CEO-Fraud

3 Sicherheitstipps für Management & Mitarbeiter

Von in IT-Sicherheit
15
Aug
'19

CEO-Fraud-Attacken erfreuen sich bei Cyberkriminellen großer Beliebtheit. Warum? Weil sie fast immer erfolgreich sind. Die Gründe dafür: Unwissenheit und Mitarbeiter, die Angst davor haben, Entscheidungen des vermeintlichen Chefs infrage zu stellen.

Wir geben drei Tipps, die Ihnen dabei helfen, CEO-Fraud-Attacken vorzubeugen und Ihre Mitarbeiter entsprechend zu sensibilisieren.

ceo fraud

CEO-Fraud-Attacken können zum Sicherheitsfiasko werden.
© DiggityMarketing / Pixabay

CEO-Fraud – Definition & Erklärung

Die Bezeichnung dieser Cyberangriffsform ist im Prinzip selbsterklärend. „Fraud“ ist das englische Wort für Betrug und der CEO (Chief Executive Officer) ist der oberste Boss eines Unternehmens. Wobei der CEO hier eigentlich nur als Platzhalter dient, denn genauso können die Namen anderer Führungskräfte missbraucht werden.

Alternative Bezeichnungen für derartige Betrugsmaschen lauten daher auch BEC (Business E-Mail Compromise), Bogus Boss E-Mail, FPF (Fake Presidental Fraud) oder schlicht und einfach E-Mail-Fraud. Letzteres erklärt praktischerweise schon, wie der Betrug von statten geht.

Lesen Sie für weitere Informationen unseren einführenden Blogbeitrag zum CEO-Betrug.

So funktioniert eine E-Mail-Fraud-Attacke

Vereinfacht erklärt, kreieren die Betrüger eigene E-Mail-Adressen, die augenscheinlich vom CEO (oder einem anderen Management-Mitglied) stammen. Von dieser Adresse aus verschicken Sie beispielsweise Nachrichten an die Buchhaltung und fordern die Mitarbeiter auf, hohe Zahlungen anzuweisen – meist auf ausländische Konten. Die Methode ist so simpel, dass sogar diejenigen darauf hereinfallen, die es eigentlich am besten wissen müssen.

So zum Beispiel die Redaktion des IT-Magazins t3n. In ihrem Artikel „Bitte zahlen. Gruß, Chef“ beschreiben sie detailliert, wie sie selbst Opfer einer CEO-Fraud-Attacke wurden. Aber andere bleiben nicht verschont. Im Jahr 2016 wurde der bayrische Automobilzulieferer Leoni AG durch E-Mail-Fraud um 40 Millionen Euro erleichtert. Noch einmal zehn Millionen mehr kostete eine solche Attacke den Luftfahrtzulieferer FACC.

Als Alternative zur E-Mail werden auch immer wieder gefälschte Briefe verschickt. Dazu wird das offizielle Briefpapier eines Unternehmens ebenso kopiert wie zum Beispiel ein Stempel. Dazu noch eine gefälschte Unterschrift des großen Bosses und schon bald freuen sich die Kriminellen über einen reichen Geldsegen. Möglich ist all das, weil die Bösewichte vorher ihre Hausaufgaben machen. Sie recherchieren nicht nur die Namen der Führungsriege, sondern auch den Aufbau ihrer E-Mail-Adresse, ihren Schreibstil, die Signatur usw. Das FBI schätzt übrigens, dass durch BEC-Attacken jährlich knapp 3 Milliarden Dollar den Besitzer wechseln.

email fraud

Zu viel Respekt vor dem Chef kann teuer werden.
© geralt / Pixabay

Warum werden CEO-Fraud-Attacken oft nicht erkennt?

Diese Frage ist einfach zu beantworten. Erstens sorgen die Kriminellen – wie eben schon beschrieben – dafür, möglichst perfekte Fälschungen zu versenden, die weder auf den ersten, noch auf den zweiten Blick von den Mitarbeitern erkannt werden können. Das alles wird dann gepaart mit der „Angst“ der Mitarbeiter, die Entscheidungen des obersten Chefs zu hinterfragen. Ein „normaler“ Angestellter aus der Buchhaltung wäre seinen Job vermutlich recht schnell los, wenn er bei jeder Zahlung, die er buchen soll, erst einmal tausend Fragen stellt, statt der Aufforderung nachzukommen. Zudem gelten für Führungskräfte oft Ausnahmen von der Regel.

Der CEO selbst wird in vielen Unternehmen keinen Kostenantrag stellen oder von anderen Personen freigeben lassen müssen. Wenn er sagt, dass Summe X an Partei X gezahlt werden soll, wird das auch so gemacht. Besonders gefährdet sind daher vor allem Unternehmen, in denen noch sehr klassisch-autoritäre Strukturen bestehen.

Schutz vor E-Mail-Fraud-Attacken – Sicherheitstipps

Prinzipiell kann jedes Unternehmen Opfer einer CEO Fraud Attacke werden. Um aber die Gefahr zu minimieren oder entsprechende Angriffe zu erkennen, bevor irgendwelche Zahlungen angewiesen wurden, beachten Sie einfach die folgenden Tipps:

  1. Mitarbeiter sensibilisieren. Der Faktor Mensch ist immer noch ein Risiko, das keine Sicherheitssoftware der Welt lösen kann. Informieren Sie Ihre Mitarbeiter daher in regelmäßigen Abständen über aktuelle Betrugsmaschen und erstellen Sie einen Sicherheitsleitfaden, den jeder Angestellte lesen muss. Besonders wichtig: E-Mail-Absender prüfen. Schon die kleinste Abweichung in der E-Mail-Adresse ist ein untrügerisches Zeichen dafür, dass am anderen Ende nicht der Chef, sondern ein Betrüger steckt.
  2. Etablieren Sie ein Freigabekonzept für Zahlungen. Bedeutet: Egal ob die weitergeleitete Rechnung oder Zahlungsanweisung vom CEO oder vom Praktikanten kommt – die Buchhaltung muss jeden einzelnen Fall prüfen. Am einfachsten geht das, wenn man sich das Prinzip der Zwei-Faktor-Authentifizierung zunutze macht. Beispiel: Der CEO leitet der Buchhaltung per E-Mail eine hohe Rechnung weiter; der Mitarbeiter sucht den CEO entweder persönlich auf, um sich die finale Freigabe zu holen oder schickt ihm eine SMS auf sein Firmenhandy. Damit nicht das gesamte Unternehmen im Freigabeprozess-Chaos untergeht, legen Sie eine Mindestsumme fest, ab der eine zweite Freigabe eingeholt werden muss (z. B. 5.000 €).
  3. Besonders Führungskräfte sollten die Nutzung öffentlicher WLAN-Netze nach Möglichkeit vermeiden. Über so genannte Fake-Access-Points verschaffen sich Cyberkriminelle nämlich nur allzu gerne Zugang zu den mobilen Geräten.

 

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.