Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Sicherheit im Rampenlicht: die unbequeme Wahrheit über den Betrug mit CEO-Personen

Berichte über CEO-Betrug oder BEC-Betrug (Business Email Compromise) sind so bizarr, dass die meisten Menschen sie für urbane Mythen halten, die von Sicherheitsspezialisten erzählt werden, um ihr Geschäft aufzupeppen und die Aufmerksamkeit der Vorstandsebene zu erregen. Leider haben diese "Aprilscherz"-Geschichten den gegenteiligen Effekt auf die Führungsebene. Werfen wir einen Blick auf einen kürzlich aufgetretenen Fall von CEO-Betrug in Höhe von 19,2 Mio. € und setzen BEC-Betrug in die Perspektive der Cyber-Kriminalität, um zu sehen, ob Sie immer noch denken: "Das wird mir nicht passieren".

Betrug als CEO: Was würden Sie tun - Wahrheit oder Pflicht?

Beim CEO-Imitationsbetrug (kurz CEO-Betrug) wird eine gefälschte E-Mail verwendet, die angeblich vom CEO des Unternehmens stammt und in der Regel um eine kurzfristige Geldüberweisung für einen wichtigen und dringenden Geschäftsfall bittet. Das Ziel und der Zeitpunkt des Einsatzes werden immer sorgfältig ausgewählt. Bei der Zielperson handelt es sich in der Regel um eine Person, die in der Hierarchie niedriger angesiedelt ist und Zugang zu Geldüberweisungssystemen hat. Der gewählte Zeitpunkt liegt oft außerhalb der normalen Bürozeiten, so dass der Geschäftsführer gezwungen ist, die bestehenden Verfahren abzukürzen und die Zielperson auf sich allein gestellt ist (es gibt keine höhere Führungsebene, die um Erlaubnis bitten könnte). Die Betrüger verwenden oft eine Mischung aus verschiedenen Social-Engineering-Taktiken, um den Druck auf die Zielperson zu erhöhen.

Die Betrugsmasche beginnt mit dem Überraschungselement, einer E-Mail des Geschäftsführers. Als Nächstes umgarnt der CEO die Zielperson, indem er sie mit seinem Vornamen anspricht und überraschenderweise einige persönliche Daten der Zielperson (im Folgenden als "das Opfer" bezeichnet) kennt. Nach einigem Smalltalk lässt der CEO das Opfer bestätigen, dass er oder sie Zugang zu den IT-Systemen hat, die für eine Geldüberweisung in letzter Minute erforderlich sind. Dann bittet der CEO (nachdem er sich mit dem Opfer "angefreundet" hat) um eine Überweisung für eine wichtige Geschäftsgelegenheit. Dadurch gerät das Opfer in ein Dilemma: Soll es die Verfahren verletzen oder dem CEO einen Gefallen verweigern?

Neuester CEO-Betrugsfall: 19,2 Millionen Verlust - Wahrheit oder Schreck?

Das Online-Magazin Zelluloid-Junkie veröffentlichte Einzelheiten über den Verlust von 19,2 Mio. € bei einer niederländischen Kinokette, einer Filiale des französischen Unternehmens Pathé, einem der größten Filmproduzenten und -verleiher der Welt. Dieser CEO-Betrug betraf den niederländischen CEO und Geschäftsführer. Der CEO-Betrug begann mit der Ankündigung der strategischen Übernahme eines ausländischen Unternehmens in Dubai. Dabei handelte es sich um eine typische Charme- und Vertrauenstaktik (vom französischen CEO in etwas Wichtiges einbezogen zu werden). Der niederländische CEO leitete die E-Mails an den CFO weiter, der daraufhin sagte, dass dies ein merkwürdiger Vorgang sei, sich aber nicht traute, ihn zu blockieren.

Nach einer Reihe von Zahlungen reichte der Kassenbestand der niederländischen Niederlassung nicht mehr aus, weshalb der niederländische CEO und CFO den Cashpool des Unternehmens nutzten, um den Cyberkriminellen zusätzliches Geld zu überweisen. Dies alarmierte natürlich die französische Zentrale, die die niederländische Niederlassung fragte, wofür sie das Geld benötigte. Der überraschte niederländische CEO antwortete: "für eine geheime Akquisition, von der mir unser CEO gemailt hat". Natürlich gab es diese geheime Übernahme nicht, und der unglückliche niederländische CEO und CFO wurden beide entlassen. Die beunruhigende Wahrheit ist, dass dieser CEO-Betrug zu einem Verlust von satten 19,2 Millionen Euro führte.

Kompromittierung von Geschäfts-E-Mails: ein Relikt aus der Vergangenheit oder ein wachsendes Problem?

Im Jahr 2015 hat ein US-amerikanisches Geldtransferunternehmen XOOM meldete einen E-Mail-Betrug, bei dem die Finanzabteilung des Unternehmens dazu gebracht wurde, 30,8 Millionen Dollar an Cyberkriminelle zu überweisen. Im Mai 2016 meldete der österreichische Hersteller von Luft- und Raumfahrtteilen FACC meldete, dass es seinen CEO und CFO entlassen hatte, nachdem Mitarbeiter 41,9 Millionen Euro an Cyberkriminelle überwiesen hatten, nachdem sie eine gefälschte E-Mail vom CEO erhalten hatten. Im August 2016 meldete Leoni, ein deutscher Hersteller von Drähten und elektrischen Kabeln, einen Verlust von 40 Millionen Euro aufgrund eines BEC-Betrugs.

Aufgrund der zunehmenden Zahl von Vorfällen hat das FBI damit begonnen, BEC/EAC (Business Email Compromise and Email Account Compromise) als separates Cyberverbrechen zu melden. Im Jahr 2017 hat das FBI berichtete, dass BEC/EAC-Vorfälle nur 5% der gesamten gemeldeten Cyberkriminalität ausmachten, aber die durch BEC/EAC-Betrug verlorenen Gelder insgesamt 50% aller Cyberkriminalität ausmachten.

Die unbequeme Wahrheit: BEC-Betrug wächst weiter im dreistelligen Bereich

Experten behaupten, dass drei Viertel der Internetkriminalität werden aufgrund des peinlichen Charakters nicht bei der Polizei angezeigt[vi] und die geringe Erfolgsquote der beiden Polizei und Judikative im Hinblick auf Internetkriminalität. Die in diesem Blog erwähnten BEC-Betrügereien sind sicherlich zumindest peinlich. In diesem Zusammenhang kann man davon ausgehen, dass die offiziell vom FBI gemeldeten Zahlen nur die Spitze des Eisbergs sind.

Auf der Grundlage von Daten aus verschiedenen Quellen erstellt das FBI Prognosen über den durch BEC/EAC verursachten weltweiten Schaden. In der öffentlichen Erklärung des FBI vom Mai 2017 wurden die gesamten exponierten Verluste auf 5 Milliarden Dollar geschätzt (gemessen zwischen Oktober 2013 und Dezember 2016). Unter Juli 2018 wurde in einer Aktualisierung dieser öffentlichen Erklärung des FBI ein Gesamtschaden durch BEC/AEC von 12 Milliarden Dollar weltweit (gemessen zwischen Oktober 2013 und Mai 2018) gemeldet. Dies bedeutet, dass zwischen Dezember 2016 und Mai 2018 der weltweite Schaden durch BEC/AEC-Betrug um 136% gestiegen ist.

Es ist zu hoffen, dass die Öffentlichkeitsarbeit zum CEO-Betrug IT-Manager und Sicherheitsspezialisten dazu anregt, organisatorische Gegenmaßnahmen zur Verhinderung von CEO-Betrug/BEC-Betrug zu diskutieren. Wenn der Faktor Mensch als schwächstes Glied ins Visier genommen wird, kann mit den folgenden Maßnahmen eine rasche Verbesserung erzielt werden:

  1. Überprüfung von Leitungsprotokollen (Suche nach Schwachstellen in Situationen am Ende des Tages/ außerhalb der Bürozeiten)
  2. Umstellung der Zahlungsverfahren auf Zweikanal-/Zwei-Faktor-Autorisierung
  3. Aufklärung und Schulung der Belegschaft über die Gefahren von BEC-Betrug