CEO-Fraud, auch bekannt als Executive Phishing oder Business Email Compromise, ist eine Variante der Cyberkriminalität, bei der sich der*die Täter*in als CEO, CFO oder eine andere Führungskraft des Unternehmens ausgibt. Diese Betrugsmasche entpuppt sich als besonders gefährlich. Durch die Autoritäts-Ausnutzung der Geschäftsführung oder weisungsbefugter Entscheidungsträger des Unternehmens können Täter*innen an äußerst sensible Informationen oder finanzielle Mittel gelangen. Dabei verwenden die Betrüger*innen einige einfache IT-Tricks, die Sie viel Geld kosten können.
CEO-Fraud kommt häufiger vor, als Sie denken
Laut eines FBI-Berichts aus dem Jahr 2020 hat das Internet Crime Complaint Center (IC3) des FBI 19.369 Beschwerden im Zusammenhang mit Business Email Compromise (BEC) erhalten, die insgesamt einen Schaden von ca. 1,8 Milliarden US-Dollar verursacht haben. Nach Angaben des FBI nimmt diese Art der Cyberkriminalität gerade jetzt, wo so viele Menschen im Home Office arbeiten, stetig zu.
Im Jahr 2018 enthüllte die Zeitung The Boston Globe, dass die gemeinnützige Organisation Save the Children durch einen E-Mail-Betrugsfall ca. 1 Million US-Dollar verloren hat. Cyberkriminelle haben sich Zugang zum E-Mail-Konto eines Mitarbeiters in der Organisation verschafft und gefälschte Rechnungen sowie Dokumente versandt, die die Organisation dazu veranlassten, hohe Geldbeträge an betrügerische Unternehmen in Japan zu überweisen.
Toyota, ein Zulieferer von Autoteilen, fiel ebenfalls CEO Betrugstäuschungen zum Opfer, die das Unternehmen im Jahr 2019 ca. 37 Millionen US-Dollar kosteten. Cyberkriminelle haben laut CPO Magazine eine Führungskraft in der Finanzabteilung ausgetrickst und dazu gebracht, eine Überweisung zu tätigen.
Erst kürzlich setzte ein Cyberkrimineller sogar eine KI-basierte Software ein, mit welcher er die Stimme eines Geschäftsführers imitieren konnte und somit eine unrechtmäßige Überweisung von 220.000€ an einen ungarischen Lieferanten eines Energieunternehmens aus Großbritannien anforderte.
Aber es sind nicht nur große Organisationen, die von Kriminellen ins Visier genommen werden. Auch kleinere (Familien-)Unternehmen sind gefährdet. Oft sind auch umsatzstarke Kleinunternehmer unter den Opfern dieser Angriffe. Da viele Fälle aus dem Bereich der Online-Kriminalität und des Betrugs nicht angezeigt werden, ist die Dunkelziffer solcher Vorfälle als auch die daraus resultierenden tatsächlichen Verluste vermutlich wesentlich höher als derzeit bekannt.
In diesem Blogbeitrag erklären wir, wie CEO-Betrugsangriffe funktionieren und wie Sie die Taktiken der Angreifer einfach durchschauen können.
Was ist CEO-Fraud?
Häufig verwenden Cyberkriminelle das E-Mail-Konto einer vertrauenswürdigen Führungskraft in einem Unternehmen (z. B. das des Geschäftsführers) – oder eine sehr ähnlich aussehende E-Mail-Adresse, – um eine*n Mitarbeiter*in dazu zu bringen, ihnen Geld zu senden oder äußerst vertrauliche Informationen zu übermitteln. Der*die Angreifer*in gibt sich als ein*e weisungsbefugte*r Entscheidungsträger*in aus, um sicherzustellen, dass die Zielperson das tut, was man ihr sagt. Viele Mitarbeiter*innen hinterfragen ihre*n Vorgesetzte*n nur ungern und kommen deswegen seinen*ihren Aufforderungen einfach nach.
CEO-Fraud sollte jedoch nicht mit „Whaling“ verwechselt werden. Dabei handelt es sich um einen Phishing-Angriff, bei dem der Cyberkriminelle den CEO sowie andere leitende Angestellte des Unternehmens ins Visier nimmt, anstatt sich als diese auszugeben. Im Gegensatz zu Phishing, bedient sich der*die Täter*in beim CEO-Fraud weiterer Social-Engineering-Strategien, wie z. B. Telefonbetrug.
So funktionieren CEO-Betrugsangriffe
Wie alle Social-Engineering-Angriffe nutzen auch CEO-Betrugsmaschen das Vertrauen von Menschen und das Gefühl der Dringlichkeit aus. Wenn der CEO um einen dringenden Gefallen bittet, neigen die meisten Mitarbeiter*innen nicht dazu, ihn zu hinterfragen.
Es gibt in der Regel zwei Methoden, wie Cyberkriminelle auf das E-Mail-Konto des*der Geschäftsführers*in zugreifen können:
-
Hacking: Das geschäftliche E-Mail-Konto des*der Geschäftsführers*in wird kompromittiert und dazu verwendet, um E-Mails an Mitarbeiter*innen zu versenden.
-
Eine gezielte Phishing-E-Mail, auch bekannt als Spear-Phishing (Spear-Phishing): Hierbei wird eine E-Mail von einer gefälschten, fast identischen E-Mail-Adresse wie die des*der Geschäftsführers*in abgesendet, wobei sich die Betrüger*innen als jene ausgeben.
Die sieben häufigsten Angriffsszenarien beim CEO-Fraud
Die Sensibilisierung für das Problem ist der Schlüssel zur Prävention solcher Angriffe. Darum haben wir eine Übersicht über die häufigsten Angriffsszenarien beim CEO-Fraud erstellt:
-
Phishing mit Überweisungen: Ein Mitarbeiter*in erhält eine Nachricht von einem gehackten oder vorgetäuschten E-Mail-Konto des*der Geschäftsführers*in mit der Aufforderung, eine Rechnung zu bezahlen.
-
Geschenkgutschein-Phishing: Der*die Angreifer*in bittet die Zielpersonen darum, ihnen Geschenkgutscheine zu kaufen (zum Beispiel als Überraschung für eine*n Kollegen*in).
-
Ein schädlicher Anhang: Die E-Mail enthält einen Malware-Anhang (Phishing).
-
Geldüberweisung an einen ausländischen Lieferanten: Dieser Betrug zielt auf langjährig bestehende Beziehungen mit einem Lieferanten ab mit der Bitte, das Geld auf ein anderes Bankkonto als sonst üblich zu überweisen.
-
Betrügerische Rechnungen: Die Lieferanten des Unternehmens erhalten betrügerische Rechnungen von einem*r Cyberkriminellen, der sich als Führungskraft ausgibt und – Sie ahnen es schon – darum bittet, das Geld auf ein anderes Bankkonto überweisen zu lassen.
-
Vertrauliche Informationen: Die Betrüger*innen geben sich als Anwälte oder Führungskräfte aus, die mit vertraulichen und zeitkritischen Geschäftsvorgängen betraut sind, und fordern geheime Informationen an.
-
Datendiebstahl: Eine „Führungskraft“ bittet die Personalabteilung, die Buchhaltung oder die Wirtschaftsprüfung um die Übermittlung aller Gehaltsabrechnungen, Steuererklärungsformulare oder eine Unternehmensliste mit personenbezogenen Daten.
Auf solche E-Mails folgen häufig noch Anrufe von einer Person, die sehr vertrauenswürdig klingt und den Mitarbeiter*in dazu auffordert, die Zahlungen zu beschleunigen. Nach der Zahlung verschieben die Cyberkriminellen die Gelder dann auf andere Bankkonten.
So verhindern Sie CEO-Betrugsangriffe
Es ist wichtig, dass die Beschäftigte des Unternehmens zum Thema Sicherheit geschult und mit dem nötigen Wissen ausgestattet werden. Es muss ihnen bewusst gemacht werden, wie wichtig es ist bei E-Mail-Adressen, Unternehmensnamen und Anfragen, die auch nur den geringsten Verdacht erwecken, genau hinzuschauen.
Manchmal reicht es schon aus, sich E-Mails, Website-URLs, Textnachrichten oder Details von Sprachnachrichten genauer anzusehen und einen Rechtschreibfehler oder eine leicht abweichende E-Mail-Adresse zu entdecken.
Zudem ist es empfehlenswert, dass im Unternehmen Richtlinien für Geldüberweisungen bestehen. Zum Beispiel könnte eine solche Richtlinie beinhalten, dass Mitarbeiter*innen bei Zahlungsaufforderungen die Multi-Faktor-Authentifizierung einsetzen. Diese Richtlinien sollten in einer Acceptable Use Policy festgehalten werden.
Schützen Sie ihr Unternehmen vor der CEO-Betrugsmasche
Die Person, die sich als Geschäftsführer*in ausgibt, wird häufig versuchen, den Mitarbeiter*in unter Druck zu setzen, indem er knappe Fristen setzt. Um sich glaubhaft als Geschäftsführer*in ausgeben zu können, bemühen sich die Angreifer*innen um eine sorgfältige und detaillierte Recherche und nutzen Situationen aus, in denen die betreffende Führungskraft schwer erreichbar ist, z. B. wenn sie im Urlaub oder auf einer Konferenz ist. Was können Sie also unternehmen, wenn Sie als Mitarbeiter*in eine E-Mail erhalten und dahinter einen CEO-Betrug vermuten?
-
Bei unerwarteten Zahlungsaufforderungen, die außerhalb des üblichen Zahlungsrhythmus liegen, sollte man unabhängig von der Höhe des Betrags immer vorsichtig sein.
-
Überprüfen Sie jede Geldüberweisung. Alle Zahlungsaufforderungen mit neuen oder geänderten Bankdaten, die per E-Mail, Brief oder Telefon eingehen, sollten zunächst überprüft werden. Dazu zählen auch interne E-Mails mit Zahlungsaufforderungen.
-
Fragen Sie immer bei der Person nach, von der Sie ausgehen, dass sie die E-Mail gesendet hat. So können Sie immer sicherstellen, dass die E-Mail auch wirklich vom echten Absender kam, egal, wie beschäftigt Sie beide seid. Falls die Person nicht erreichbar und die E-Mail dringlich ist, wenden Sie sich an einen Ihrer Vorgesetzten. Das sollten Sie jedoch nicht per E-Mail tun, für den Fall, dass auch deren Konten gehackt wurden. Stattdessen sollten Sie die Person anrufen und sie persönlich fragen oder eine andere vertrauenswürdige Kommunikationsmethode verwenden.
-
Falls bei Ihnen Zweifel aufkommen, nehmen Sie die Zahlung nicht vor, auch wenn sie noch so dringlich erscheint oder mit negativen Folgen gedroht wird.
-
Informieren Sie alle Mitarbeiter*innen über diese Art des Betrugs, insbesondere diejenigen, die Zahlungen vornehmen oder Dateien installieren.
-
Implementieren Sie eine Zwei-Faktor-Verifizierung, bevor eine Zahlung getätigt wird.
-
Seien Sie vorsichtig, wie viele Informationen Sie über Ihr Unternehmen und Ihre Führungskräfte über Social-Media-Plattformen und automatische Abwesenheitsantworten preisgeben.
-
Sie sollten in Erwägung ziehen, Informationen wie Kundenreferenzen oder Testimonials von Ihrer eigenen Website und Ihren Social-Media-Kanälen sowie denen Ihrer Lieferanten zu entfernen. Diese Informationen können dazu führen, dass Betrüger*innen herausfinden, wer Ihre Lieferanten sind.
Damit sind wir am Ende unserer Übersicht angekommen, was sich hinter dem Begriff CEO-Fraud verbirgt und was Sie unternehmen können, um solche Angriffe in Ihren Unternehmen zu verhindern. Aber was ist zu tun, wenn Ihr Unternehmen dennoch einem CEO-Betrugsangriff zum Opfer fällt?
Dringliche Maßnahmen, die Sie ergreifen müssen, wenn Ihr Unternehmen Opfer eines CEO-Betrug Angriffs geworden ist
Wir haben bereits oben erläutert, dass eine nicht autorisierte Geldüberweisung, die Preisgabe von vertraulichen Informationen und ein mit Malware infiziertes System alle unter die Kategorie des CEO-Betrugs fallen können.
Im Falle von betrügerischen Geldüberweisungen sollten Sie:
-
Sofort Ihre Bank kontaktieren und mit der Abteilung für Cybersicherheit sprechen.
-
Die Strafverfolgungsbehörden informieren.
-
Eine Krisensitzung einberufen, um den Vorstand und die Geschäftsleitung über den Vorfall zu informieren sowie die bereits unternommenen Schritte und weitere zu ergreifende Maßnahmen erklären.
-
Zu guter Letzt sollten Sie Ihre Cybersicherheitsmaßnahmen weiter optimieren und Spezialisten für IT-Sicherheit hinzuziehen.
Im Falle eines Malware-Angriffs sollten Sie sofort die IT-Abteilung darüber informieren. Das IT-Team Ihres Unternehmens kann verhindern, dass noch weitere Geräte infiziert werden, und die Kompromittierung Ihrer persönlichen Daten und die des Unternehmens verhindern.
Wenn es zu einer Verletzung der Geheimhaltungspflicht kam, sollte am besten der Datenschutzbeauftragte (DSB) kontaktiert werden. Der DSB kennt alle notwendigen Maßnahmen für die interne und öffentliche Reaktion auf den Vorfall, da auch die Behörden innerhalb von 72 Stunden informiert werden müssen.
Wir hoffen, dass dieser Artikel Ihnen und Ihrem Team helfen wird, CEO-Betrugsangriffe in Ihrem Unternehmen zu verhindern. Am besten lässt sich ein Schutz vor solchen Angriffen gewährleisten, indem Sie Ihr Team auf die Thematik CEO-Fraud sensibilisieren und regelmäßig schulen.
Sie können sich auch kostenloses E-Book durchlesen, in dem wir Ihnen erklären, wie Ihr Team die beste Verteidigung gegen Cyberangriffe und Datenschutzverletzungen werden kann.
