Wenn Hacker Chef spielen

Was nach Dummejungenstreich klingt, kann für Unternehmen verheerende Auswirkungen haben. Wir verraten Ihnen die Tricks der Hacker und wie Sie sich vor dieser existenzbedrohenden Betrugsmasche schützen. [...]

Stellen Sie sich vor, Sie arbeiten in der Buchhaltung und erhalten plötzlich eine E-Mail von der Privatadresse des CEOs Ihres Unternehmens. Zunächst einmal wirkt das nicht unbedingt verdächtig, Geschäftsführer arbeiten schließlich viel, während sie unterwegs sind. Da kann es durchaus vorkommen, dass nicht jede E-Mail vom Firmen-Account abgeht oder richtig signiert ist. Außerdem kennen Sie Ihren CEO nur vom Namen und hatten bisher noch nicht viel mit ihm zu tun. Eine Aussage über sein Kommunikationsverhalten ist also nur schwer zu treffen. So weit, so unverdächtig. Die E-Mail beinhaltet weiterhin eine Anweisung Ihres Chefs, eine größere Summe Geld auf ein externes Konto im Ausland zu überweisen. Der Grund: Es steht ein Firmenkauf in Asien an. Auch das kommt gelegentlich vor, schließlich arbeiten Sie in der Finanzabteilung und Ihr Unternehmen unterhält eine Niederlassung in Fernost.
Das Problem dabei ist nur: Die E-Mail entstammt gar nicht der Feder Ihres CEOs. Das merken Sie allerdings erst, als es schon zu spät ist. Die Überweisung ist getätigt und kann nicht mehr rückgängig gemacht werden – das Geld ist weg. Und Sie wurden soeben zum Opfer einer perfiden Hacker-Betrugsmasche namens CEO Fraud.
CEO Fraud und die kostenintensiven Folgen
Die Taktiken, die die kriminellen Hacker dabei einsetzen, sind alles andere als neu, funktionieren aber immer noch ziemlich gut. Der Grund liegt insbesondere im fortwährenden Mangel an Security Awareness. Das eben beschriebene Szenario spielt sich übrigens nicht nur im Finanzwesen ab – Unternehmen aller Branchen sind von CEO Fraud bedroht. Logischerweise haben es die Cyberkriminellen bei dieser Betrugsmasche in erster Linie auf Mitarbeiter aus Buchhaltung oder Rechnungswesen abgesehen. Schließlich verfügen die über die nötigen Berechtigungen, finanzielle Transaktionen durchzuführen.
Fälle von CEO Fraud gibt es viele. Vor knapp einem Jahr erwischte es etwa den Automobilzulieferer Leoni. Wie der Konzern in einer Pressemitteilung berichtet, wurde er dabei um 40 Millionen Euro betrogen. Auch die Hofpfisterei in München wurde bereits zum Opfer von CEO Fraud: Chinesische Hacker konnten die Buchhaltung mit einer vermeintlichen E-Mail des CEOs davon überzeugen, insgesamt 1,9 Millionen Euro auf ihr Konto zu überweisen.
Inzwischen warnen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) vor CEO-Fraud. Allein in den letzten Monaten sind nach Angaben der Behörden durch den Cyber-Trickbetrug Schäden in Millionenhöhe entstanden. Allerdings ist dem BKA nach eigner Aussage zuletzt ein Schlag gegen die kriminellen Hacker gelungen: Eine Liste mit mehr als 5.000 möglichen Zielpersonen für CEO Fraud ist den Ermittlern demnach in die Hände gefallen. Die Betroffenen wurden inzwischen vom BSI kontaktiert.
BSI-Präsident Arne Schönbohm hat einige Handlungsempfehlungen für den Ernstfall auf Lager: „CEO-Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge, wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten.“
So funktioniert CEO Fraud
Vor dem CEO Fraud gilt es für Cyberkriminelle erst einmal, Vorarbeit zu leisten. Diese Vorarbeit kennen Sie vielleicht: Social Engineering. Zunächst sammeln die Hacker im Netz, auf Unternehmens-Homepages und auf Social-Media-Kanälen so viele Informationen über ihr konkretes Opfer, dessen Chef und das Unternehmen, wie nur möglich. Um diese Infos zu verifizieren und feststellen zu können, ob sich die „Zielperson“ an ihrem Arbeitsplatz befindet, rufen die Hacker diese oft auch einfach an. Dabei schrecken die Kriminellen vor Nichts zurück: Auch Notfallsituationen werden am Telefon vorgetäuscht, wenn es der schnellste Weg ist, um an die benötigten Daten zu kommen.
Im nächsten Schritt kompromittieren die Angreifer dann den E-Mail-Account des CEOs oder nutzen eine Domäne, die der des Unternehmens täuschend ähnlich sieht. Mithilfe der zuvor recherchierten Informationen ahmen sie nun den Kommunikationsstil des Geschäftsführers nach, um die Fake-E-Mail so glaubwürdig wie möglich klingen zu lassen. Teilweise nehmen kriminelle Hacker sogar im Vorfeld Kontakt mit den Betroffenen auf, um ein Vertrauensverhältnis vorzutäuschen.
Ist dieser Schritt absolviert, kann der eigentliche Betrug beginnen: Die Hacker senden die vermeintlich echte Nachricht im Namen des CEOs ab und geben die Anweisung, eine größere Summe auf ein externes Konto zu überweisen. Besonders perfide: Im Regelfall verpflichten die Betrüger ihre Opfer auch noch zu Stillschweigen über die Transaktion. Den meisten Fällen von CEO Fraud gehen längere E-Mail-Korrespondenzen voraus – was wiederum zeigt, wie raffiniert die Hacker arbeiten.
Wie Sie CEO Fraud erkennen
Ein Ansatz der Bedrohung durch CEO Fraud entgegenzuwirken, ist die Nutzung von Log-Analysen. Mithilfe entsprechender Software Tools lassen sich betrügerische E-Mails entlarven, bevor sie Schaden anrichten können. Ein solches Tool sollte folgende Betrugsmaschen entlarven können:
  • Domains mit verdächtigen Zeichen;
  • E-Mail-Anfragen aus gefährlichen Quellen;
  • verdächtige Betreffzeilen.
Die wichtigste Funktion einer solchen Lösung sollte alllerdings darin bestehen, E-Mails oder E-Mail-Serien heraus zu filtern, die durch folgende Attribute gekennzeichnet sind:
  • der Absender scheint ein Manager oder eine Führungskraft zu sein;
  • ungewöhnliche Domains der Absenderadresse (diese kann in vielen Fällen aus der Message-ID extrahiert werden);
  • der Client oder Server von dem die E-Mail-Nachricht stammt, ist nicht vertrauenswürdig.
Auch wenn technische Hilfsmittel wie Log-Management oder Sicherheits-Monitoring zur Lösung des Problems beitragen können: Unternehmen und ganz besonders deren Mitarbeiter sollten stets wachsam bleiben. Damit das künftig besser klappt, hat das BSI eine Liste mit Handlungsempfehlungen veröffentlicht, die Ihnen dabei helfen sollen, sich offline gegen die CEO-Fraud-Gefahr zu wappnen:
  • Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken;
  • Unternehmen sollten ihre Mitarbeiter für diese und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen;
  • Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen (Vier-Augen-Prinzip oder unbedingte telefonische Verifizierung durch eine Ressource im Unternehmen);
  • Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail;
  • Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber;
  • Informieren Sie die Geschäftsleitung oder Ihren Vorgesetzten.
CEO Fraud ist und bleibt ein wichtiges Thema. Einerseits weil der Schaden für Unternehmen unter Umständen existenzbedrohend ausfallen kann, andererseits weil er für kriminelle Hacker ein höchst lukratives Geschäftsmodell darstellt. Technische Maßnahmen tragen zwar zur Lösung des Problems bei – allerdings sollten Unternehmen parallel dazu unbedingt das Sicherheitsbewusstsein ihrer Mitarbeiter schärfen. 
* Pascal Cronauer ist Country Manager DACH bei LogPoint und Experte für SIEM-Systeme und Sicherheits-Monitoring sowie Netzwerkanalyse.

Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*