Die Zahl der Angriffe durch betrügerische Business-Mails nimmt während der Urlaubszeit rapide zu.
Bereit für die Sommerferien? Wo immer die Reise auch hingehen mag, Unternehmen sollten Vorsorge treffen, dass die Urlaubspläne ihrer Führungskräfte nicht in falsche Hände fallen. Der Grund: Die Zahl der betrügerischen Business-Mails (Business E-Mail Compromise, BEM), CEO-Fraud oder auch Enkeltrick 4.0 nimmt während der Sommermonate regelmäßig zu. Hacker und Cyberkriminelle nutzen die Abwesenheit der Geschäftsführung aus, um mit gefälschten E-Mails oder Anrufen an Firmengelder zu gelangen.
Erst kürzlich warnte das Landeskriminalamt NRW Unternehmen ausdrücklich vor der neuen Chef-Betrugsmasche. Seit Ende vergangenen Jahres hätten die Fälle stark zugenommen, der Schaden sei oft enorm. Ein Unternehmen verlor zum Beispiel zwölf Millionen Euro. In Zusammenarbeit mit Banken ist es den Ermittlern des LKA NRW seit 2015 gelungen, 20 Millionen Euro einzufrieren und so zurück zu gewinnen.
Das FBI schätzt die weltweiten Verluste, die durch CEO-Betrug seit Januar 2015 entstanden sind, auf insgesamt 3,1 Milliarden US-Dollar. Die Wachstumsquote nahm damit um 1.300 % zu. Betroffen waren 22.143 Unternehmen in 100 Ländern – vermutlich nur die Spitze des Eisberges. Die Mehrzahl der erbeuteten Zahlungen flossen auf asiatische Bankkonten in China und Hong Kong.
»Um Cyberattacken wie CEO-Betrug abzuwehren und einzudämmen, müssen Unternehmen genau wissen, welche Spuren sie und ihre Mitarbeiter in der digitalen Welt hinterlassen, welche Informationen über sie im Internet und im Dark-Web kursieren und welche Angriffsfläche sie dadurch bieten«, erklärt Alastair Paterson, Mitgründer und CEO von Digital Shadows. »Deshalb blicken wir aus der Angreiferperspektive auf unsere Kunden, analysieren Daten aus unterschiedlichsten Quellen und stellen so Cyber Situational Awareness her – das hilft CEO-Betrug frühzeitig zu erkennen.«
Einem CEO-Betrug gehen meist wochenlange Vorbereitungen voraus: Betrüger recherchieren genau die Struktur und Geschäftsabläufe des ins Ziel genommenen Unternehmens und machen sich mit den Kommunikationswegen vertraut. Durch geringfügig geänderte E-Mail-Absenderadressen und das Erwähnen interner Informationen wirkt die Kontaktaufnahme zudem authentisch. Bei jüngst bekannt gewordenen Fällen von CEO-Betrug in Mecklenburg-Vorpommern, wurde sogar eine Vereinbarung mit der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) vorgegaukelt, um die ungewöhnliche Vorgehensweise bei Transkationen zu rechtfertigen. Selbst für erfahrene Mitarbeiter ist es so schwer zwischen gefälschten und echten E-Mails zu unterscheiden.
»Uns liegen genügend Beispiele vor, bei denen Angreifer gezielt die Social Media Profile von CEOs und CFOs beobachten. Ein Strandfoto oder ein Urlaubsgruß nach Hause reichen aus und Kollegen und Mitarbeiter erhalten eine E-Mail, die das dringliche Begleichen einer Rechnung oder das Überweisen eines Betrags fordert«, so Paterson. »Wer hier mehr über die typischen Taktiken, Techniken und Prozeduren (TTPs) potenzieller Angreifer weiß, kann im Ernstfall bessere Entscheidungen treffen und sich vor CEO-Betrug schützen.«
Unterschätzte Gefahr? Deutsche IT-Chefs wähnen sich im europäischen Vergleich am sichersten
Führungskräfte sehen ihr Unternehmen als künftiges Opfer einer Sicherheitsverletzung
Umfrage bestätigt: Aufklärungsarbeit für mehr Cybersicherheit zeigt Wirkung
Geschäftsführung soll für Schäden aus Cyberattacken gerade stehen
Bewusstsein für Cybersicherheit in Unternehmen spielerisch verbessern