Und wenn es gar nicht der Chef ist?
Der gesunde Menschenverstand ist das einzige, was gegen den Cyber-Sicherheitsbetrug CEO Fraud hilft.
Doch oft setzt der Verstand aus, wenn ein Befehl des Chefs eingeht. Dem vermeintlichen Chef – denn in diesen Fällen bittet nicht „er“ um eine Überweisung, sondern ein Betrüger. Laut dem FBI sind auf diesem Weg 2,4 Milliarden Dollar Schaden entstanden.
Diese Schadenssumme sei mit Abstand die höchste, weit vor dem Anlagebetrug. Auch, wenn der CEO Fraud nur auf Platz neun der Cyberverbrechensarten liege. CEO Fraud ist auch als Business E-Mail Compromise bekannt und die von Firmen vermutlich unterschätzteste Cyberbedrohung. Es gibt keine Technologie, die davor schützt. Hoffnung macht nur die ständige Schulung der Mitarbeiter.
Die Betrüger kennen die Firma
Thomas Uhlemann ist Security-Spezialist bei Eset, einem Unternehmen für Sicherheitssoftware, und sagt: „Bei der IT-Sicherheit ist der Mensch meist das schwächste Glied in der Kette.“ Gerade bei CEO Fraud sei das der Fall. Internetbetrüger kontaktieren dabei einen Mitarbeiter einer Firma und geben sich als Chef oder andere Führungskraft aus. Sie bitten den Mitarbeiter, eine dringende Überweisung zu veranlassen.
Häufig kommt der Mitarbeiter gar nicht darauf, hier einen Betrug zu wittern, denn die Cyberkriminellen haben im Vorfeld umfassend sensible Daten des Unternehmens ausgewertet. Sie kennen sich also in der Organisationsstruktur aus. Das Stichwort lautet hier Social Engeneering. Oft ohne Argwohn und unter Druck gesetzt, führt der Mitarbeiter den Wunsch des „Chefs“ aus.
Deepfakes werden immer problematischer
Selbst Gesichter oder Stimmen können von den Tätern mittlerweile billig hergestellt und genutzt werden, sagt Uhlemann. Solche künstlich erstellten Audio- und Video-Dateien werden Deepfakes genannt. Diese Methoden würden in Zukunft wohl immer häufiger zum Einsatz kommen.
Schützen kann sich laut Eset ein Unternehmen vor CEO Frauds beispielsweise, in dem größere Zahlungsvorgänge stehts von zwei Mitarbeitern freigegeben werden müssen. Der Betrieb sollte im Auge behalten, was über ihn in der Öffentlichkeit bekannt ist und was Mitarbeiter auf den Sozialen Netzwerken posten. Wichtig sei auch die Investition in moderne Sicherheitslösungen, die Angriffe mit Social Engeneering-Methoden erkennen.
Autor:
Stefan Lanz
Ich bin IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Ich bin IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu mir finden Sie hier.