Wichtige Kennzahlen zu CEO-Fraud in Unternehmen
Millionen Euro im Jahr erbeutete eine Gruppe Cyberkrimineller durch CEO-Fraud in Deutschland zwischen 2014 und 2017
%
beträgt die Erfolgsquote bei CEO-Fraud Attacken laut Info Security Magazine
Perfekte Planung ist die halbe Miete: Die Vorbereitungsphase eines CEO-Frauds
Im Visier eines CEO-Frauds steht in der Regel eine einzige Person. Meist ein Mitarbeiter der Buchhaltung mit direkter Befugnis für Überweisungen. Um den Betrug so authentisch wie möglich durchführen zu können, bedarf es zunächst einer außerordentlich guten Vorbereitung. Das Zauberwort hierbei heißt Social Engineering. Beim Social Engineering versuchen die Kriminellen im Vorfeld so viele Informationen wie möglich über ihr Opfer herauszufinden. In sozialen Netzwerken wie Facebook, Linkedin oder Xing werden sie fündig. Meist ist es ein Leichtes, so an Informationen wie die Berufsbezeichnung, den Arbeitsort oder sogar das komplette Organigramm eines Unternehmens zu gelangen.
Angriffsphase eines CEO-Frauds: Tricksen und Täuschen
Haben die Erpresser erst einmal genügend relevante Informationen gesammelt, beginnt die erste Kontaktaufnahme und damit die Angriffsphase des CEO-Fraud. Die Angreifer müssen es nun schaffen, eine gewisse Vertrautheit bei der Zielperson zu suggerieren. Dies leisten sie, indem sie sich in ihrer E-Mail auf aktuelle Themen aus dem Unternehmen beziehen. Dabei kann es sich beispielsweise um eine bevorstehende Übernahme oder neue Umsatzzahlen handeln, die sie im Vorfeld aus Pressemitteilungen entnommen haben.
Um dem Betrug die Krone aufzusetzen, legen einige Kriminelle E-Mail-Adressen an, die der E-Mail-Adresse des Geschäftsführers ähneln. Ein perfider Trick hierbei ist es, bestimmte Buchstaben einfach durch täuschend ähnlich aussehende Buchstaben zu ersetzen. Der Buchstabe „L“ in mueller@beispielunternehmen kann zum Beispiel sehr simpel durch ein großes „I“ ersetzt werden. Für den Laien ist dieser von Experten als Spoofing bezeichnete Schwindel nur bei sehr genauem Hinsehen zu erkennen.
Ein weiterer Trick ist das Vortäuschen einer bereits bestehenden E-Mail-Kommunikation. Weiß der Angreifer, mit welchen Personen der Chef eines Unternehmens üblicherweise kommuniziert und im für ihn besten Fall sogar über welche Themen, kann er eine solche Kommunikation nachahmen. Gefälschte Logos und E-Mail-Signaturen runden das Gesamtbild ab.
Was macht den Erfolg der Betrugsmasche aus?
Wie auch bei anderen Cyberattacken, stellen die Mitarbeiter selbst den größten Risikofaktor dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon seit langem vor einem zu sorglosen Umgang mit persönlichen Daten. Doch auch die Unternehmen tragen ihren Beitrag dazu bei. Sie veröffentlichen eine Vielzahl von Informationen in den sozialen Netzwerken, die zu Marketingzwecken dienen sollen. So haben Angreifer leichtes Spiel und können sich ohne große Schwierigkeiten an einer Vielzahl von Inhalten bedienen.
Ein weiterer entscheidender Faktor der Betrugsmasche stellt die psychologische Komponente dar. Die Angreifer nutzen hier gezielt Emotionen, wie etwa Respekt und Vertrauen vor der nächst höheren Hierarchieebene schamlos aus, um ihre Opfer zu manipulieren. Durch die langwierige Vorbereitung und die meist sehr ausgefeilte Umsetzung kann der CEO-Fraud so sehr hohe Erfolgsquoten erzielen.
CEO Fraud: Wie schütze ich mein Unternehmen davor?
Ein gesundes Misstrauen und die richtige Aufklärung sind das A und O im Kampf gegen die Chef-Masche. Aus Sicht eines Unternehmens macht es zum Beispiel Sinn, der Unwissenheit vieler Mitarbeiter mit regelmäßig stattfindenden Infoveranstaltungen entgegenzuwirken. So kann gezielt auf die Tricks der Betrüger, wie die Buchstabendreher oder falsche Signaturen hingewiesen werden.
Auch der Einsatz eines E-Mail-Verschlüsselungsservice kann hier Abhilfe schaffen, da eine falsche oder fehlende Signatur auf diesem Weg sofort ins Auge fällt. Wer sich trotz allen Vorkehrungen nicht sicher ist, ob eine E-Mail wirklich „echt“ ist, sollte sich bei dem vermeidlichen Absender einer E-Mail zum Beispiel telefonisch rückversichern. Dies kostet nur wenig Zeit und kann einen möglichen Betrug schon im Anfangsstadium unterbinden.
Mittlerweile existieren sogar Mittel und Wege, solche betrügerischen E-Mails erst gar nicht in die Postfächer der Mitarbeiter gelangen zu lassen. Managed Security Services, wie Advanced Threat Protection von Hornetsecurity sind mittels ausgeklügelter Forensiksysteme in der Lage, hochkomplexe Angriffsmuster wie CEO-Fraud zu durchschauen und sie im Vorfeld zu blockieren. Sobald ein Angriff entdeckt wird, schickt ATP eine automatisierte Benachrichtigung an die Sicherheitsverantwortlichen. Auf diese Weise wird dem CEO-Fraud sofort der Wind aus den Segeln genommen und Ihre Mitarbeiter können sich wieder voll und ganz auf ihre eigentlichen Aufgaben konzentrieren.
Vielleicht ebenfalls für Sie von Interesse:
- Weitere Informationen zum Thema Cybersicherheit finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
- Hornetsecurity Services zum Schutz vor CEO-Fraud: Aeternum & Advanced Threat Protection