CEO Fraud: So tappst du nicht in die Falle

CEO Fraud ist eine besonders heimtückische Form von Cyberkriminalität. Der Betrüger gibt sich gegenüber entscheidungsbefugten Firmenangestellten als Geschäftsführer (Chief Executive Officer = CEO) aus. In letzter Zeit beobachten wir, dass diese E-Mails immer öfter vom CFO (Chief Financial Officer) stammen. Ziel des Angreifers ist es, durch gefälschte E-Mails an große Geldbeträge zu kommen. CEO Fraud wird auch als CEO-Betrug, Fake President Fraud oder Chef Betrug bezeichnet.

CEO Fraud funktioniert nach einem sehr einfachen Muster – vorausgesetzt man ist skrupellos genug.

1. Informationsbeschaffung

Cyber-Kriminelle sammeln in einem ersten Schritt so viel Informationen über das Unternehmen wie möglich. Je mehr Insiderwissen, desto glaubwürdiger die Story, die sie dem jeweiligen Mitarbeiter auftischen. Firmenwebsites, Geschäftsberichte, Handelsregister, Werbebroschüren und Presse-Artikel eignen sich hervorragend. Und natürlich sind Social-Media-Kanäle ein gefundenes Fressen, da hier persönliche Informationen auf dem Präsentierteller dargeboten werden.

2. Kontaktaufnahme per Mail oder telefonisch

Hat der Täter ausreichend Informationen ausgekundschaftet, geht’s los. Am häufigsten geschieht die Kontaktaufnahme per E-Mail. In diesem Fall ist der CEO-Betrug eine Form von Business E-Mail Compromise (BEC). Manche Täter greifen auch zum Telefon und geben sich als Chef aus. Dabei wird die Stimme des Geschäftsführers mit Hilfe einer künstlichen Intelligenz (KI) täuschend echt nachempfunden. Diese Form der Stimmenmanipulation wird Deepfake genannt.

Damit der kontaktierte Mitarbeiter keinen Verdacht schöpft, gehen die Täter sehr geschickt vor. Sie konstruieren eine dringliche Situation oder einen Notfall, der einen Geldtransfer erforderlich macht. Mit Hilfe der ausspionierten Interna kann der Betrüger ein plausibles Szenario entwerfen, das einen Geldtransfer rechtfertigt. Es ist zum Beispiel die Rede von einer streng geheimen Angelegenheit, die höchste Diskretion erfordert.

3. Show-down

Das abgekartete Spiel endet oft damit, dass der Mitarbeiter den geforderten Betrag auf das Konto der Täter überweist. Im guten Glauben, damit im Auftrag des Chefs zu handeln. In manchen Fällen stehlen Cyberkriminelle auf diese Weise auch vertrauliche Firmeninformationen oder Patente. Die Spur des Täters lässt sich nur in seltenen Fällen nachverfolgen und es folgt ein böses Erwachen.

CEO Fraud ist ein Variante der Internetkriminalität, die auf die „Schwachstelle Mensch“ abzielt. Diese Vorgehensweise nennt man Social Engineering. Beim Social Engineering geht es um die Beeinflussung einer Person, mit dem Ziel, diese zu einer bestimmten Handlung zu animieren.

Betrachte es mal so: Sich erfolgreich in fremde Systeme zu hacken, wird immer schwieriger, denn die Sicherheitssysteme von Unternehmen verbessern sich ständig. Im Falle von CEO Fraud wird keine IT-Sicherheitslücke ausgenutzt. Die Achillesferse ist die menschliche Psyche, die der Kriminelle hinterlistig manipuliert.

In rund 98 Prozent aller Fälle handelt es sich bei CEO Fraud um E-Mails vom CEO oder CFO, deren Adresse sich geringfügig von der echten E-Mail-Adresse unterscheidet. Wenn du genau hinschaust, ist die Täuschung leicht zu entlarven. Der angezeigte Name ist zwar korrekt, aber die dahinterliegende E-Mail-Adresse ist beispielsweise eine beliebige Gmail-Adresse. Cyberkriminelle verwenden auch Domainnamen, die jenem des Unternehmens auf den ersten Blick sehr ähnlich sind. Manchmal unterscheiden sie sich nur durch ein oder zwei Buchstaben.

Bei den restlichen zwei Prozent der Fälle geschieht CEO Fraud in Kombination mit Hacking. Die Hacker verschaffen sich Zugang zum IT-System, insbesondere zu den E-Mail-Konten. Der einfachste Weg dahin führt über Phishing E-Mails, in denen Mitarbeiter zur Preisgabe ihrer E-Mail-Passwörter aufgefordert werden.

Jetzt können die Täter die E-Mail-Konversation wochenlang beobachten, um Hierarchien, Prozesse und Projekte im Unternehmen zu studieren. Sobald sich die Gelegenheit für ein lohnendes Geschäft eröffnet, schlagen die Angreifer zu. Ein solches Ereignis könnte zum Beispiel die Finanzierung eines Projektes sein, eine Firmenübernahme oder die Begleichung einer Kundenrechnung. Jetzt wird im Namen des CEO oder CFOs unbemerkt die Kommunikation übernommen. Dieses Katz und Maus Spiel kann sich über viele Wochen hinziehen, bis am Ende ein größerer Betrag auf das Konto der Betrüger überwiesen wird.

Die Schäden im Zusammenhang mit CEO Fraud gehen nach Schätzungen der US-Bundespolizei FBI weltweit in die Milliarden, so das Handelsblatt in seiner Online-Ausgabe vom Juni 2019. Professionell vorgehende Täter haben allzu oft ein leichtes Spiel, da die Autorität des Chefs nicht in Frage gestellt wird. Gerade Unternehmen mit autoritärem Führungsstil sind stark gefährdet. Selbst Mitarbeiter mit viel Erfahrung lassen sich hinters Licht führen, wenn der E-Mail-Absender jener des Geschäftsführers ist. Du solltest dir aber auch vor Augen halten, dass immer öfters Klein- und Mittelbetriebe ins Visier der Kriminellen geraten.

Du kannst zwar den Erhalt von Betrugs-E-Mails nicht stoppen, aber mit einem Bündel von Maßnahmen ein sicheres Bollwerk dagegen errichten. Um dich erfolgreich vor Attacken zu schützen, ist ein „Security Awareness Training“ das A und O. Mitarbeiter werden dabei auf dieses und andere Betrugsphänomene aufmerksam gemacht und gezielt geschult.

So können sich Unternehmen schützen:

• Sensibilisierung der Mitarbeiter durch Security Awareness Training
• IT-Audit oder IT-Analyse
• Transparenz der Unternehmensprozesse
• Optimierung der Unternehmensprozesse
• Moderne IT-Sicherheitslösung, die individuell auf das Unternehmen abgestimmt ist
• Kontrollprozesse ausarbeiten, die Finanztransaktionen absichern

Moderne IT-Security Lösungen decken Bedrohungen auf, bevor sie Schaden anrichten. Mit Hilfe künstlicher Intelligenz und selbstlernenden Systemen erkennen sie bestimmte Muster. E-Mails, die diesem Muster nicht entsprechen, werden sofort in Quarantäne geschickt. Dort erfolgt eine manuelle Bewertung. Schickt also der CEO aus heiterem Himmel eine E-Mail von einer anderen E-Mail-Adresse als der üblichen, läuten alle Alarmglocken.

CEO Fraud ist eine besonders gefährliche Form der Internetkriminalität, da sie im Unterschied zu vielen anderen Cyber-Attacken auf die Manipulierbarkeit des Menschen abzielt. Unternehmen sollten CEO Fraud nicht auf die leichte Schulter nehmen und ausreichend durch IT-Sicherheitslösungen und Security Awareness Trainings absichern.

Der Schaden, der durch CEO Fraud entstehen kann, geht oft in die Millionenhöhe. Die rasant fortschreitende Digitalisierung macht das Thema IT-Sicherheit immer komplexer. Eine der wichtigsten Lektionen für Unternehmen sollte daher sein, sich rechtzeitig einen IT-Sicherheits-Spezialisten mit ins Boot zu nehmen und die Schotten gegen Cyber-Kriminelle dicht zu machen.