Seit geraumer Zeit macht der Begriff „CEO-Fraud“ oder auch „Fake-President“-Trick (von englisch „President“ für Geschäftsführer) die Runde. Beobachter rechnen mit Schäden in Milliardenhöhe. Auch das Bundeskriminalamt (BKA) nimmt die Bedrohung äußerst ernst und warnt in einer eigens gestarteten Aufklärungskampagne vor der neuartigen Betrugsmache.
Doch wie genau gehen Kriminelle beim CEO-Fraud vor? Mit welchen Tricks wird gearbeitet? Und was können Unternehmen tun, um sich und ihre Mitarbeiter vor derartigen Betrugsmaschen zu schützen? Bernhard Hecker ist Leiter des Produktmanagements bei Retarus und beschäftigt sich als Experte seit vielen Jahren mit dem Thema E-Mail-Sicherheit. Im Interview beantwortet er die drängendsten Fragen und gibt IT-Verantwortlichen wichtige Tipps.
Was genau steckt hinter dem Schlagwort CEO-Fraud?
Bernhard Hecker: Beim CEO-Fraud handelt es sich um eine Betrugsmasche, bei der sich Cyber-Kriminelle als Geschäftsführer eines Unternehmens ausgeben und ihre Opfer in fingierten E-Mails dazu auffordern, hohe Geldsummen zu überweisen. Die Unbekannten adressieren dabei gezielt jene Mitarbeiter, die Zugang zu sensiblen Daten haben oder zahlungsberechtigt sind. Dies können etwa Assistenzen der Geschäftsleitung oder Mitarbeiter der Controlling- und HR-Abteilungen sein. Diese erhalten dann eine E-Mail, die den Namen des eigenen Geschäftsführers als vermeintlichen Absender trägt. In der Nachricht wird meist eine dringliche, vertraulich zu behandelnde Transaktion angekündigt – etwa die Akquisition eines Unternehmens, für die eine umgehende Überweisung eines höheren Geldbetrags nötig sei.
Wie lautet denn der typische Inhalt solcher Mails? Und wie kommen die Betrüger an die dafür notwendigen Informationen?
Hecker: Um glaubwürdig zu wirken, recherchieren die Absender im Rahmen eines sogenannten Social Engineering sowohl Namen und E-Mail-Adresse des Firmenchefs als auch von Personen, die zahlungsberechtigt sein könnten. Diese Informationen sind leicht über öffentlich zugängliche Quellen wie Firmenwebseite, Presseveröffentlichungen oder Handelsregistereinträge zu beschaffen. Auto-Reply-Mails mit Abwesenheitsmeldungen kommen den Betrügern bei ihrer Masche genauso entgegen wie Social-Media-Posts: Befindet sich der Geschäftsführer gerade auf einer Geschäftsreise in Asien, ist in der E-Mail etwa von einem dortigen Firmenkauf oder sogar einer Schadensersatzforderung nach einem örtlichen Autounfall die Rede. In der E-Mail wird dann mit angeblichen Deadlines oder drohenden Klagen ein zusätzlicher Handlungsdruck auf den Empfänger ausgeübt.
Auch allgemeine Ferienzeiten bieten ein ideales Umfeld für Kriminelle. Fast alle Unternehmen arbeiten währenddessen mit reduziertem Personal und entsprechend geschwächtem Kontrollumfeld. Ist der Chef im Urlaub, wird aus Rücksichtnahme häufig nicht persönlich zurückgefragt und die Wahrscheinlichkeit einer leichtfertigen Überweisung liegt höher.
Welche Unternehmen sind von CEO-Fraud besonders betroffen?
Hecker: Generell sind alle Unternehmensgrößen betroffen. Es ist zu beobachten, dass Betrüger die jeweilige Unternehmensgröße genau abschätzen können und den geforderten Geldbetrag sowie den Anlass der Zahlung sogar entsprechend anpassen. Kleine und mittlere Unternehmen sind allerdings aus einem anderen Grund ein besonders beliebtes Ziel: Während größere Konzerne bei hohen Überweisungen in der Regel strengere Schutz- oder Kontrollmechanismen einsetzen, fehlt es Mittelständlern hierfür häufig an klaren Prozessen und Richtlinien. Dadurch werden Unternehmen dieser Größenordnung zu einem bevorzugten und erfolgversprechenden Angriffsziel.
Wie sollten Mitarbeiter bei einem ersten Betrugsverdacht reagieren?
Hecker: Im Zweifel sollten Betroffene immer den persönlichen Kontakt zum vermeintlichen Absender suchen und sich die Zahlungsanweisung auf einem anderen, unabhängigen Kommunikationskanal bestätigen lassen – am besten persönlich per Telefon. Von schriftlichen Rückfragen per E-Mail sollten Empfänger absehen. Denn in der Regel stimmt die Reply-to-Adresse nicht mit der korrekten Absenderadresse überein, sondern verweist auf das Postfach eines beliebigen Freemail-Anbieters. Die E-Mail landet somit nicht beim echten Chef, sondern direkt beim Betrüger. Dies signalisiert dem Angreifer sofort, dass ein vermeintliches Opfer „angebissen“ hat. Die Kriminellen sehen nun gute Erfolgsaussichten und werden ihre Bemühungen entsprechend intensivieren.
Darüber hinaus sollte der Betroffene im Verdachtsfall gemäß den internen IT-Richtlinien sofort die jeweiligen IT-Security-Verantwortlichen informieren sowie alle zu Zahlungen berechtigten Mitarbeiter beziehungsweise den gesamten Führungskreis über den Vorfall informieren.
Was, wenn bereits auf eine gefälschte Mail reagiert wurde?
Hecker: Betroffene sollten sich umgehend an die örtliche Polizeidienststelle oder das zuständige Landeskriminalamt wenden. Falls bereits eine Zahlung angewiesen wurden, sollten Bankbevollmächtigte schnellstmöglich versuchen, die Transaktion beim Kreditinstitut zu stoppen oder bereits überwiesenes Geld von der Bank zurückbuchen zu lassen.
Mit welchen technischen Möglichkeiten lassen sich Betrugsvorfälle wie CEO-Fraud verhindern?
Hecker: Wie immer gilt: Selbst die beste IT-Security-Lösung kann die Schulung und Aufklärung von Mitarbeitern nicht ersetzen. Für die Abwehr eines CEO-Frauds sollten Unternehmen dennoch möglichst auf technische Standards zurückgreifen, mit denen sich der Absender auf Authentizität überprüfen lässt. Zu nennen sind hier insbesondere das Sender Policy Framework, kurz SPF sowie Domain Keys Identified Mail, kurz DKIM.
Außerdem können IT-Maßnahmen wie etwa eine E-Mail Security-Lösung zusätzliche Sicherheit bieten – auch wenn derartige Angriffe durch ihre individuell auf das Opfer zugeschnittenen Nachrichten nur schwer von legitimen Mails zu unterscheiden sind. Security-Hersteller wie beispielsweise Retarus arbeiten daher an Technologien, mit denen E-Mails automatisch markiert werden, falls technische Unstimmigkeiten bei den Absenderinformationen im E-Mail-Header identifiziert werden.
Welche generellen Schutzmaßnahmen können Unternehmen neben IT-Security noch ergreifen?
Hecker: Wie bei allen Betrugsmaschen, bleibt auch beim CEO-Fraud letztlich der „Unsicherheitsfaktor Mensch“: Unternehmen sollten ihre Belegschaft daher regelmäßig für derartige Angriffe sensibilisieren. Am besten funktioniert dies anhand möglichst konkreter Beispiele. Neben erhöhter Wachsamkeit helfen auch klare, transparente Regeln. Im Fall von CEO-Fraud können sich Firmen beispielsweise durch grundsätzliche Höchstgrenzen bei Überweisungen sowie klar definierte Kontroll- und Freigabeprozesse absichern.
Bernhard Hecker beschäftigt sich seit über 25 Jahren mit elektronischer Unternehmenskommunikation. Seit 2005 leitet er das Produktmanagement bei Retarus. Als Experte für Sicherheit und Datenschutz engagiert er sich zudem in den Verbänden Bitkom und TeleTrusT.
Auf unserer Seite zur Retarus Advanced Threat Protection erfahren Sie mehr über den Schutz vor CEO Fraud.