Betrug mit Plan

Welle an CEO-Fraud-Angriffen zum Jahreswechsel erwartet

| Autor / Redakteur: Uwe Ulbrich / Peter Schmitz

CEO-Fraud betrifft sowohl große Konzerne wie auch mittelständische Unternehmen. Ein erfolgreicher Betrug kann existenzgefährdend sein.
CEO-Fraud betrifft sowohl große Konzerne wie auch mittelständische Unternehmen. Ein erfolgreicher Betrug kann existenzgefährdend sein. (Bild: geralt - Pixabay / CC0)

Der Expertenrat der Allianz für Cyber-Sicherheit erwartet eine neue Welle von CEO-Fraud-Angriffen zum Jahresende. Die Zahl der betroffenen Unternehmen steigt weiter rasant. Empfohlen wird eine schnelle Überprüfung der eigenen Infrastruktur und weitere Vorsichtsmaßnahmen.

Der anstehende Jahreswechsel bietet mit der Abwesenheit vieler Mitarbeiter und Führungskräfte ein ideales Umfeld für den CEO-Fraud, auch „Cheftrick" oder „Chefbetrug“ genannt. Die Vielzahl der Schadensfälle in 2016 und die Bandbreite der betroffenen Unternehmen macht deutlich, dass diese Form des Betrugs sich nicht mehr nur auf eigentümergeführte Kleinunternehmen und Mittelständler fokussiert, sondern auch Großunternehmen erfasst.

Prominentes Opfer war im Sommer das Unternehmen LEONI mit einem Schadensvolumen von rund 40 Mio. Euro. Nach Aussagen des Bundeskriminalamts sind in Deutschland seit 2013 rund 60 Betrugsfälle mit einem Gesamtschaden von 106 Millionen Euro bekannt geworden. Eine Meldepflicht gibt es aber nicht, so dass es auch eine Dunkelziffer geben dürfte.

Social Engineering erleichtert den Betrug

Die Analysen des Expertenrats macht deutlich, wie hochgradig organisiert die Betrüger vorgehen. Die Täter nutzten dabei eine Methode, die als CEO-Fraud seit langem bekannt ist und immer häufiger angewendet wird. Dabei wird Mitarbeitern in der Finanzabteilung ein fiktiver Auftrag des Chefs vorgegaukelt, der strengster Geheimhaltung unterliegt und für den erhebliche Summen vertraulich auf bestimmte Konten zu überweisen sind. Die Mails sind oftmals inhaltlich täuschend echt gestaltet, da die Angreifer durch geschicktes Social Engineering viele Interna in Erfahrung bringen und diese in den Angriff sowie die vermeintlichen Mails einbauen. Unter Social Engineering wird dabei die Auswertung von Profilen auf Social Media Plattformen wie XING, LinkedIn oder Facebook verstanden, die oft mit telefonischer Ausspähung verbunden wird. So bringen die Angreifer in der Regel leicht in Erfahrung, wann der Chef im Urlaub ist und wo er ihn verbringt.

Als ein wichtiges Mittel zur Abwehr der Angriffe empfiehlt der Expertenrat der Allianz für Cyber-Sicherheit daher die Aufklärung der Führungskräfte und der Sachbearbeiter sowie die Umsetzung eines automatisierten internen Kontrollsystems, das mit definierten Kontroll- und Freigabeprozesse den unzulässigen Abfluss von relevanten Beträgen verhindert. Als weitere organisatorische Maßnahmen wird empfohlen, sich von den Geschäftsbanken über mögliche Schutzmechanismen gegen ungewollte Überweisungen beraten zu lassen sowie alle technischen Mittel zum Schutz auszuschöpfen.

Auch technische Mittel zum Schutz nutzen

Kern des CEO-Frauds sind täuschend echt gefälschte interne Mails, die vorgeben, von der Geschäftsführung oder anderen leitenden Mitarbeitern zu sein. Leider erkennt nach unseren Recherchen die große Masse der am Markt erhältlichen Secure-Mail-Lösungen diese gefälschten Mails nicht als solche. Dabei ist die Erkennung derartiger Betrugsversuche nicht sonderlich schwierig, wenn die eingesetzte Secure-Mail-Lösung eine fundierte Absendervalidierung vornimmt: Um gefälschte, angebliche interne E-Mails sicher von echten Mails des Chefs unterscheiden zu können, sollte ein 2-stufiges Sicherheitskonzept angewendet werden. In der ersten Stufe wird eine Prüfung des Mail-Envelope durchgeführt. Neben anderen Merkmalen ist ein wesentlicher Punkt, die IP-Adresse des sendenden Mail-Servers zu prüfen. Wenn eine Mail aus der eigenen E-Mail-Domain empfangen wird, muss die IP Adresse mit einer der Adressen übereinstimmen, die im Secure-Mail-Gateway hinterlegt sind. Wurde die E-Mail von einer anderen IP-Adresse – d.h. einem nicht-autorisierten Mail-Server - gesendet, wird sie abgewiesen.

Ergänzendes zum Thema
 
Empfehlungen für präventive Maßnahmen

In der zweiten Stufe wird der Mail-Header geprüft: Das E-Mail Gateway weiß, dass eine zu prüfende Mail von extern gesendet wurde. Dann wird geprüft, ob die eigene Domain („meinunternehmen.de“) in der Absenderadresse vorkommt. Da eine interne Mail im Regelfall nicht von extern gesendet wird, kann die Mail ebenfalls rückgewiesen werden. Einfache Prüfungen könnte theoretisch auch jeder Anwender selbst durchführen. In der Praxis scheitert dies jedoch an der technischen Kompetenz der Mitarbeiter und auch am Zeitbedarf, unter hohem Arbeitsdruck zusätzliche Prüfungen und Rückversicherungen vorzunehmen.

Neben den genannten Verfahren nutzen gute Secure-Mail-Lösungen weitere Merkmale zur gewissenhaften Prüfung, die jedoch verständlicherweise geheim gehalten werden. Technisch ist es folglich kein Hexenwerk Betrugsversuche nach der CEO-Fraud-Masche erfolgreich abzuwehren.

Auch unsere Mail-Security-Experten bei Net at Work sind von der Häufigkeit und Höhe der Schäden, die durch diese Attacken verursacht werden, überrascht. Aber dies bestätigt auch, wie wichtig es ist, komplexe neue Bedrohungen durch intelligent vernetzte Filter, Regeln und Prüfungen zu verhindern. Die konsequente Bewertung der Senderreputation - und dazu gehört natürlich die Validierung des Absenders – sollte in keinem Secure-Mail-Gateway fehlen. Jedes Unternehmen sollte prüfen, ob die eingesetzte Mail-Security-Infrastruktur dies aktuell bereits leistet.

* Uwe Ulbrich ist Geschäftsführer bei Net at Work.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44423880 / Sicherheitsvorfälle)