CEO-Fraud

Effizienter Schutz vor Social Engineering


11. Mai 2017, von in IT-Sicherheit

Sie legen in Ihrem Unternehmen Wert auf IT-Sicherheit? Was tun Sie gegen die Schwachstelle Mensch? Denn  genau die machen sich Online-Betrüger zunutze. Mit dem CEO-Fraud, im Deutschen auch Chef-Trick genannt, ergaunern Cyberkriminelle Millionenbeträge von Unternehmen. Und die Zahl der betrogenen Betriebe, die Opfer dieses so genannten Social Engineering werden, steigt weiter. Wie Sie Ihre Firma davor schützen können, erfahren Sie hier.

CEO-Fraud Social Engineering

Social Engineering: Beim CEO-Fraud machen sich Cyberkriminelle die Autoritätshörigkeit Ihrer Firmenmitarbeiter zunutze.

Was ist Social Engineering?

Social Engineering bedeutet so viel wie Trickbetrug beziehungsweise Soziale Manipulation. Offline sind die so genannten Social Engineers als Hochstapler bekannt. Im Internet zählen sie zu den Cyberkriminellen. Die Formen des Social Engineering sind vielfältig. Die bekannteste im Privatbereich ist wohl die Phishing-Mail. Die momentan am häufigsten in der Wirtschaft anzutreffende ist der so genannte CEO-Fraud, auch Chef-Trick genannt. Das Ziel der Online-Betrüger: Mitarbeiter eines Unternehmens so zu beeinflussen, dass diese vertrauliche Informationen preisgeben, zum Beispiel Netzwerk-Passwörter, oder dass sie der Aufforderung nachkommen, Finanzmittel des Unternehmens zu transferieren. Die Cyberkriminellen spionieren dazu das persönliche und betriebliche Umfeld ihrer Opfer aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus – letzteres kommt besonders beim CEO-Fraud zum Tragen.

Social Engineering – kein neues Phänomen

Neu ist das Phänomen Social Engineering keineswegs. Einer der bekanntesten Trickbetrüger ist Frank Abagnale. Der US-amerikanische Hochstapler und Scheckbetrüger war gegen Ende der 1960er- bis Anfang der 1970er-Jahre aktiv. Verfilmt wurde seine Geschichte 2002 mit den Schauspielern Leonardo Di Caprio  und Tom Hanks in dem Film „Catch Me If You Can“. Allerdings hat das Social Engineering mittlerweile eine ganz andere Qualität bekommen – globale Rechner-Vernetzung und Soziale Plattformen machen es möglich.

Wie funktioniert der CEO-Fraud?

Der Chef-Trick wird häufig als Ableger des Enkel-Tricks bezeichnet, bei dem vornehmlich Senioren um Ihre Ersparnisse gebracht werden, weil sie dem angeblichen Enkel oder Neffen in finanzieller Not helfen möchten. Der CEO-Fraud funktioniert ganz ähnlich, nur das bei dieser Betrugsmasche aus dem hilfsbedürftigen Enkel ein zu respektierender Boss wird: Die Betrüger geben sich in einer gefälschten E-Mail oder in einem Telefonat als Vorstandsmitglied oder Geschäftsführer (CEO) aus und bitten um sensible Firmendaten oder dringende Überweisungen – alles natürlich streng vertraulich.

In diesem Video erklärt das BKA, wie der CEO-Fraud funktioniert:

Der Chef-Trick und seine Folgen

Die Folgen, wenn eine Firma Opfer des Chef-Tricks geworden ist, können gravierend sein: Große Geldsummen landen auf ausländischen Konten, oftmals ohne Chance, sie wieder zurückzuholen. Und die getäuschten Mitarbeiter verlieren meist als Konsequenz ihre Anstellung.

Ferienzeit ist Hochsaison für Online-Betrug

Voraussetzung für diese Betrugsmasche ist, dass sich die Täter einigermaßen gut in dem Unternehmen auskennen. Sie loten die internen Strukturen und richtigen Ansprechpartner aus. Wenn es um Geld geht, ereilt das Szenario CEO-Fraud vor allem Mitarbeiter in Buchhaltungs- und Finanzabteilungen, vornehmlich in Ferienzeiten wie den Sommermonaten oder zwischen Weihnachten und Neujahr – dann, wenn die Belegschaft eh schon ausgedünnt ist.

Anfällig für diesen Trick seien kleine und mittelständische Unternehmen ebenso wie Großkonzerne, erklärt das Bundeskriminalamt. Die Behörden gehen davon aus, dass hinter den Betrügereien keine Einzeltäter, sondern kriminelle Organisationen stecken. Das kann in Ihrem Unternehmen nicht passieren? Dann lesen Sie weiter, in wie vielen Fällen die Social Engineers schon Erfolg mit dieser Betrugsmasche hatten, obwohl die Landeskriminalämter die Unternehmen bereits seit Herbst 2015 vor dem CEO-Fraud warnen.

CEO-Fraud Social Engineering

Die Behörden gehen davon aus, dass beim CEO-Fraud nicht um Einzeltäter handelt, sondern um kriminelle Organisationen.

CEO-Fraud: 150 Millionen Euro Schaden

Laut einem Bericht der Welt wurden von 2013 bis August 2016 in Deutschland 250 Betrugsfälle mit dem CEO-Fraud bekannt. Der Gesamtschaden betrug 150 Millionen Euro. In den USA soll 2016 laut FBI ein Gesamtschaden von 2,3 Milliarden Dollar entstanden sein. Sicherheitsexperten warnen, dass die Vereinigten Staaten mittlerweile „abgegrast“ seien und  jetzt Frankreich und Deutschland in den Fokus der Cyberkriminellen rücken. In der Tat: In Deutschland werden immer mehr Betriebe Opfer dieser Betrugsmasche, das bestätigen die Landeskriminalämter. Die Behördenangaben zu Anzahl der Vorfälle und Schadenssummen schätzen Experten allerdings um ein Vielfaches höher ein: Welche Firma geht schon gern damit hausieren, Opfer geworden zu sein und seine Sicherheitslücken publik zu machen.

Social Engineering Beispiele in Deutschland

Fälle, in denen Unternehmen 2016 Opfer des CEO-Fraud als Form des Social Engineering geworden sind, sind teilweise erst jetzt bekannt geworden.

  • Die IHK Nord Westfalen berichtet von zehn Fällen, bei denen Unternehmen im Münsterland und in der Emscher-Lippe-Region auf die Betrugsmasche Chef-Trick reingefallen sind. Gesamtschaden: acht Millionen Euro.
  • Im Sommer gelingt es Betrügern, bei einem produzierenden Unternehmen in Mecklenburg-Vorpommern Transaktionen zu veranlassen. Finanzieller Verlust: rund 1,6 Millionen Euro.
  • 400.000 Euro erbeuten Betrüger bei einem produzierenden Unternehmen in Sachsen-Anhalt.
  • Um 40 Millionen Euro haben Cyberkriminelle den Nürnberger Autozulieferer Leoni mit dem Chef-Trick betrogen.

Drei Schritte schützen Sie vorm CEO-Fraud

Wie man solchen Social Engineering Angriffen vorbeugt? Unternehmen müssen bei ihren Mitarbeitern vor allem Kompetenz in Sachen Gefahrenbewusstsein, Prävention und Reaktion aufbauen. Da sind sich Wirtschaftsverbände, Polizei und Cybercrime-Experten einig. Einige konkrete Maßnahmen, die Sie als Unternehmen ergreifen können, sind folgende:

Bei ungewöhnlichen Zahlungsanweisungen sollten Mitarbeiter diese drei Schritte durchgehen, bevor sie eine Zahlung freigeben:

  1. Überprüfen Sie die Schreibweise der E-Mail-Absenderadresse. Ist Sie korrekt geschrieben? Manchmal ist auch nur ein Punkt verändert.
  2. Verifizieren Sie die Zahlungsaufforderung durch einen Anruf oder eine schriftliche Rückfrage beim Auftraggeber. Drücken Sie dabei nicht automatisch auf den Button „Antworten“. Besser ist es, die E-Mail-Adresse des vermeintlichen Aufftraggebers per Hand einzugeben.
  3. Nehmen Sie persönlichen Kontakt mit der Geschäftsleitung beziehungsweise Ihren Vorgesetzten auf.
CEO-Fraud Social Engineering

Aufklärung, Sicherheitskonzepte mit Handlungsanweisungen in Gefahrensituationen und technische Lösungen können helfen, Ihr Unternehmen davor zu schützen, Opfer des CEO-Fraud zu werden.

Sensibilisieren Sie Ihre Mitarbeiter

Zur Prävention erweisen sich folgende Maßnahmen als nützlich:

  • Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich einsehbar sind. Was und wo publizieren Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen?
  • Überprüfen Sie auch Ihre Privat-Accounts und Profileinstellungen auf Social-Media-Plattformen wie Facebook. Verraten Sie beispielsweise nicht der ganzen Welt, wo sie sich gerade befinden und mit wem.
  • Führen Sie klare Abwesenheitsregelungen ein
  • Überprüfen Sie Ihr internes Kontrollsystem in den Zahlungsverkehrs- und Stammdatenprozessen
  • Sensibilisieren Sie Ihre Mitarbeiter hinsichtlich der Betrugsphänome des Social Engineering
  • Lassen sie sich von Ihren Geschäftsbanken über mögliche Schutzmechanismen gegen ungewollte Überweisungen beraten
  • Testen Sie regelmäßig sowohl Ihre technische als auch organisatorische Informationssicherheit
  • Stärken Sie auch die Sicherheitskultur zu Geschäftspartnern, denn Kontrollen und Prozesse schützen vor bekannten Social Engineering Angriffen. Im Zweifel lieber noch einmal persönlich nachfragen.
  • Seien Sie auf einen Schadensfall vorbereitet, um schnell und gezielt reagieren zu können und den Schaden zu begrenzen
  • Führen Sie gegebenenfalls (CEO-Fraud-Awareness-)Schulungen für die im Unternehmen relevanten Mitarbeiter durch

Nutzen Sie diese technischen Mittel zum Schutz vorm CEO-Fraud

Auch technische Mittel können helfen: Eine einfache Lösung ist die Signatur von E-Mails. Dabei ist es sehr einfach und kryptografisch nachzuvollziehen, dass der Absender auch wirklich der Chef ist. Eine Secure-Mail-Lösung sollte eine fundierte Absendervalidierung vornehmen.

Experten empfehlen eine zweistufiges Sicherheitskonzept

Um die gefälschten E-Mails sicher von echten Schreiben des Chefs unterscheiden zu können, raten Sicherheitsexperten zu einem zweistufigen Social Engineering Awareness Konzept.

  1. Prüfung der E-Mail-Absenderadresse (Mail-Envelope): Ein wesentlicher Punkt hierbei ist die Verifizierung der IP-Adresse des sendenden Mail-Servers. Wenn eine E-Mail aus der eigenen Mail-Domain empfangen wird, muss die IP Adresse mit einer der Adressen übereinstimmen, die im Secure-Mail-Gateway hinterlegt sind. Ist die E-Mail von einer anderen IP-Adresse eines nicht-autorisierten Mail-Server, landet Sie im SPAM-Ordner oder wird komplett abgewiesen.
  2. Prüfung des E-Mail-Header: Das E-Mail Gateway erkennt, ob eine zu prüfende E-Mail extern oder intern gesendet worden ist. Also wird geprüft, ob die eigene Unternehmens-Domain in der Absenderadresse vorkommt. Da eine interne Mail oftmals nicht von extern gesendet wird, kann die Mail ebenfalls zurückgewiesen werden.

Hier können Sie Social Engineering Angriffe melden

Ihr Unternehmen ist Opfer eines Social Engineering Angriffs geworden? Ganz gleich, ob die Online-Betrüger mit dieser Masche bei Ihrem Unternehmen Erfolg hatten oder nicht,wenn Ihre Firma von Cyberkriminalität betroffen ist, wenden Sie sich an die Zentralstelle und Ansprechpartner Cybercrime“ (ZAC) in Ihrem jeweiligen Bundesland.

Überprüfen Sie Ihre Sicherheitsmaßnahmen

Intelligent vernetzte Filter, Regeln und Prüfungen sind also lohnende Maßnahmen, um der Bedrohung durch Social Engineering Angriffe wie dem weit verbreiteten CEO-Fraud proaktiv zu begegnen. Das IT.SERVICE-NETWORK unterstützt Sie dabei. Unsere IT-Dienstleister analysieren, ob Ihre Mail-Securitiy-Infrastruktur auf dem neusten Stand ist und beraten Sie, um die für Ihr Unternehmen passende Secure-Mail-Lösung zu finden.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.