Management

Zielperson Führungskraft

Wie Cyberkriminelle Konzernspitzen ins Visier nehmen

Avatar
von Regiomanager 10.07.2023
© Montri @ adobe.stock

Die Digitalisierung bietet Unternehmen viele Chancen, zugleich birgt sie erhebliche Sicherheitsrisiken. Cyberkriminelle nutzen Schwachstellen konsequent aus, die Methoden sind vielfältig. In den letzten Jahren konzentrieren sie sich verstärkt auf Führungskräfte innerhalb von Firmen: Die bekannteste Variante ist die CEO-Masche.

Cyberkriminalität ist ein Oberbegriff, der zahlreiche Formen an kriminellen Handlungen im Internet umfasst. Es gibt mehrere Möglichkeiten, diese Methoden zu kategorisieren: Dazu gehören das Ziel der Täter und das konkrete Vorgehen. Bei einer Sonderform der Internetkriminalität zielen Kriminelle speziell auf Führungskräfte. Die Gründe unterscheiden sich je nach Zweck. Besonders bekannt ist die CEO-Masche, bei der leitende Angestellte zur Überweisung von Firmengeldern animiert werden. Für einen Laien klingt das unrealistisch – die Praxis zeigt aber, dass viele Kriminelle erfolgreich sind.

Ob CEO-Fraud oder andere Variante der Onlinekriminalität: Unternehmen sollten die Risiken kennen und konsequent auf Prävention setzen. Damit verringern sie die Wahrscheinlichkeit hoher Schäden.

Cyberkriminalität im Überblick: Die Gefahr wächst

Im Corona-Jahr 2021 verzeichnete die Polizeiliche Kriminalstatistik im Bereich Cybercrime einen neuen Rekordwert: Das BKA spricht von insgesamt 146.363 Delikten, der Branchenverband Bitkom schätzt den wirtschaftlichen Gesamtschaden auf rund 223 Milliarden Euro.

Diese Zahlen beruhen auf Anstiegen in verschiedenen Deliktbereichen. Dazu zählen Angriffe mit Erpressungstrojanern. Mit Ransomware verschlüsseln Kriminelle fremde Computersysteme und geben diese erst nach einer Lösegeldzahlung wieder frei. Viele Betroffene sind so verzweifelt, dass sie die jeweilige Forderung erfüllen.

Zudem bleibt das Phishing als Sicherheitsrisiko aktuell. Mit diversen Herangehensweisen versuchen Täter, sich Passwörter und andere Zugangsdaten zu verschaffen. Hierfür setzen sie unter anderem gefälschte E-Mails und Homepages ein. Sie täuschen falsche Tatsachen vor und gelangen so an sensible Daten, die sie missbrauchen können.

Vortäuschung falscher Tatsachen: In diese Kategorie gehört auch der CEO-Betrug. Mit geschickten Methoden manipulieren Kriminelle Angestellte mit Entscheidungsbefugnis. Das Ziel ist im Regelfall, dass Führungskräfte Geldsummen überweisen oder von Untergebenen überweisen lassen. Sie glauben hierbei, es handele es sich um eine gewöhnliche Firmentransaktion. Stattdessen freuen sich die Täter über den Geldeingang. Diese Art der Cyberkriminalität verdient einen genaueren Blick, weil Kriminelle zunehmend professionell vorgehen und verstärkt Künstliche Intelligenz einsetzen.

CEO-Fraud mit enormen Schadenspotenzial

Unter der sogenannten CEO-Masche leiden Unternehmen seit Jahren, auch die Sicherheitsbehörden beschäftigen sich seit langem mit diesem Phänomen. Der CEO-Fraud basiert auf der Manipulation von entscheidungsbefugten Angestellten. Hierbei kann es sich um Führungskräfte der Unternehmensleitung handeln, häufig nehmen Kriminelle Abteilungsleiter und andere Angestellte der mittleren Ebene ins Visier.

Das konkrete Vorgehen unterscheidet sich, der Zweck ist identisch: Kriminelle täuschen trickreich, damit die Zielpersonen Geld auf ihr Konto überweisen. Die Angestellten haben hierbei das Gefühl, dass sie im Auftrag eines Vorgesetzten oder eines Geschäftspartners agieren. Erst im Nachhinein stellen sie selbst oder andere Verantwortliche im Unternehmen den Betrug fest. Das Geld befindet sich längst auf einem Auslandskonto, die Täter lassen sich in den meisten Fällen nicht ermitteln. Vielen Firmen ist die Angelegenheit peinlich, sie verzichten auf eine Strafanzeige. Die Dunkelziffer in diesem Deliktsbereich könnte hoch sein.

Doch wie gelingt es Kriminellen, Führungskräfte zum gewünschten Handeln zu verleiten? Das Grundprinzip ist, dass sie sich als jemand anders ausgeben. Sie tarnen sich zum Beispiel als Vorgesetzter und weisen mit einer gefälschten E-Mail eine Geldtransaktion an. Hierfür nutzen sie eine E-Mail-Adresse, die sich nicht auf den ersten Blick als Dritt-Account identifizieren lässt. Noch ausgefeilter ist dieses Vorgehen, wenn sich Täter den Zugang zum E-Mail-Account eines Vorgesetzten verschaffen. In diesem Fall können Untergebene nicht erkennen, dass ein Krimineller die Anweisungen gibt.

Diese Tarnung verbinden Täter mit den vielfältigen Ansätzen des Social Engineering. Sie bauen auf unterschiedliche Weise Druck auf, um das Gegenüber zu einem raschen und unüberlegten Handeln zu zwingen. Sie behaupten zum Beispiel, dass sich nur mit einer schnellen Geldüberweisung an den angeblichen Geschäftspartner X Schaden von der Firma abwenden lasse. Dieser Zeitdruck verringert die Wahrscheinlichkeit, dass die Zielperson Nachfragen stellt. Sie führt unter anderem die Anweisungen in einer E-Mail aus, ohne sich diese vorsichtshalber telefonisch bestätigen zu lassen.

CEO-Betrug: Kriminelle verfeinern ihre Methoden

Das Beispiel mit einer gefälschten E-Mail gehört zu den einfacheren Formen des CEO-Frauds. Insbesondere bei größeren Unternehmen liegt die Wahrscheinlichkeit mittlerweile hoch, dass der Betrugsversuch auffällt. Viele Firmen professionalisieren ihre Maßnahmen gegen Cyberkriminalität, Mitarbeiter sind zunehmend sensibilisiert. Das stellt für Kriminelle ein Problem dar. Allerdings lassen sich zwei Ausweichtrends beobachten:

  • Täter zielen mit einfachen Formen der CEO-Masche vermehrt auf kleinere, aber umsatzstarke Unternehmen. Sie gehen mit einem gewissen Recht davon aus, dass viele KMUs bezüglich Cyberkriminalität und CEO-Fraud weiterhin Sicherheitsmängel aufweisen.
  • Kriminelle setzen auf gewieftere Methoden inklusive moderner Technik.

Im zweiten Fall begnügen sich Täter nicht mit einfachen und leicht zu durchschauenden E-Mail-Texten. Im ersten Schritt sammeln sie umfangreiche Firmeninterna. Mit diesem Insiderwissen arbeiten sie anschließend zielgerichtet. Sie täuschen damit glaubwürdig vor, ebenfalls im Unternehmen zu arbeiten. Die Zielpersonen halten einen Identitätsdiebstahl angesichts dieser Informationen für ausgeschlossen. Dieses Insiderwissen kann sich auf viele Bereiche beziehen: Es kann sich um geschäftliche oder private Kenntnisse handeln.

Darüber hinaus nutzen Kriminelle unterschiedliche Kommunikationswege. E-Mail, WhatsApp, Anrufe und Videochats: Die Kommunikation über mehrere Kanäle wiegt die Führungskraft in Sicherheit. Sie kann sich zum Beispiel nicht vorstellen, dass Täter einen Telefonanruf oder gar einen Videoanruf erfolgreich fälschen können.

Künstliche Intelligenz: Täter nutzen innovative Technik

Seit Monaten ist das Thema Künstliche Intelligenz in aller Munde: Spätestens seit der Veröffentlichung des Programms ChatGPT wissen die meisten, welches Potenzial KI besitzt. Chancen und Risiken gehen hierbei Hand in Hand. Kluge Unternehmer und Sicherheitsverantwortliche befassen sich auch mit dem Schadenspotenzial im Rahmen der Cyberkriminalität.

KI-Technik ermöglicht schon heute vielfältige Fälschungen von Fotos, Bewegtbildern und Tonaufnahmen. Die Gefahren beim CEO-Fraud liegen auf der Hand: Kriminelle können sich mit dieser Technik noch leichter als jemand anders ausgeben.

Lange Zeit war eine mögliche Prävention bei zweifelhaften Anweisungen in E-Mails: Der Empfänger meldet sich telefonisch oder per Videochat beim Absender und lässt sich den Inhalt kurz bestätigen. Dieses Verfahren bietet inzwischen keine ausreichende Sicherheit mehr. Niemand kann sich sicher sein, das sich hinter einer Ton- oder Bildaufnahme tatsächlich die angenommene Person verbirgt.

Risiken minimieren: So schützen sich Unternehmen vor der CEO-Masche

Das Vorgehen bei der CEO-Masche wandelt sich, die Gefahren steigen. Vor allem moderne Softwarelösungen auf KI-Basis stellen Unternehmen vor enorme Herausforderungen. Dennoch ist es möglich, entsprechende Betrugsversuche im Keim zu ersticken.

Wichtig ist eine systematische Vorgehensweise. Zu Beginn sollten Firmen eine umfangreiche Sicherheitsanalyse durchführen oder von externen Experten durchführen lassen. Die Gefahrenlage und die bestehenden Sicherheitsmechanismen unterscheiden sich zwischen Unternehmen deutlich. Ein maßgeschneiderter Sicherheitsplan setzt deshalb eine gründliche Analyse voraus.

Vor allem bei kleineren Betrieben mangelt es häufig an grundlegenden Schutzmechanismen. In diesem Fall empfiehlt es sich, unter anderem sämtliche Mitarbeiter für dieses Thema zu sensibilisieren. Eine entsprechende Schulung leistet hierbei wertvolle Dienste. Ein weiterer grundlegender Schutzmechanismus ist das Mehr-Augen-Prinzip. Wenn mehrere Personen am Prozess der Überweisung beteiligt sind, sinkt die Wahrscheinlichkeit eines unüberlegten Handelns.

Auch bei größeren Unternehmen spricht viel dafür, sich intensiv möglichen CEO-Frauds zu widmen. Wenn dieses Thema bereits präsent ist, sollten sich die Verantwortlichen den ausgefeilten Methoden wie KI-basierten Betrugsversuchen zuwenden. Hier ist die Sensibilisierung aller Beteiligter ebenfalls wichtig. Zudem kommt es auf technischen Schutz an. Beispiele sind:

  • effektiver Schutz vor Hacking und Phishing
  • Verschlüsselung der Kommunikation
  • Sicherheitsmechanismen wie Codewörter oder Mehr-Augen-Prinzip

Mehr-Augen-Prinzip kann in diesem Zusammenhang mehrere Bedeutungen annehmen. Entweder müssen mindestens zwei Vorgesetzte unabhängig voneinander eine Transaktion anweisen oder zwei Untergebene müssen an einer Überweisung beteiligt sein. Auch eine Kombination ist möglich. Mit diesen und weiteren Vorsichtsmaßnahmen verringert sich die Wahrscheinlichkeit von erfolgreichen CEO-Frauds erheblich!

Teilen:

Fotostrecke

© Rawpixel.com @ adobe.stock

© Gorodenkoff @ adobe.stock

Newsletter abonnieren

Newsletter abonnieren und Brancheninfos erhalten

Datenschutz*