08.05.2017 CEO-Fraud: Polizei direkt informieren

Vorsicht vor Online-Betrügern

Von: Ina Schlücker

Sollten Mittelständler Opfer eines Online-Betrugs – neudeutsch CEO-Fraud – werden, sollten sie sich umgehend an die örtliche Polizei oder das Landeskriminalamt wenden, rät Bernhard Hecker von Retarus.

Bernhard Hecker, Retarus

Bernhard Hecker, Director Product Management bei Retarus

ITM: Herr Hecker, was steckt hinter „CEO-Fraud“ bzw. CEO-Betrug?
Bernhard Hecker:
Bei CEO-Fraud handelt es sich um eine Betrugsmasche, bei der sich Betrüger als Geschäftsführer ausgeben und Mitarbeiter in fingierten E-Mails dazu auffordern, hohe Geldsummen zu überweisen. Die Unbekannten adressieren gezielt Mitarbeiter, die Zugang zu sensiblen Daten haben oder zahlungsberechtigt sind, wie etwa Assistenzen der Geschäftsleitung oder Mitarbeiter der Controlling- und HR-Abteilungen. Diese erhalten eine E-Mail mit dem Namen des Geschäftsführers als vermeintlichem Absender. Meist wird darin eine dringliche, vertraulich zu behandelnde Transaktion angekündigt, wie etwa die Akquisition eines Unternehmens, für die eine umgehende Überweisung eines höheren Geldbetrags nötig sei.

ITM: Inwiefern sind mittelständische Unternehmen in Deutschland von solchen Cyber-Angriffen betroffen?
Hecker:
Generell sind alle Unternehmensgrößen von CEO-Fraud betroffen. Die Betrüger wägen die jeweilige Firmengröße ab und passen den geforderten Geldbetrag sowie den Anlass der Zahlung entsprechend an. Allerdings setzen größere Konzerne im Vergleich zu mittelständischen Unternehmen bei hohen Überweisungen in der Regel strengere Schutz- oder Kontrollmechanismen ein, mit denen sich ein größerer finanzieller Schaden meist verhindern lässt.

ITM: Welche Betrugsszenarien sind aktuell auf dem Vormarsch? Welcher Schaden kann durch CEO-Fraud angerichtet werden?
Hecker:
Um glaubwürdig zu wirken, recherchieren die Unbekannten im Rahmen von Social Engineering beispielsweise Name und E-Mail-Adresse des Firmenchefs sowie von Personen, die zahlungsberechtigt sein könnten. In der E-Mail wird dann mit angeblichen Deadlines ein zusätzlicher Handlungsdruck auf den Empfänger ausgeübt. Auto-Reply-Mails mit Abwesenheitsmeldungen kommen den Betrügern bei ihrer Masche genauso entgegen wie öffentliche Social Media Posts: Befindet sich der Geschäftsführer gerade auf einer Geschäftsreise in Asien, ist in der E-Mail etwa von einem Firmenkauf vor Ort oder sogar einer Schadensersatzforderung nach einem Autounfall die Rede. Auch allgemeine Ferienzeiten bieten ein ideales Umfeld für Kriminelle, denn fast alle Unternehmen arbeiten mit reduziertem Personal und dadurch mit einem geschwächten Kontrollumfeld. Ist der Chef im Urlaub, wird aus Rücksichtnahme häufig nicht persönlich zurückgefragt und die Wahrscheinlichkeit einer problemlosen Überweisung liegt höher.

ITM: Wie sollten Mitarbeiter beim ersten Verdacht eines solchen Sicherheitsvorfalls reagieren? An wen in den Unternehmen sollten sie sich wenden?
Hecker:
Im Zweifel sollten Betroffene immer den persönlichen Kontakt zum vermeintlichen Absender suchen und sich die Zahlungsanweisung am besten per Telefon persönlich bestätigen lassen. Besondere Vorsicht ist im Falle einer schriftlichen Rückfrage per E-Mail geboten: In der Regel stimmt die Reply-to-Adresse nicht mit der richtigen Absenderadresse überein, sondern verweist auf das Postfach irgendeines Freemail-Anbieters und landet somit direkt beim Betrüger. Darüber hinaus sollte der Betroffene den internen Informationssicherheits-Prozessrichtlinien gemäß IT-Security-Verantwortliche, zu Zahlungen berechtigte Mitarbeiter bzw. den gesamten Führungskreis über den Vorfall informieren und nicht weiter auf eine derartige E-Mail reagieren.

ITM: Wie sollten die Verantwortlichen im konkreten Schadensfall weiter vorgehen?
Hecker:
Betroffene sollten sich umgehend an die örtliche Polizeidienststelle oder das zuständige Landeskriminalamt wenden. Außerdem können sie versuchen, die Transaktion zu stoppen und bereits überwiesenes Geld von der Bank zurückbuchen zu lassen.

ITM: Welche Maßnahmen oder Technologien haben sich für die Abwehr von Cyber-Betrugsvorfällen bislang am besten bewährt?
Hecker:
Für die Abwehr eines CEO-Frauds sollten Unternehmen auf technische Standards zurückgreifen, mit denen sich der Absender auf Authentizität überprüfen lässt (Sender Policy Framework, kurz SPF, oder Domain Keys Identified Mail, kurz DKIM). Wir arbeiten beispielsweise gerade an einer Lösung, mit der E-Mails automatisch markiert werden, falls Unstimmigkeiten bei den Absenderinformationen im E-Mail-Header bestehen. Aber auch die Sensibilisierung der Mitarbeiter und klare Richtlinien für Bezahlprozesse sind wichtig.

ITM: Wie können Mitarbeiter generell vom Risikofaktor zum Verteidiger der Unternehmens-IT werden?
Hecker:
Wie immer gilt: Selbst die beste IT-Sicherheitslösung kann die Schulung und Aufklärung von Mitarbeitern nicht ersetzen. Unternehmen sollten ihre Belegschaft regelmäßig und anhand konkreter Beispiele für derartige Angriffe sensibilisieren. Neben erhöhter Aufmerksamkeit helfen auch klare, transparente Regeln und Prozesse. Im Fall der CEO-Frauds können beispielsweise grundsätzliche Höchstgrenzen für Überweisungen sowie klar definierte Kontroll- und Freigabeprozesse festgelegt werden.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH