CEO-Betrug

Effizienter Schutz vor Social Engineering

Von in IT-Sicherheit
11
Mai
'17

Sie legen in Ihrem Unternehmen Wert auf IT-Sicherheit? Was tun Sie gegen die Schwachstelle Mensch? Denn  genau die machen sich Online-Betrüger zunutze. Mit dem CEO-Betrug, im Deutschen auch Chef-Trick genannt, ergaunern Cyberkriminelle Millionenbeträge von Unternehmen. Und die Zahl der betrogenen Betriebe, die Opfer dieses so genannten Social Engineering werden, steigt weiter.

Wie Sie Ihre Firma davor schützen können, erfahren Sie hier.

CEO-Betrug als Social Engineering

Social Engineering: Beim CEO-Betrug machen sich Cyberkriminelle die Autoritätshörigkeit Ihrer Firmenmitarbeiter zunutze.

Wie funktioniert der CEO-Betrug?

Der CEO-Betrug (auch CEO-Fraud oder Chef-Trick) wird häufig als Ableger des Enkel-Tricks bezeichnet, bei dem vornehmlich Senioren um Ihre Ersparnisse gebracht werden, weil sie dem angeblichen Enkel oder Neffen in finanzieller Not helfen möchten. Der CEO-Betrug funktioniert ganz ähnlich, nur das bei dieser Betrugsmasche aus dem hilfsbedürftigen Enkel ein zu respektierender Boss wird: Die Betrüger geben sich in einer gefälschten E-Mail oder in einem Telefonat als Vorstandsmitglied oder Geschäftsführer (CEO) aus und bitten um sensible Firmendaten oder dringende Überweisungen – alles natürlich streng vertraulich.

Die Folgen, wenn eine Firma Opfer des Chef-Tricks geworden ist, können gravierend sein: Große Geldsummen landen auf ausländischen Konten, oftmals ohne Chance, sie wieder zurückzuholen. Und die getäuschten Mitarbeiter verlieren meist als Konsequenz ihre Anstellung.

Lesen Sie in unserem Blog, mit welchen drei Sicherheitstipps Sie sich vor CEO-Frauds schützen können.

Was ist Social Engineering?

Social Engineering bedeutet so viel wie Trickbetrug beziehungsweise Soziale Manipulation. Offline sind die so genannten Social Engineers als Hochstapler bekannt. Im Internet zählen sie zu den Cyberkriminellen. Die Formen des Social Engineering sind vielfältig. Die bekannteste im Privatbereich ist wohl die Phishing-Mail.

Die momentan am häufigsten in der Wirtschaft anzutreffende ist der CEO-Betrug. Das Ziel der Online-Betrüger: Mitarbeiter eines Unternehmens so zu beeinflussen, dass diese vertrauliche Informationen wie zum Beispiel Netzwerk-Passwörter preisgeben, oder dass sie der Aufforderung nachkommen, Finanzmittel des Unternehmens zu transferieren. Cyberkriminelle spionieren dazu das persönliche und betriebliche Umfeld ihrer Opfer aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus – letzteres kommt besonders beim CEO-Betrug zum Tragen.

Social Engineering – kein neues Phänomen

Neu ist das Phänomen Social Engineering keineswegs. Einer der bekanntesten Trickbetrüger ist Frank Abagnale. Der US-amerikanische Hochstapler und Scheckbetrüger war gegen Ende der 1960er- bis Anfang der 1970er-Jahre aktiv. Verfilmt wurde seine Geschichte 2002 mit den Schauspielern Leonardo Di Caprio und Tom Hanks in dem Film „Catch Me If You Can“. Allerdings hat das Social Engineering mittlerweile eine ganz andere Qualität bekommen – globale Rechner-Vernetzung und Soziale Plattformen machen es möglich.

Ferienzeit ist Hochsaison für Online-Betrug

Voraussetzung für diese Betrugsmasche ist, dass sich die Täter einigermaßen gut in dem Unternehmen auskennen. Sie loten die internen Strukturen und richtigen Ansprechpartner aus. Wenn es um Geld geht, ereilt das Szenario CEO-Betrug vor allem Mitarbeiter in Buchhaltungs- und Finanzabteilungen, vornehmlich in Ferienzeiten wie den Sommermonaten oder zwischen Weihnachten und Neujahr – dann, wenn die Belegschaft eh schon ausgedünnt ist.

Anfällig für diesen Trick seien kleine und mittelständische Unternehmen ebenso wie Großkonzerne, erklärt das Bundeskriminalamt. Die Behörden gehen davon aus, dass hinter den Betrügereien keine Einzeltäter, sondern kriminelle Organisationen stecken. Das kann in Ihrem Unternehmen nicht passieren? Dann lesen Sie weiter, in wie vielen Fällen die Social Engineers schon Erfolg mit dieser Betrugsmasche hatten, obwohl die Landeskriminalämter die Unternehmen bereits seit Herbst 2015 vor dem CEO-Betrug warnen.

CEO-Fraud Social Engineering

Die Behörden gehen davon aus, dass beim CEO-Fraud nicht um Einzeltäter handelt, sondern um kriminelle Organisationen.

CEO-Betrug: 150 Millionen Euro Schaden

Laut einem Bericht der Welt wurden von 2013 bis August 2016 in Deutschland 250 Betrugsfälle mit dem CEO-Betrug bekannt. Der Gesamtschaden betrug 150 Millionen Euro. In den USA soll 2016 laut dem FBI ein Gesamtschaden von 2,3 Milliarden Dollar entstanden sein. Sicherheitsexperten warnen, dass die Vereinigten Staaten mittlerweile „abgegrast“ seien und  jetzt Frankreich und Deutschland in den Fokus der Cyberkriminellen rücken. In der Tat: In Deutschland werden immer mehr Betriebe Opfer dieser Betrugsmasche, das bestätigen die Landeskriminalämter. Die Behördenangaben zu Anzahl der Vorfälle und Schadenssummen schätzen Experten allerdings um ein Vielfaches höher ein: Welche Firma geht schon gern damit hausieren, Opfer geworden zu sein und seine Sicherheitslücken publik zu machen?

Social Engineering Beispiele in Deutschland

Fälle, in denen Unternehmen 2016 Opfer des CEO-Betrug als Form des Social Engineering geworden sind, sind teilweise erst jetzt bekannt geworden.

  • Die IHK Nord Westfalen berichtet von zehn Fällen, bei denen Unternehmen im Münsterland und in der Emscher-Lippe-Region auf die Betrugsmasche Chef-Trick reingefallen sind. Gesamtschaden: acht Millionen Euro.
  • Im Sommer gelingt es Betrügern, bei einem produzierenden Unternehmen in Mecklenburg-Vorpommern Transaktionen zu veranlassen. Finanzieller Verlust: rund 1,6 Millionen Euro.
  • 400.000 Euro erbeuten Betrüger bei einem produzierenden Unternehmen in Sachsen-Anhalt.
  • Um 40 Millionen Euro haben Cyberkriminelle den Nürnberger Autozulieferer Leoni mit dem Chef-Trick betrogen.

Wie Sie Ihr Unternehmen vor CEO-Betrug schützen

Wie man solchen Social-Engineering-Angriffen vorbeugt? Unternehmen müssen bei ihren Mitarbeitern vor allem Kompetenz in Sachen Gefahrenbewusstsein, Prävention und Reaktion aufbauen. Da sind sich Wirtschaftsverbände, Polizei und Cybercrime-Experten einig. Es gibt einige genau definierte Maßnahmen, die Ihr Unternehmen ergreifen kann, um einen CEO-Betrug zu verhindern. Bei ungewöhnlichen Zahlungsanweisungen sollten Mitarbeiter drei Schritte durchgehen, bevor sie eine Zahlung freigeben.

CEO-Betrug als Social Engineering

Aufklärung, Sicherheitskonzepte mit Handlungsanweisungen in Gefahrensituationen und technische Lösungen können helfen, Ihr Unternehmen davor zu schützen, Opfer des CEO-Betruges zu werden.

Sensibilisieren Sie Ihre Mitarbeiter

Zur Prävention erweisen sich folgende Maßnahmen als nützlich:

  • Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich einsehbar sind. Was und wo publizieren Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen?
  • Überprüfen Sie auch Ihre Privat-Accounts und Profileinstellungen auf Social-Media-Plattformen wie Facebook. Verraten Sie beispielsweise nicht der ganzen Welt, wo sie sich gerade befinden und mit wem.
  • Führen Sie klare Abwesenheitsregelungen ein
  • Überprüfen Sie Ihr internes Kontrollsystem in den Zahlungsverkehrs- und Stammdatenprozessen
  • Sensibilisieren Sie Ihre Mitarbeiter hinsichtlich der Betrugsphänome des Social Engineering
  • Lassen sie sich von Ihren Geschäftsbanken über mögliche Schutzmechanismen gegen ungewollte Überweisungen beraten
  • Testen Sie regelmäßig sowohl Ihre technische als auch organisatorische Informationssicherheit
  • Stärken Sie auch die Sicherheitskultur zu Geschäftspartnern, denn Kontrollen und Prozesse schützen vor bekannten Social Engineering Angriffen. Im Zweifel lieber noch einmal persönlich nachfragen.
  • Seien Sie auf einen Schadensfall vorbereitet, um schnell und gezielt reagieren zu können und den Schaden zu begrenzen
  • Führen Sie gegebenenfalls (CEO-Fraud-Awareness-)Schulungen für die im Unternehmen relevanten Mitarbeiter durch

Nutzen Sie diese technischen Mittel zum Schutz vorm CEO-Betrug

Auch technische Mittel können helfen: Eine einfache Lösung ist die Signatur von E-Mails. Dabei ist es sehr einfach und kryptografisch nachzuvollziehen, dass der Absender auch wirklich der Chef ist. Eine Secure-Mail-Lösung sollte eine fundierte Absendervalidierung vornehmen.

Experten empfehlen eine zweistufiges Sicherheitskonzept

Um die gefälschten E-Mails sicher von echten Schreiben des Chefs unterscheiden zu können, raten Sicherheitsexperten zu einem zweistufigen Social-Engineering-Awareness-Konzept.

  1. Prüfung der E-Mail-Absenderadresse (Mail-Envelope): Ein wesentlicher Punkt hierbei ist die Verifizierung der IP-Adresse des sendenden Mail-Servers. Wenn eine E-Mail aus der eigenen Mail-Domain empfangen wird, muss die IP Adresse mit einer der Adressen übereinstimmen, die im Secure-Mail-Gateway hinterlegt sind. Ist die E-Mail von einer anderen IP-Adresse eines nicht-autorisierten Mail-Server, landet Sie im SPAM-Ordner oder wird komplett abgewiesen.
  2. Prüfung des E-Mail-Header: Das E-Mail Gateway erkennt, ob eine zu prüfende E-Mail extern oder intern gesendet worden ist. Also wird geprüft, ob die eigene Unternehmens-Domain in der Absenderadresse vorkommt. Da eine interne Mail oftmals nicht von extern gesendet wird, kann die Mail ebenfalls zurückgewiesen werden.

Hier können Sie Social-Engineering-Angriffe melden

Finden Sie mit unserem Blogpost zu den zehn bekanntesten Social-Engineering-Methoden heraus, ob Sie Opfer eines Social-Engineering-Angriffs geworden sind. Ganz gleich, ob die Online-Betrüger mit dieser Masche bei Ihrem Unternehmen Erfolg hatten oder nicht,wenn Ihre Firma von Cyberkriminalität betroffen ist, wenden Sie sich an die „Zentralstelle und Ansprechpartner Cybercrime“ (ZAC) in Ihrem jeweiligen Bundesland.

Überprüfen Sie Ihre Sicherheitsmaßnahmen

Intelligent vernetzte Filter, Regeln und Prüfungen sind also lohnende Maßnahmen, um der Bedrohung durch Social Engineering Angriffe wie dem weit verbreiteten CEO-Betrug proaktiv zu begegnen. Das IT.SERVICE-NETWORK unterstützt Sie dabei. Unsere IT-Dienstleister analysieren, ob Ihre Mail-Securitiy-Infrastruktur auf dem neusten Stand ist und beraten Sie, um die für Ihr Unternehmen passende Secure-Mail-Lösung zu finden.

Linda Boegelein

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.