte.

Mit freundlichen Grüßen Lukas

Genau das meine ich ... 1x ist zu wenig, das musst du laufend machen und immer besser werden um die Leute hinters Licht zu führen.

LG Mike

Du wirst es nicht glauben, aber so einen ähnlichen Test (wo auch Leute eingeschleust wurden um per social engineering die Security auszuhebeln) hat diese Firma sogar vor 2 Jahren gemacht. Und dennoch wurden sie Opfer dieses Betrugs.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Solange das nicht alle x Wochen/Monate gemacht wird, bringt das nichts. Schon gar nicht in Enterprises wo laufend Personal aufgenommen wird.

LG Mike

Könnte sein dass wir das waren?

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Ich habe eine Aktion erlebt, bei der von einer Security Test Firma USB Sticks im Haus verstreut wurden.
Die Hälfte davon wurde zuhause oder in der Firma angesteckt und hat sich beim Server gemeldet, die andere ist Verschwunden.
Der Betriebsrat wurde nicht informiert und hat im Nachhinein rotiert, so eine Aktion wird es nicht mehr geben. Es gibt ein Security Center das verdächtige USB Sticks auf Wunsch überprüfen kann und eine Reaktion auf die Aktion war die Idee "Dann bringen wir denen kübelweise USB Sticks und schauen wie sie sich freuen!".
Einen obergescheiten Manager hat es erwischt der uns eine halbe Stunde lang einen Vortrag gehalten hat, was das nicht für eine Gemeinheit ist, dass er den Stick ja zuhause angesteckt hat und es die Firma nichts angeht was er zuhause macht, dass er nicht will, dass fremde Software auf seinem PC läuft (lol)...

Worauf ich hinaus möchte:
Die eigenen User sind die stärksten Feinde der IT Security Abteilung.

So etwas stimmt man einfach mit dem Betriebsrat ab.

Mit freundlichen Grüßen Lukas

Damit der Betriebsrat, Betriebsratgünstlinge sowie deren ganzer Bekanntenkreis garantiert nicht in die Falle tappen? Ich bin überzeugt davon, dass es so wäre.
Das ist ungerecht, verzerrt das Ergebnis des Tests und führt zu einem geringeren Lerneffekt. Zur IT-Sicherheit kann man Menschen nur mit Angst vor persönlichen Konsequenzen erziehen: Ansonsten ist den Mitarbeitern doch vollkommen egal was um sie herum geschieht.

Bei der Sensibilität unserer Daten sollte man noch viel mehr Security Tests dieser Art machen.
Ein fremder USB Stick wird bei uns so schnell nicht wieder angesteckt, weil die Mitarbeiter jetzt Angst haben deswegen geshamed zu werden.

Wenn ich Betriebsrat wäre, würde ich auch dichthalten. Es geht ja um MEINE Firma! Ich würde aber jede Art der expliziten Bestrafung anlehnen. Die Leute schauen schon von selbst ganz dumm, wenn man ihnen in einem persönlichen Gespräch erklärt, was da jetzt alles schiefgegangen ist.

In unserem Fall geht es ja um hochkritische Kundendaten und gesetzliche Anforderungen. Da sehen die Mitarbeiter recht schnell ein, dass sie einen Scheixx gemacht haben.

Mit freundlichen Grüßen Lukas

Bevor ich jetzt ausschweife und hier die 1Mio Zeichen sprenge, beschränk ich
mich aufs Wesentliche: User Awareness
Trainings

Gab es im Vorfeld. Es gab Penetration Tests. Es gab sogar Security Tests bei denen Leute eingeschleust wurden um social engineering skills auszutesten.
Dieser Betrug war aber so gefinkelt, dass das alles nix genutzt hat.
Primär haben hier interne Kontrollsysteme der Buchhaltung versagt bzw. wurden offenbar nicht angewandt.
IT-Technisch war und ist da nix im Argen und das weiß ich wohlgemerkt aus allerbester Quelle (ich war dort mal Sysadmin und habe noch Kontakt zu den ehemaligen Kollegen).

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Ich rede ja auch nicht von Technik, sondern von Trainings um gegen Scams, Social Engineering und Konserven vorzugehen. Da helfen einzelne Pentests nichts, das muss laufend gesteigert werden.

Kontrollen können nur alarmieren wenn sie vom Prozess abweichen, solange alles legitim ist, passiert nichts. Das heißt es wurde im Vorfeld schon nach Infos gephisht oder ein Insider war daran beteiligt.

LG Mike

Das heißt es wurde im Vorfeld schon nach Infos gephisht oder ein Insider war
daran beteiligt.

Nichts ist einfacher als das. Dazu musst nur bei einer x-beliebigen Firma anrufen und dich mal in die Buchhaltung verbinden lassen. Wenn du dann noch den Aufbau der eMail Adressen weißt, dann hast mit dem Namen sofort eine Person die du angreifen kannst. Dagegen kannst dich nicht wehren, weil so abschotten kannst dich nicht.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Ich weiß, mache ich ja auch ständig.

Wichtig ist nur Informationen zu klassifizieren und diese erst nach Rückbestätigung herauszugeben. Kundennummern, Lieferantennummern usw.

LG Mike

Das Ärgste was ich in dem Zusammenhang erlebt habe war bei einem Kunden von uns (größeres, internationales Unternehmen): Ich am Telefon mit Kunden (Admin), er muss bei unserer Software bei nem User was checken. Admin geht zur Userin und fragt sie direkt nach ihrem Kennwort (Personalabteilung, die Daten auf die sie als Zugriff hat sind wirklich HEIKEL), ich hör sogar am Telefon ihr Kennwort mit (es war ihr Vorname) und der Admin logged sich mit ihrem User entsprechend ins System ein. Und das Arge dran: Dem Admin ist das nicht mal bewusst geworden, was da grad ablief und was für ein Wahnsinn das war. Ich bin dafür echt mit offenem Mund am Telefon gesessen und hab die Welt nimmer glauben können.
Wenn ich nicht sowieso eigentlich Adminzugriff auf deren System hätte, ich könnte hiermit bei denen gemütlich in deren Personalakten schmökern. Mit einem User aus der Personalabteilung. Purer Security Wahnsinn. Da will ich gar ned wissen, wie es auf anderer Ebene dort dann aussieht.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Viele admins kennen heutzutage den unterschied zwischen wifi und UMTS nicht
Was erwartet du dir
Oder sind meine eigenen Erfahrungen einfach nur so schrecklich, das ich mir schon gar nichts mehr erwarte?

Na, es gibt sicher gute admins da draussen, habe ja auch schon welche kennen gelernt, es bleiben einem halt meist die abschreckensten Beispiele in Erinnerung...

Gruß Sonic The Hedgehog

Naja, das ist definitiv kein "frisch gfangter" Admin dort sondern technisch eigentlich gut drauf. Und auch absoluter Perfektionist (hat da sogar ziemlich Monk´sche Züge). Aber dass er bei dem Thema absolut gar kein Bewusstsein hat, das hat mich schon schockiert. Aber Hauptsache in den Serverracks san alle Kabel schön rechtwinklig verlegt.
Gut, das mit dem Monk´schen geht bei ihm sogar so weit, dass er sich erst gestern damit selbst im Weg gestanden ist: Er hat auf den Servern Windows Updates eingespielt und hat danach unsere Applikation natürlich auch neu gestartet. Aus irgendeinem Grund hat diese dann aber nicht gleich funktioniert. Er hat also den JBoss nochmal neu gestartet, danach ging alles wieder. Danach Anruf bei uns ob wir ihm helfen können. So und nun kommt sein Monk durch: Er ist nämlich so penibel, dass ihn auch "alte" Logfiles stören. Ergo hat er nach dem zweiten JBoss Neustart das alte Logfile vom JBoss (wo der Fehlerfall drinnen gewesen wäre) gleich mal gelöscht (weil so geht das ja nicht, dass da ein Logfile rumliegt).
Er hat dann aber sehr schnell eingesehen, dass ich ihm ohne Logfile absolut NULL helfen kann und beim nächsten Mal wird er das Logfile aufbewahren.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Das war weniger auf deinen Kunden bezogen
Aber trotzdem lustige Geschichte

Gruß Sonic The Hedgehog

genau das ist die Realität. Sowas hab ich mehrfach erlebt. So Dumpfbacken gibts in echt allen Firmen, sogar solchen, die direkt auf sowas geschult und hingewiesen werden. Das ist echt unfaßbar.

Hab ich sogar in der eigenen Firma erlebt, wo mich eine Vorgesetzte ersucht, ein update zu installieren (eigentlich nur, in einem Programm die Wissendatenbanken im Hintergrund neu verknüpfen). Nix großes, darf man auch mit Userrechten, aber sie war halt ned so der PC.Guru.)

Mach ich gerne, aber nur, wenn sie dabei ist.
Meint sie: ist doch kein Problem, ich geb dir mein PW. Machs, wenn ich weg bin.
Die war fix&foxy wie ich ihr gesagt habe, ich will auf gar keinen Fall ihr PW haben.

Dann hat sie total ungläubig gemeint: aber wenn ich ein Mail aus deinem Posteingang brauch, dann würdest du mir dich auch dein PW geben.
Wie ich dann gemeint hab: wenn du ein berufliches Mail aus meinem Postfach brauchst, dann gehst bitte zu FR. "X" in unserer Gruppensekretariat, die hat Leserechte in meinem Postfach. Oder zur IT.
Mein PW bekommst du aber erst, wenn ich tot bin.

Die hat mich angesehen, als ob ich ein Alien wär.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Bei mir meinte letztens auch eine Kollegin, ob ich denn von einem bestimmten User ins Postfach sehen könnte (ich bin Admin am Mailserver). Ich hab ihr dann gleich mal mitgeteilt, dass ich das a.) nicht so einfach kann (ist eigentlich eine Lüge, denn defakto kann ich es recht einfach, wenn ich es denn wollte) und b.) absolut nicht mache, außer auf direkte Bitte des entsprechenden Users oder (dokumentierte) Anweisung des Chefs.

Wir sind halt eine kleine Firma und da laufen Dinge natürlich anders, persönlicher ab. Aber Security Bewusstsein musst du einfach immer wieder in die Leute "reinprügeln". Wir sind ja zum Glück (oder vielleicht auch Unglück) eine IT Bude und daher sind die meisten User halt technisch versiert (was aber auch wieder eine Gefahr darstellt).

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Das kenne ich. Ich mache Support, und muss manchmal Einblick haben im Mailbox eines Users. Das mache ich grundsätzlich nur wann der/die MitarbeiterIn da ist: die geben das PW ein. Meine Ausrede: ich brauche ihr Passwort nicht. Wenn ich es brauche, kann ich es ändern über den ActiveDirectory

Jeden Verstoß die ich mitkriege (Sekretärin hat PW vom Vorgesetzten, User schreiben PW auf, usw) melde ich an unser Data Protection Officer (unser IT Chef).

Vor einige Monate ist bei uns in der IT jemand verstorben (Motorradunfall). Der IT Chef hat mich gefragt ob ich in sein Mailbox ein 'Out of Office' Mitteilung schreiben kann. Ja, kann ich machen, aber nur wann er dabei ist und mir über den Schulter schaut. Ich arbeite nicht an ein fremder Mailbox ohne dass der betreffende User dabei ist (was hier leider unmöglich war), oder halt den Chef.

Wann jemand bei uns geht werden alle persönliche Daten und der Mailbox für 6 Monate aufgehoben. Wann irgendwelche Daten gebraucht werden, auch wenn jemand auf Urlaub ist, oder auf Karenz) geht ein Request bis zur oberen Director rauf ob wir die Daten anschauen dürfen. Nachher geht wieder ein Report auf Reisen mit ein Bericht, wo sogar die exakte Uhrzeiten stehen wann wir die Daten gesucht und kopiert haben...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

so soll es sein, das nenn ich eine anständige und saubere Einstellung.

Wirklich Gratulation!

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Ohne schriftlichen Request per Mail/Ticket System würde ich ohnehin kein fremdes System angreifen, selbst wenn mir jemand über die Schulter schaut. Im Zweifelsfall heißts dann nämlich ICH und nicht ER wenns darum geht wer gehen darf wegen Verletzung von Policy A38.

LG Mike

Natürlich. Ich habe nicht mal die Zeit um einfach mal wo hin zu gehen und herum zu werkeln...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Super Einstellung! Ich handhabe das genauso!

Aber,

Der IT Chef hat mich gefragt ob ich in sein Mailbox ein 'Out of Office'
Mitteilung schreiben kann

seit Exchange 2010 (bin mir nicht ganz sicher, auf jeden Fall ab EX2013) gehts mit

Set-MailboxAutoReplyConfiguration auch ganz ohne Zugriff aufs Postfach

Genau das hasse ich an PowerShell, Bash &Co: man muss die Befehle kennen. Bei ein GUI kann man sich von Menu zu Menu handeln, ohne dass man der exakten Syntax kennt...

Danke für den Tipp! Es war das erste Mal das ich sowas gebraucht habe. Und ich hoffe stark dass es nicht wieder vorkommt...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Brauche ich relativ oft, weil wer darauf vergisst, bevor er auf Urlaub geht, oder halt wegen Krankheit.

PowerShell ist die neue Windows GUI, daher jetzt schon damit anfreunden damit du beim nächsten Release nicht wie die Kuh vorm Tor stehst. Auch jetzt sind bereits etliche Dinge nicht über die GUI verfügbar.

LG Mike

Ich weiß. Ich arbeite eh schon etwas damit. Aber für einzelsachen verwende ich immer noch lieber ein GUI. Nur für Routine- oder Batcharbeiten verwende ich den PS. Da habe ich dann die Befehlszeilen in OneNote bereitliegen.
Etwas Neues in PS machen ist immer noch viel arbeit: alleine das Raussuchen der relevante CmdLets ist schon mühsam...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Kommt darauf an wie gut du bist und ob du dir deine Werkzeuge bereits zurecht gelegt hast. Ist ähnlich wie in der GUI mit MMCs. Mit Tab Autocomplete kommst aber auch weit wenn du den Namen kennst.

LG Mike

Eine kleine Panik-Schulung vor Ort hilft meistens. Man erklärt den Unwissenden knapp und deutlich dass ich mit den Zugangsdaten alles Verbotene (Finanzsachen bei jemanden aus der Finanzabteilung, HR bei HR usw.) in ihrem Namen machen kann und sie dann niemanden vom Gegenteil überzeugen können.

LG Mike

ich brunz mich an

Genau das hab ich der auch gesagt!

Ist dir klar, daß ich jetzt mit deinem Namen und deinem Absender den Chef einen *** nennen kann und daß das IMMER zu dir und NUR ZU DIR zurückverfolgt werden wird.!?!?
Und ich vertrauliche Infos an die Presse weitergeben kann. In deinem NAmen? Was strafrechtlich SEHR relevant ist?

DANN, aber wirklich erst DANN, wenn man es ihnen wirklich eiskalt unter die Nase reibt, DANN beginnen die zum 1.Mal ein bißchen nachzudenken, warum es IT-Security überhaupt gibt.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Jepp, nur weil mans nicht angreifen kann, heißt es noch lange nicht dass es nicht wahr ist. Man drückt einem Freund ja auch keine unbegrenzte Vollmacht in die Hand.

LG Mike

Man kann natürlich auch komplette Paranoia schieben und keinem mehr vertrauen .... Wesenszüge wie Freundschaft und Kollegialität sind halt für viele Menschen heutzutage schon ein Fremdwort

___________________
What happened after

Gelegenheit macht Diebe und das hat nichts mit Paranoia oder Freundschaft zu tun. Ein richtiger Freund würde sich geehrt fühlen und danach ablehnen.

LG Mike

Ich erzähle immer eine Geschichte, wenn jemand sein/ihr PC nicht sperrt. In eine Firma wo ich früher gearbeitet hat, hat jemand mal ein Kündigungsmail von einem anderem Workstation geschickt...

Ich habe mal gehört, bin mir aber nicht sicher, dass bei Microsoft der ganze Abteilung einen Einladung zum Mittagessen kriegt wenn jemand sein PC nicht absperrt...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Ich hatte bei einem Kunden das Admin-Bier, ging dann an die ganzen Kollegen raus.

LG Mike

Schon länger her? Ich kenn das von anderen Kunden dass dort die Admins auf die heiklen Sachen keinen Zugriff haben, weil sie mit dem Private Key des Users verschlüsselt sind.

LG Mike

Ein paar Monate her...

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Glaub mir eines: Wenns eine Firma gibt, die bei ihrer IT absolut nicht spart, dann ist das FACC. Die haben und hatten immer TOP Equipment. Eigentlich immer das Beste vom Besten. Es war definitiv kein Problem der IT-Security. Das haben übrigens auch die Ermittler festgestellt.
Es war reines social engineering, und eigentlich nicht mal das. Es war ein "einfacher" Betrug. Und der war echt verdammt geschickt gemacht. Glaub mir, so wie das eingefädelt war würden (und sind!) so manche drauf reinfallen. Das kannst nur verhindern, wenn das Opfer um die Art des Scams weiß und diesen daher deshalb erkennt. Ansonsten: Nope. Wenn die Kontrollsysteme nicht greifen und die Story passt, dann hast ein Opfer.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Es war reines social engineering, und eigentlich nicht mal das. Es war ein
"einfacher" Betrug.

Jetzt die ganz dumme Frage : wie?

Wird ja wohl kein einfaches mail gewesen sein ala "Hearsd Beppi schieb ma mal 50 mille rüber" ?

Alles was von außen kommt fällt ja auf.

__________________________________________________________________________________

25.05.2016, 21:52 Uhr - Editiert von Newbie007, alte Version: hier

Ich kann ned zu viele Details erzählen, aber so in etwa lief das:
Mail vom CEO (gefaked), dass eine Firma gekauft wird. Absolute Geheimhaltung gefordert, auch nicht den Kollegen erzählen.
Jegliche weitere Kommunikation zu dem Thema muss zu Dokumentationszwecken (Weil börsenotiertes Unternehmen) über eine externe Firma erfolgen (womit man die Kommunikation umgeleitet hat). Danach auch Telefonate mit Anwälten (von einer existierenden Kanzlei, aber natürlich war es nicht jemand von dort mit dem telefoniert wurde), Vorgaben wie was zu erfolgen hat, dann in mehreren Tranchen (Wie viele weiß ich nicht) die Beträge überwiesen.
So in etwa lief das nach meiner Information ab.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Das predige ich seit einer Ewigkeit - Warum kann man nicht alle E-Mails die von extern kommen einfach als "Extern" markieren? Warum kann man alle E-Mails vom CEO nicht einfach signieren?

LG Mike

Das machen einige Unternehmen sogar. Da steht dann beim Absendernamen dick und fett ***EXTERN*** o.ä. dabei, manchmal auch die umgekehrte Variante mit ***INTERN***.

Ja, im Betreff. Ein paar haben meinen Rat beherzigt.

LG Mike

Aber allein die gefakte mail muss doch auffliegen ?

Privat würde der Rest bei mir alle Alarmglocken läuten lassen. Inwieweit das in den entsprechenden Businessebenen so abläuft, das sowas ohne jede Rückfrage hab ich zu wenig Einblick. Kommt mir aber trotzdem ein wenig seltsam vor, nämlich das intern die Geldflüsse nicht geprüft werden.
__________________________________________________________________________________

Eine gefalte E-Mail (Domain) zu erkennen ist für einen Laien nicht leicht. Der Rest basiert auf Psychologie.

LG Mike

Genau so ist es. Und vor allem das Zweitere wurde dort massiv eingesetzt. Alleine wie sie (angeblich) unterbunden haben, dass das Opfer mit den Kollegen bzw. ihrer Vorgesetzten drüber spricht, ist sowas von gefinkelt gewesen, dass ich dir ganz ehrlich sage: Ich weiß nicht, ob nicht ich in der gleichen Situation auch nix gesagt hätte.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Je brisanter es wird, desto hellhöriger bin ich mittlerweile (mittlerweile!!!). Es gibt keine Zufälle.

Rhetorik ist etwas Schönes, aber auch Gefährliches.

LG Mike

Rhetorik ist etwas Schönes, aber auch Gefährliches.

Das war glaub ich weniger Rhetorik sondern wirklich schlichte Psychologie. Wie es doch eigentlich bei den meisten Betrugsarten der Fall ist.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Aber allein die gefakte mail muss doch auffliegen ?

Nein, wieso? Ich kann dir mittels blat vortäuschen, dass ein Mail von einer Adresse kommt. DAS ist echt kein Problem.

Privat würde der Rest bei mir alle Alarmglocken läuten lassen.

Bei den meisten wird das auch der Fall sein. Du darfst ned vergessen: Selbst diese Betrüger machen es über die Masse. Von 50 Unternehmen bei denen sie es probieren, klappt es vielleicht bei einem. DORT ist dann aber ordentlich Zahltag. Die Rendite ist ja enorm.

Dass interne Kontrollsysteme hier auf ganzer Ebene versagt haben, das ist klar. Hier wurde wohl jegliche Sorgfaltspflicht verletzt die man sich nur vorstellen kann. Insiderjob wars aber keiner, die Person die diese Überweisungen getätigt hat wurde nicht mal entlassen und auch nicht angeklagt. Die war einfach nur Opfer.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Nein, wieso? Ich kann dir mittels blat vortäuschen, dass ein Mail von einer
Adresse kommt. DAS ist echt kein Problem.

Kann das mehr als das typische Scammermail das vom Absender xy kommt, beim Mouseover der echte Sender aber z ist?

Wenn nein trotzdem Kopf=>Tisch.

__________________________________________________________________________________

Kann das mehr als das typische Scammermail das vom Absender xy kommt, beim Mouseover der echte Sender aber z
ist?

Ich kann dir mittels blat (ein einfaches Kommandozeilentool) ein Mail schicken, das vermeintlich von der Adresse bill.gates@microsoft.com kommt und Outlook wird dir als Sender auch genau das anzeigen. Sehen woher es wirklich kommt wirst du nur dann, wenn du dir den eMailheader ansiehst. Aber das tut wirklich absolut niemand.

Und jetzt stell dir das so vor: Du kriegst eine Mail von deinem CEO. (seiner eMail Adresse). In dem Mail erklärt er dir, dass diese Transaktion ansteht und dass jegliche weitere Kommunikation aus rechtlichen Gründen über eine andere Adresse erfolgen muss. Diese wird dann vielleicht praktischerweise gleich beim Mail als reply-to Adresse eingetragen. Und schwuppdiwupp hast du das Opfer schon in einer separaten Kommunikation.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Ich kann dir mittels blat (ein einfaches Kommandozeilentool) ein Mail
schicken, das vermeintlich von der Adresse bill.gates@microsoft.com kommt und
Outlook wird dir als Sender auch genau das anzeigen.

Das würde bei uns 1. als extern markiert und 2. wahrscheinlich als Spam eingestuft und sofort gelöscht werden.

Ich weiß z.b. dass in früheren Zeiten (das ist aber wirklich viele Jahre her) der FACC CEO von unterwegs sogar explizit eine externe eMail Adresse genutzt hat und nicht die interne. Und zwar aus Sicherheitsgründen.
Aber ich muss sagen, ich weiß da jetzt keine Details wie der Erstkontakt stattfand und was da los war.
Ich weiß aber explizit, dass die IT dort jegliche Standards erfüllt bzw. übererfüllt hat und die forensischen Ermittler hier auch kein Verschulden von dieser Seite feststellen konnten.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Ja, ich bin das vielleicht auch ein klein wenig zu sehr drinnen, obwohl ich nur "interessierter Laie" bin.

Ich kenne wenn ich so nachdenke doch einige die da vmtl. mit machen würden.
__________________________________________________________________________________

und?

Das berechtigt, das Hirn auszuschalten?

Oder alle (hoffenbtlich vorhandenen) Sicherheitsrichtlinien zu mißachten?
So wie die Unterschriftenregelungen?
usw usf??

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

die Person die diese Überweisungen getätigt hat wurde nicht mal entlassen und
auch nicht angeklagt. Die war einfach nur Opfer.

Fehler. Das ist ein Mittäter wie er im Buche steht.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Nein, ist er nicht. Fehlt doch jeglicher Tatvorsatz.

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

grobe Fahrlässigkeit und aktive Mißachtung (hoffentlich vorhandener) interner Richtlinien

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

woher willst denn das wissen??

Das diese Person eine Berechtigung zur Einzelzeichnung für derartig hohe Beträge hat ist ja wohl nicht deren Verschulden - da fängt der Fisch schon wo anders zu stinken an!
___________________
What happened after

Das diese Person eine Berechtigung zur Einzelzeichnung für derartig hohe
Beträge hat

hatte sie das wirklich?
Ohne jedes Limit?

Sind 50Mille ein alltäglicher Betrag? Oder doch einer, wo man vielleicht mal nachfragen sollte?

Kadavergehorsam bis zum Untergang - ich hab nur meine Pflicht getan.

Mehr fällt mir dazu echt ned ein.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

hatte sie das wirklich?Ohne jedes Limit?

wie hätte der/die diese Überweisung(en) sonst tätigen können - glaubst der/die hatte auch die TANS von den/dem anderen Verfügungsberechtigten?
___________________
What happened after

glaubst der/die hatte auch die TANS von den/dem anderen
Verfügungsberechtigten?

du tustr grad so, als ob das denkunmöglich wär.

Hast du eine Vorstellung, wie oft ich das gesehen hab, daß eine kleine BuHa-Mitarbeiterin die TAN-Briefe von beiden Zeichnungsberechtigten hatte?

Daher: GLAUBEN?????????

Ich glaub an gar nichts, schon gar nicht an Intelligenz oder Vernunft.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

die TAN-Briefe

gibt's doch schon lange nicht mehr

Ich bekomm als Verfügungsberechtigter meine TAN aufs Handy - also unmöglich, dass meine Kollegin in der Buchhaltung etwas ohne mein Wissen überweist.

Die Überweisungsliste seh ich (zu 99%) vorher und muss diese nachträglich (zu 100%) auch noch unterzeichnen. Das ich da nicht mit jedem Kleinmist was anfangen kann ist aus Zeitmangel klar, aber zumindest höhere/auffällige Beträge lass ich mir natürlich erklären.

Für den ganzen technischen Mist diesbezüglich bin ich verantwortlich (und ich hab absolut keine Ausbildung in die Richtung und insgesamt nur einen Lehrabschluss) - also so kompliziert kanns ja für ein Großunternehmen nicht sein, wo eine ganze Abteilung NUR DAFÜR zuständig ist??
___________________
What happened after

so kompliziert kanns ja für ein Großunternehmen nicht sein, wo eine ganze
Abteilung NUR DAFÜR zuständig ist

kompliziert ist es auch nicht. Eigentlich watscheneinfach.
Aber Dummheit kennt eben keine Grenzen.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Naja überleg mal, der CEO wurde auch gegangen obwohl er vermutlich kein Mittäter war. Falls die Prozesse exakt eingehalten wurden, ist der MA unschuldig, falls nicht dann war es Fahrlässigkeit.

Bei derartigen Summen (10% des Jahresumsatzes) ist es nicht wirklich verwunderlich wenn man zu derartigen Maßnahmen greifen würde. Ich kenne andere Kunden, wo sich involvierte Mitarbeiter während dieser heißen Phasen auf eine Liste setzen, und all ihre Wertpapiere offen legen müssen und auch nicht mit ihrem Insiderwissen mit Aktien handeln dürfen.

LG Mike

Ich kenne andere Kunden, wo sich involvierte Mitarbeiter während dieser heißen
Phasen auf eine Liste setzen, und all ihre Wertpapiere offen legen müssen und
auch nicht mit ihrem Insiderwissen mit Aktien handeln
dürfen.

ich kenne Firmen, wo das ALLE Mitarbeiter wirklich JEDES Jahr zu tun haben. Und nicht nur für sich, sondern auch für nächsten angehörigen. Was dann wieder das nächste Problem bringt, denn es ist schön, daß ich internationale und vor allem SEC-Standard einhalten soll und will, aber als Österreicher KANN ich keine Auskunft darüber geben, welche Aktien meine Frau, mein (volljähriges) Kind oder meine Eltern und Geschwister besitzen. Diese Infos habe ich nicht und kann ich mir nach AT-recht auch nicht beschaffen.

Man kanns eben auch übertreiben.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Man kann die Offenlegung zumindest vorschreiben, die Durchsetzbarkeit ist wieder eine andere Sache.

LG Mike

zu den eigenen kann ich dich zwingen. Zum Rest nicht. Zumindest nicht nach AT-Recht.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Man merkts wenn der technische Mitarbeiter dann 3 Monate später mit dem Ferrari vorfährt.

LG Mike

da gehts eher um Insidergeschäfte, Insiderwissen und naher Verwandte

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Ich weiß, aber wie so oft müssen auch gewisse technische Begebenheiten abgeklärt werden um eine Übernahme in Erwägung ziehen zu können.

LG Mike

Würde mich jetzt wirklich interessieren, in welcher Bananenrepublik du Zugriff auf Konto-Daten von deinen Geschwistern hast?

___________________
What happened after

in welcher Bananenrepublik du Zugriff auf Konto-Daten von deinen Geschwistern
hast?

wo hab ich das geschrieben oder verlangt?

USA zB
Dort MUSS unter bestimmten Umständen dir dein Ehepartner Auskunft geben.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

aber als Österreicher KANN ich keine Auskunft darüber geben, welche Aktien meine Frau, mein (volljähriges) Kind oder meine Eltern und Geschwister besitzen. Diese Infos habe ich nicht und kann ich mir nach AT-recht auch nicht beschaffen.

hier war noch die Rede von Eltern und Geschwistern

die Frage bleibt die Gleiche - in welchem Land hast du irgendeine Möglichkeit, ohne Einwilligung dieser Personen zu den von dir gewünschten Daten zu kommen?
___________________
What happened after

aber als Österreicher KANN ich keine Auskunft darüber geben, welche Aktien
meine Frau, mein (volljähriges) Kind oder meine Eltern und Geschwister
besitzen. Diese Infos habe ich nicht und kann ich mir nach AT-recht auch nicht
beschaffen.

das ist doch wortwörtlich, was ich gesagt hab

In AT KANN ich diese Info geben.

in welchem Land hast du irgendeine Möglichkeit, ohne Einwilligung dieser
Personen zu den von dir gewünschten Daten zu kommen?

ich sagte auch nix von gegen deren Willen.
Aber in USa ist die Cooperation der Ehefrau gefragt, in Ö muß sie das nicht.
Kinder waren, soweit ich mich erinnere, nur im gemeinsamen Haushalt umfaßt. Und volljährig.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

das ist doch wortwörtlich, was ich gesagt hab

ach rutsch mir doch den Buckel runter - diesen Krieg der Worte derpack ich heute nicht mehr mit dir!

___________________
What happened after

sorry, das war nicht bös gemeint, scheinbar reden wir aneinander vorbei. Ich wollt dir eigentlich 100% zustimmen

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

ebenfalls sorry - habs nicht gecheckt (der Tag war lang und so)

___________________
What happened after

paßt scho

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Naja, moralische Verantwortung ist natürlich da. Aber dejure eben nicht. (Im Fall der Mitarbeiterin)

lg
Cereal

Ich bin seit fast einem Jahr zu faul um mir eine neue Signatur auszudenken, drum hat das jetzt ein ~~alter haariger~~ gutaussehender Admin für mich gemacht.

Sobald Du die PGP-Signatur faken kannst meld dich, das tät mich dann interessieren.

Wie? Sie hatten keine Signatur im Einsatz? Oh, ich glaub wir haben das Problem gefunden!

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

So in etwa lief das nach meiner Information
ab.

ich glaube kein Wort.
Wie kann ein einfacher Mitarbeiter 50 Mille überweisen? Alleine?

Das ist im Höchstmaß persönliche Schuld des Mitarbeoiters, der sowas ohne Rückversicherung macht.

Und in hohem Ausmaß ein Systemversagen, das offensichtlich keine funktionierenden internen Kontrollmechanismen hat. Dafüßr gehören vom CEO und CFO abwärts eine ganze Menge Leute mit nassen fetzen aus der Stadt geprügelt. Gerade bei einem börsennotierten Unternehmen.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Reine Annahme: der Mitarbeiter hat in die Unterschriftenmappe des Vorstands die beiden Überweisungen und das Mail gelegt. Dieser hat es gelesen und unterschrieben. 50 Mio weg.

mfg lukas

der Mitarbeiter hat in die Unterschriftenmappe des Vorstands die beiden
Überweisungen und das Mail gelegt. Dieser hat es gelesen und unterschrieben.
50 Mio weg.

dann ist es super und perfekt und der MA fein raus. Der zuständige Vorstand hätte die gesamte Verantwortung zu tragen.

Genau so ist es aber sicher NICHT passiert.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Da der CEO gefeuert wurde, nehme ich an, dass die Prozessvorgaben nicht vorhanden oder ungenau waren.

mfg lukas

die Prozessvorgaben nicht vorhanden oder ungenau waren.

das ist wohl offensichtlich und bewiesen.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Die haben und hatten immer TOP Equipment.

geschenkt, wenn hirnlosen Affen es bedienen.

Es war ein "einfacher" Betrug. Und der war echt verdammt geschickt gemacht.

eigentlich sehr plump

Das kannst nur verhindern

wenn ich ein zwingendes 4-Augen-Prinzip vorgebe. Was bei Banktransaktionen eigentlich eines Selbstverständlichkeit sein sollte.

Da gehören noch eionige Leute m,ehr gefeuert. Und der/die Mitarbeiter/in, der das durchgeführt hat, bis zum letzten Atemzug bis aufs Existenzminimum gepfändet.

mfg
AVS

jeden Tag eine Mohammed-Karikatur, bis die Islamisten sich an die Tatsache gewöhnt haben, dass aus heiligen Kühen Hamburger gemacht werden.

Mir sind auch mehrere derartige Versuche in Österreich bekannt, in einem Fall war es nur einem Zufall zu verdanken dass der Betrug nicht geklappt hat.

Ich war in diesen Fällen jeweils an der internen Aufarbeitung beteiligt. In einem Fall wurde die Diskussion geführt ob es überhaupt notwendig ist den Versuch zur Anzeige zu bringen. In allen Fällen wurden User Awareness Schulungen als zu Zeit- und Kostenintensiv abgelehnt und einmal hat der Leiter Netzwerk/Client den Netzwerkdienstleister gefragt warum die Mailsecurity-Appliance nicht erkannt hat dass das ein Betrugsversuch ist. *lol*

Ich wundere mich eigentlich nur noch darüber dass diese Masche nicht viel öfter erfolgreich ist.

Ich war in diesen Fällen jeweils an der internen Aufarbeitung beteiligt. In
einem Fall wurde die Diskussion geführt ob es überhaupt notwendig ist den
Versuch zur Anzeige zu bringen. In allen Fällen wurden User Awareness
Schulungen als zu Zeit- und Kostenintensiv abgelehnt und einmal hat der Leiter
Netzwerk/Client den Netzwerkdienstleister gefragt warum die
Mailsecurity-Appliance nicht erkannt hat dass das ein Betrugsversuch ist.
*lol*

Man stellt die Kosten ganz einfach nebeneinander. Auf der einen Seite die Kosten der Schulungen und auf der anderen die Kosten eines Verlustes (Information oder Finanz), die Risikobewertung überlässt man dann dem Kunden. Entscheidet er sich nachwievor zu pokern, dann wartet man einfach bis er mit dem Scherbenhaufen wieder kommt.

Ich wundere mich eigentlich nur noch darüber dass diese Masche nicht viel
öfter erfolgreich ist.

Ist sie auch, die wenigsten gehen damit vor Scham an die Öffentlichkeit.

LG Mike

Man stellt die Kosten ganz einfach nebeneinander. Auf der einen Seite die
Kosten der Schulungen und auf der anderen die Kosten eines Verlustes
(Information oder Finanz), die Risikobewertung überlässt man dann dem Kunden.
Entscheidet er sich nachwievor zu pokern, dann wartet man einfach bis er mit
dem Scherbenhaufen wieder kommt.

Stimmt grundsätzlich natürlich, aber zumindest in meiner Nische hat sich gezeigt dass in solchen Fällen nicht wie bei FACC die tatsächlich Verantwortlichen die Konsequenzen tragen müssen sondern die Schei*e mit dem Ventilator die Hierarchieebene abwärts befördert wird und letztlich an jenen kleben bleibt die ohnehin für vernünftige Prozesse und Systeme gesorgt hätten wenn man sie gelassen hätte.
Aber zumindest hat man bei Eigentümergeführten Unternehmen zumindest die Freude zu wissen dass es wenigstens finanziell die tatsächlich verantwortlichen selbst getroffen hat.

Solange die vordefinierten Prozesse eingehalten und ein Verbesserungsvorschlag nachweislich eingebracht wurde, würde ich mich nicht blöd von der Seite anreden lassen.

LG Mike

wie schützt man sich? jetzt ganz konkret als MA bzw als firma und auch als privatperson?
und wer führt solche schulungen durch?
Teigwaren sind Teigwaren, weil sie einmal Teig waren!

Als Mitarbeiter kann man nur ein wenig gesunden Menschenverstand anwenden und sich an die Prozesse halten. Ausnahmslos.
Grundsätzlich ist es Sache der leitenden Mitarbeiter die Prozesse so zu gestalten dass sie zumindest ein 4-Augen-Prinzip sicherstellen, damit fallen solche Aktionen schon mal flach.

Schulungen: Ich hatte ein Angebot von einem Partner unseres Wirtschaftsberaters (Freelancer), ansonsten bei jedem größeren IT-Systemhaus (jedenfalls Bechtle).

Danke.
Ja, eh ....gesunder Menschenverstand

Ich bin total vorsichtig, aber dennoch kann ich nicht ausschließen, dass mir auch was passiert, das ich nicht merk. Manche phishingmails und dergleichen sind ja dummdreist offensichtlich. Aber wenn das ganze gut getarnt daher kommt :/
da braucht man doch spezialisten, die die wege nachvollziehen, besonders, wenn es irgendwie gerichtlich relevant wird...kein toller gedanke.
_____________________________________________________ Teigwaren sind Teigwaren, weil sie einmal Teig waren!

Naja, wenn der Prozess passt und eingehalten wird dann fliegt so etwas im Allgemeinen schon auf.

Bei mir:

Eingangsrechnung kommt rein -> Es wird der Lieferungs/Leistungsempfänger von der Buchhalterin angesprochen und gefragt ob die Rechnung plausibel ist und die Ware/Leistung entgegengenommen wurde.

Bei Rechnungssumme über Grenze A, gegenzeichnen lassen von Kollegin, bei Summe über Betrag B schriftliche Freigabe durch Eigentümer.

Für Zahlungsaufträge des Eigentümers gibt es ein eigenes Verfahren das ausnahmslos eingehalten wird.

Firma: Bürokratie & SAP & starrer Genehmigungsworkflow > je mehr Leute für einen Genehmigungsvorgang zeichnen müssen, umso wahrscheinlicher fällt´s einem davon auf

D.h. bei uns für jeden Vorgang über 5000€ sind es schon 4 Leute, für jeden Vorgang über 20000€ zumindest 6, und der CEO darf die unteren ebenen keinesfalls überstimmen bzw. kommt erst dran, wenn alle anderen Ebenen durchlaufen sind ...

30.08.2016, 13:31 Uhr - Editiert von to_markus, alte Version: hier

Ich bin froh das sowas bei uns nicht möglich wäre. Unser finanzsystem ist sehr dicht, und unglaublich streng reguliert. Wir haben soagr zweimal im Jahr externe Audits zu ertragen: da kommen 2 Auditoren, und nehmen sich ein paar gekaufte Artikel (oder Dienstleistung, o.Ä.) und dann wird vom Beschluß, über der Ausschreibung, Bestellung und Zahlung jedes Dokument angeschaut ob es auch seine Ordnung hat. Sogar Kleinein käufe (ein Buch, oder zB ein Cardreader o.Ä.) wird über mindestens 3 Personen refundiert. Auftrag ins Finanzsystem rein, ein zweiter Referent schaut es sich an, und der Buchhalter macht der Überweisung. Und ja, das gilt auch für eine 13,- Zahlung...

Wir sind ein öffentliche Organisation, und jeden Euro ist belegt und kontrolliert....

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Ob öffentlich oder nicht spielt keine Rolle, glaub mir ... das ist leider überall so.

Zum Rest: Perfekt! Wichtig ist halt nur dass sich das Audit nicht nach dem Kunden richtet, sondern nach den eigenen Vorgaben arbeitet. Ich kenne leider Enterprises bei denen schön große Prüffirmen bestellt werden, aber mit dem Hinweis um Durchsicht vor "Finalisierung" des Ergebnisses. Wer zahlt schafft an, man muss da schon Eier beweisen um das auch durchzuziehen.

LG Mike

Eine Privatfirma hat Verantwortung gegenüber seine Eigentümer/Aktionäre, seine Mitarbeiter und seine Kunden.
Wir, als steuerfinanzierte Behörde haben Verantwortung gegenüber unsere 500 Millionen Steuerzahler...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Und dennoch verschwinden bei öffentlichen Firmen genug Gelder.

LG Mike

Bei Verdacht kann man gerne sich bei OLAF (EU Anti-Korruptionsbüro) melden. Die sind sehr genau. Vor einige Monate waren die bei uns, haben aber nichts gefunden auf der Meldung die sie bekommen haben...

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Es ist gut dass es eine externe Stelle gibt die dem nachgeht, daran scheiterts leider oft.

LG Mike

Die damalige CFO durfte damals direkt den Hut nehmen, paar Tage nach dem Bekanntwerden
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung