IT-Sicherheit

CEO-Fraud

3 Sicherheitstipps für Management & Mitarbeiter

von 15.08.2019
ceo fraud
CEO Fraud Attacken können zum Sicherheitsfiasko werden © DiggityMarketing / Pixabay

CEO-Fraud-Attacken erfreuen sich bei Cyberkriminellen großer Beliebtheit. Warum? Weil sie fast immer erfolgreich sind. Die Gründe dafür: Unwissenheit und Mitarbeiter, die Angst davor haben, Entscheidungen des vermeintlichen Chefs infrage zu stellen.
Wir geben drei Tipps, die Ihnen dabei helfen, CEO-Fraud-Attacken vorzubeugen und Ihre Mitarbeiter entsprechend zu sensibilisieren.

ceo fraud

CEO-Fraud-Attacken können zum Sicherheitsfiasko werden.
© DiggityMarketing / Pixabay

CEO-Fraud – Definition & Erklärung

Die Bezeichnung dieser Cyberangriffsform ist im Prinzip selbsterklärend. „Fraud“ ist das englische Wort für Betrug und der CEO (Chief Executive Officer) ist der oberste Boss eines Unternehmens. Wobei der CEO hier eigentlich nur als Platzhalter dient, denn genauso können die Namen anderer Führungskräfte missbraucht werden.
Alternative Bezeichnungen für derartige Betrugsmaschen lauten daher auch BEC (Business E-Mail Compromise), Bogus Boss E-Mail, FPF (Fake Presidental Fraud) oder schlicht und einfach E-Mail-Fraud. Letzteres erklärt praktischerweise schon, wie der Betrug von statten geht.

Lesen Sie für weitere Informationen unseren einführenden Blogbeitrag zum CEO-Betrug.

So funktioniert eine E-Mail-Fraud-Attacke

Vereinfacht erklärt, kreieren die Betrüger eigene E-Mail-Adressen, die augenscheinlich vom CEO (oder einem anderen Management-Mitglied) stammen. Von dieser Adresse aus verschicken Sie beispielsweise Nachrichten an die Buchhaltung und fordern die Mitarbeiter auf, hohe Zahlungen anzuweisen – meist auf ausländische Konten. Die Methode ist so simpel, dass sogar diejenigen darauf hereinfallen, die es eigentlich am besten wissen müssen.
So zum Beispiel die Redaktion des IT-Magazins t3n. In ihrem Artikel „Bitte zahlen. Gruß, Chef“ beschreiben sie detailliert, wie sie selbst Opfer einer CEO-Fraud-Attacke wurden. Aber andere bleiben nicht verschont. Im Jahr 2016 hat eine Attacke den bayrischen Automobilzulieferer Leoni AG durch einen E-Mail-Fraud um 40 Millionen Euro gebracht. Noch einmal zehn Millionen mehr kostete eine solche Attacke den Luftfahrtzulieferer FACC.
Als Alternative zur E-Mail verschicken Betrüger auch immer wieder gefälschte Briefe. Dazu wird das offizielle Briefpapier eines Unternehmens ebenso kopiert wie zum Beispiel ein Stempel. Dazu noch eine gefälschte Unterschrift des großen Bosses und schon bald freuen sich die Kriminellen über einen reichen Geldsegen. Möglich ist all das, weil die Bösewichte vorher ihre Hausaufgaben machen. Sie recherchieren nicht nur die Namen der Führungsriege, sondern auch den Aufbau ihrer E-Mail-Adresse, ihren Schreibstil, die Signatur usw. Das FBI schätzt übrigens, dass durch BEC-Attacken jährlich knapp 3 Milliarden Dollar den Besitzer wechseln.

email fraud

Zu viel Respekt vor dem Chef kann teuer werden.
© geralt / Pixabay

Warum werden CEO-Fraud-Attacken oft nicht erkennt?

Diese Frage ist einfach zu beantworten. Erstens sorgen die Kriminellen – wie eben schon beschrieben – dafür, möglichst perfekte Fälschungen zu versenden, die weder auf den ersten, noch auf den zweiten Blick von den Mitarbeitern erkannt werden können. Das alles wird dann gepaart mit der „Angst“ der Mitarbeiter, die Entscheidungen des obersten Chefs zu hinterfragen. Ein „normaler“ Angestellter aus der Buchhaltung wäre seinen Job vermutlich recht schnell los, wenn er bei jeder Zahlung, die er buchen soll, erst einmal tausend Fragen stellt, statt der Aufforderung nachzukommen. Zudem gelten für Führungskräfte oft Ausnahmen von der Regel.
Der CEO selbst wird in vielen Unternehmen keinen Kostenantrag stellen oder von anderen Personen freigeben lassen müssen. Wenn er sagt, dass Summe X an Partei X gezahlt werden soll, wird das auch so gemacht. Besonders gefährdet sind daher vor allem Unternehmen, in denen noch sehr klassisch-autoritäre Strukturen bestehen.

Schutz vor E-Mail-Fraud-Attacken – Sicherheitstipps

Prinzipiell kann jedes Unternehmen Opfer einer CEO Fraud Attacke werden. Um aber die Gefahr zu minimieren oder entsprechende Angriffe zu erkennen, bevor irgendwelche Zahlungen angewiesen wurden, beachten Sie einfach die folgenden Tipps:

  1. Mitarbeiter sensibilisieren. Der Faktor Mensch ist immer noch ein Risiko, das keine Sicherheitssoftware der Welt lösen kann. Informieren Sie Ihre Mitarbeiter daher in regelmäßigen Abständen über aktuelle Betrugsmaschen und erstellen Sie einen Sicherheitsleitfaden, den jeder Angestellte lesen muss. Besonders wichtig: E-Mail-Absender prüfen. Schon die kleinste Abweichung in der E-Mail-Adresse ist ein untrügerisches Zeichen dafür, dass am anderen Ende nicht der Chef, sondern ein Betrüger steckt.
  2. Etablieren Sie ein Freigabekonzept für Zahlungen. Bedeutet: Egal ob die weitergeleitete Rechnung oder Zahlungsanweisung vom CEO oder vom Praktikanten kommt – die Buchhaltung muss jeden einzelnen Fall prüfen. Am einfachsten geht das, wenn man sich das Prinzip der Zwei-Faktor-Authentifizierung zunutze macht. Beispiel: Der CEO leitet der Buchhaltung per E-Mail eine hohe Rechnung weiter; der Mitarbeiter sucht den CEO entweder persönlich auf, um sich die finale Freigabe zu holen oder schickt ihm eine SMS auf sein Firmenhandy. Damit nicht das gesamte Unternehmen im Freigabeprozess-Chaos untergeht, legen Sie eine Mindestsumme fest, ab der eine zweite Freigabe eingeholt werden muss (zum Beispiel 5.000 €).
  3. Besonders Führungskräfte sollten die Nutzung öffentlicher WLAN-Netze nach Möglichkeit vermeiden. Über sogenannte Fake-Access-Points verschaffen sich Cyberkriminelle nämlich nur allzu gern Zugang zu den mobilen Geräten.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen