Bundesamt für Sicherheit in der Informationstechnik

Expertenrat erwartet neue Welle von CEO-Fraud zum Jahresende – die Zahl der betroffenen Unternehmen steigt weiter rasant

Die Abwesenheit vieler Führungskräfte und Mitarbeiter in Zusammenhang mit dem
"drohenden" Jahreswechsel bietet ein ideales Umfeld für den CEO Fraud oder "Cheftrick". Das diese Art der organisierten Kriminalität sich nicht mehr nur auf eigentümergeführte Kleinunternehmen und Mittelständler fokussiert, zeigt die Vielzahl von Fällen in 2016 (auch) bei börsennotierten Unternehmen.

Das Vorgehen der Betrüger ist hochgradig organisiert

Beim "Cheftrick" – der englische Fachbegriff lautet CEO-Fraud – wird Sachbearbeitern, die Geld im Namen des Unternehmens transferieren dürfen, ein fiktiver Auftrag des Chefs vorgegaukelt. Sie sollen für ein angeblich dringendes und geheimhaltungsbedürftiges Geschäft Transaktionen durchführen, die für das weitere Bestehen des Unternehmens äußerst wichtig sind. Mit dieser Masche gelang es Trickbetrügern im Laufe des Jahres in tausenden von Unternehmen, Schäden im sechs- bis achtstelligen Bereich anzurichten (siehe [1]). Die Schäden weltweit gehen in die Milliarden (siehe [2]).

Gerade das Jahresende bietet ein ideales Umfeld für Kriminelle, denn fast alle Unternehmen arbeiten mit reduziertem Personal und dadurch mit einem geschwächten Kontrollumfeld. Wie in klassischen Phishing-Mails auch wird beim CEO-Fraud mit angeblichem Termindruck ein Handlungsdruck auf den Empfänger aufgebaut. Sei es „der Grundstückskauf“, „die Gesellschaftsakquise“ oder vielleicht „der Rahmenvertrag mit dem neuen Zulieferer“ – all diese Betrugsszenarien müssen dann angeblich noch schnell vor Jahresende abgeschlossen werden.

Die Angreifer gehen dabei hochgradig organisiert vor und starten in der Regel mit einer umfassenden Informationsrecherche über die internen Strukturen des Unternehmens. Dazu werden zunächst öffentliche Informationen des Unternehmens, aber auch private Informationen von identifizierten Unternehmensmitarbeitern ausgewertet. Jeder öffentlich zugängliche Eintrag bei sozialen Netzwerken wie XING, LinkedIn, Facebook, etc. bringt einen Angreifer näher an sein Ziel.

Oft kommt es in einem weiteren Schritt zu einer ersten (telefonischen) Kontaktaufnahme mit Mitarbeitern. Durch ausgefeilte Taktiken des (so genannten) Social Engineerings werden unbemerkt interne Informationen (bspw. Abwesenheit einer bestimmten Führungskraft) abgefragt. Diese Informationen werden dann genutzt, um sich bei anderen Mitarbeitern Vertrauen zu erschleichen, das für einen erfolgreichen Angriff notwendig ist.

schematisches Vorgehen der Kriminellen schematisches Vorgehen der Kriminellen Abbildung 1: schematisches Vorgehen der Kriminellen

Die Professionalität gefälschter E-Mails, z.B. hinsichtlich Wortwahl und Ausdruck, lässt in einer Vielzahl der bekannt gewordenen Fälle darauf schließen, dass die Angreifer Zugang zu unternehmensinternen IT-Systemen und Informationen hatten. Dies lässt eine Auswertung des Informationsaustausches über einen längeren Zeitraum hinweg durch den Angreifer vermuten – mit anderen Worten: Der Angreifer hat schon lange im Vorfeld das Zielunternehmen selbst oder Geschäftspartner erfolgreich kompromittiert.

Wird ein Angriff derart professionell durchgeführt, helfen nur noch ein hartes internes Kontrollsystem, eine offene Kommunikationskultur im Unternehmen und eine wachsame Bank, um einen hohen Schaden für das Unternehmen zu verhindern.

Abwehr der Angriffe durch präventives Handeln

Opfern bleibt in der Regel keine Zeit zur reaktiven Eindämmung im Schadensfall, daher gilt es präventiv zu handeln. Aufklärung der Führungskräfte und der Sachbearbeiter sowie ein funktionierendes automatisiertes internes Kontrollsystem können vor Schaden durch CEOFraud schützen. Wirksam implementierte Kontroll- und Freigabeprozesse verhindern den unzulässigen Abfluss von relevanten Beträgen. Die bekannt gewordenen Vorfälle zeigen, dass die internen Kontrollsysteme regelmäßig an neue Bedrohungen angepasst und deren Funktionsweise möglichst realistisch überprüft werden müssen.

Folgende präventive Maßnahmen unterstützen Sie beim Schutz Ihres Unternehmens:

  1. Lassen sie sich von Ihren Geschäftsbanken über mögliche Schutzmechanismen gegen ungewollte Überweisungen beraten.
  2. Überprüfen Sie Ihr internes Kontrollsystem in den Zahlungsverkehrs- und Stammdatenprozessen.
  3. Testen Sie regelmäßig sowohl Ihre technische als auch organisatorische Informationssicherheit.
  4. Stärken Sie die Sicherheitskultur in Ihrem Unternehmen und zu Geschäftspartnern, denn Kontrollen und Prozesse schützen vor bekannten Angriffen – eine gesunde Skepsis Abbildung 1: schematisches Vorgehen der Kriminellen schützt vor Unbekanntem. Das gilt für E-Mails aber auch für Briefe und Anrufe. Im Zweifel lieber noch einmal persönlich nachfragen.
  5. Seien Sie auf einen Schadensfall vorbereitet, um schnell und gezielt reagieren zu können und den Schaden zu begrenzen.
  6. Führen Sie ggf. (CEO-Fraud-Awareness-)Schulungen für das im Unternehmen relevante Personal durch.

CEO-Fraud betrifft sowohl große Konzerne wie auch mittelständische Unternehmen. Ein erfolgreicher Betrug kann existenzgefährdend sein. Daher sollte man die Gefahr ernst nehmen und gewappnet sein: Frei nach dem Motto „Gefahr erkannt, Gefahr gebannt“.

Referenzen

[1] https://www.polizei.nrw.de/lka/artikel__14015.html
[2] http://www.ksta.de/nrw/-ceo-fraud---so-viel-kostet-die-betrugsmasche-die-firmen-in-nrw-24353908
[3] https://www.computer-forensik.org/blog/2016/07/13/ceo-fraud/
[4] http://www.wiwo.de/technologie/digitale-welt/chef-betrug-wie-falsche-chefs-millionenergaunern/14616996.html

Zusatzinformationen

Stellungnahmen des Expertenkreises

Der Expertenkreis Cyber-Sicherheit veröffentlicht unregelmäßig Stellungnahmen zu aktuellen Themen der Cyber-Sicherheit.

Publikationen

Stellungnahmen zum Download

Expertenkreis Cyber-Sicherheit

Expertenrat erwartet neue Welle von CEO-Fraud zum Jahresende – die Zahl der betroffenen Unternehmen steigt weiter rasant

Die Abwesenheit vieler Führungskräfte und Mitarbeiter in Zusammenhang mit dem „drohenden“ ...

Expertenkreis Cyber-Sicherheit

Spionageangriffe mittels Hintertüren in Überwachungskameras und Raumsensoren: So schützen Sie Ihr Unternehmen

Überwachungskameras, Raum- und Umgebungssensoren sollten ausschließlich mit dem ...

Kontakt

Geschäftsstelle Allianz für Cyber-Sicherheit
Godesberger Allee 185-189
53175 Bonn
E-Mail: info@cyber-allianz.de
De-Mail: geschaeftsstelle-acs@bsi-bund.de-mail.de