Endlich verstehen.

IT-Begriffe einfach erklärt.

CEO Fraud frühzeitig erkennen und richtig handeln

In den letzten Jahren erfreut sich der sogenannte CEO Fraud bei Cyberkriminellen besonderer Beliebtheit, da Mitarbeiter von Unternehmen sensible Daten freiwillig preisgegeben oder erhebliche Summen Geld überwiesen haben. Durch den Einsatz der manipulativen Methode „Social Engineering“ sind tiefgründige Hacker-Skills nicht mehr notwendig, um an das Geld oder die Daten zu gelangen. Wir liefern daher einen Blick hinter die Kulissen der Masche und geben Tipps, wie Sie einen CEO Fraud frühzeitig erkennen und welche Schritte Sie einleiten können.

Was ist der CEO Fraud?

Beim CEO Fraud geben sich Cyberkriminelle als Unternehmenschef aus, um unwissende Mitarbeiter dazu zu bringen, hohe finanzielle Summen zu überweisen. In manchen Fällen sind die Betrüger nicht nur hinter Geld her, sondern haben das Ziel, vertrauliche Informationen zu erbeuten. In der Regel läuft die Kommunikation über E-Mail-Konten ab, bei denen der E-Mail Client den Namen des CEO anzeigt. Nur über das Auflösen des E-Mail Namens wird dann erkenntlich, dass es sich um eine Betrugsmail handelt. Teilweise werden auch E-Mail Konten gehackt, damit das Erkennen des Angriffs noch weiter erschwert wird.

Die Manipulation von technischen Systemen steht jedoch in der Regel im Hintergrund, denn das eigentliche Prinzip des CEO Fraud basiert auf dem sogenannten Social Engineering. Bei dieser Methode, die auf einer philosophischen Theorie aus der Mitte des 20. Jahrhunderts aufbaut, werden im Vorfeld möglichst viele persönliche Informationen sowohl über den Chef als auch über die weiteren Opfer gesammelt. Anschließend wird im Namen des CEO Kontakt mit Mitarbeitern aufgenommen, die über eine Befugnis verfügen, Überweisungen zu veranlassen. Nach und nach wird insbesondere über E-Mail Kommunikation ein Vertrauensverhältnis aufgebaut, damit die Chance steigt, dass ungewöhnliche Überweisungsaufforderungen seitens des CEO nicht hinterfragt werden.

Social Engineering als Basis des CEO Fraud

Das zentrale Element beim CEO Fraud ist die Vorarbeit, die in den meisten Fällen im Social Engineering besteht. Diese Form der Manipulation baut auf der Theorie Karl Proppers aus dem Jahr 1945 auf, welche er in seinem Buch „Die offene Gesellschaft und ihre Feinde“ beschreibt. Proppers philosophischer Ansatz kritisiert dabei unter anderem Hegel, Platon und Marx, die totalitäre Systeme aufgrund von historischen Gesetzmäßigkeiten zu erklären versuchten. Propper widersprach jedoch insofern, dass er die Rechtfertigung solcher Systeme nicht mit geschichtlichen Regelmäßigkeiten akzeptierte. Sein Ansatz beruht hingegen auf der Annahme, dass totalitäre Systeme und Diktaturen durch ein positives zwischenmenschliches Handeln bzw. ein gegenseitiges Beeinflussen verhindert werden können. In einer Rede in Tübingen sagte Propper: „Wir müssen uns klarwerden, dass wir andere Menschen zu entdecken haben und Korrektur von Fehlern brauchen … und sie uns […]“[1] Seine Überzeugung, dass durch äußere Reize das Verhalten des Gegenübers zum Positiven beeinflusst werden kann, um totalitären System entgegenzuwirken, wird in der heutigen Anwendung der Methode jedoch ins Negative gekehrt.

Im Gegensatz zu Propper wird das Social Engineering heutzutage überwiegend zur Manipulation eingesetzt, um Mitmenschen für eigene Zwecke zu instrumentalisieren. Die wohl bekanntesten Fälle von kriminellem Social Engineering waren die Hackeraktionen von Kevin David Mitnick. Er soll mehrere Hundert Male in das IT-Hochsicherheitssystem des Verteidigungsministeriums der USA und einige Male in das CIA-System eingedrungen sein. Das hat er jedoch nicht nur mit technologischen Fähigkeiten geschafft, sondern insbesondere durch den Einsatz von Social Engineering Techniken. Bei seinen Angriffen auf das CIA ist besonders bemerkenswert, dass die Mitarbeiter des Geheimdienstes in verschiedensten Manipulationstechniken für eigene Zwecke geschult werden und dementsprechend die Methode hätten erkennen müssen. Vor allem über gefälschte E-Mails baute Mitnick geschickt Vertrauensverhältnisse zu Mitarbeitern der entsprechenden Abteilungen auf und gelangte so in die Systeme.

Der CEO Fraud basiert genau auf dieser Art der Manipulation. Die Täter versuchen sich im Vorfeld ein möglichst detailliertes Bild über die Opfer zu machen, um deren soziales Verhalten, Gewohnheiten aber auch kommunikative Eigenheiten zu analysieren und in der anschließenden Konversation für ihre Zwecke zu nutzen. Dafür greifen sie unter anderem auf öffentliche Daten aus sozialen Netzwerken zu oder suchen über falsche Vorwände telefonischen Kontakt zu den Opfern, um an nicht öffentlich zugängliche Daten zu gelangen. Dieses Vorgehen wird in manchen Fällen so weit getrieben, dass Benachrichtigung über Unfälle von Angehörigen vorgetäuscht werden, um über die Beunruhigung der Opfer an hochsensible Daten zu gelangen. Der CEO Fraud wird letztendlich in den meisten Fällen zu Zeiten ausgeführt, wenn der Geschäftsführer nur bedingt erreichbar ist, sodass eine mögliche Klärung durch Rückfragen erschwert wird. Solche Informationen erhalten die Cyberkriminellen beispielsweise über Abwesenheitsnotizen des CEOs.

Wie kann man einen CEO Fraud erkennen?

Einen CEO Fraud zu erkennen ist häufig sehr schwierig. Aus technischer Sicht geben E-Mail Adress-Konventionen einen Hinweis, ob es sich um einen Fake Account handelt. Dafür muss jedoch der Name aufgelöst und die E-Mail-Adresse auf Unterschiede geprüft werden. Dieser Schritt wird in der Praxis vermutlich jedoch nur in den seltensten Fällen unternommen. Misstrauisch sollten Mitarbeiter auf jeden Fall dann werden, wenn der CEO Zahlungsaufforderungen verschickt und diese mit einer Schweigepflicht verbindet, so wie es im Jahr 2018 in den Niederlanden erfolgreich geschehen ist.[2] Die Cyberkriminellen gaben sich als CEO aus, der seinen Finanzchef dazu anleitete über einen Zeitraum von ca. zwei Wochen insgesamt 21 Millionen Euro auf ein Konto in Dubai zu überweisen. Als Vorwand gaben sie eine geheime Übernahme durch ein anderes Unternehmen an.

Wie handelt man richtig?

Um nicht Gefahr zu laufen, Opfer eines CEO Fraud zu werden, lautet die Devise vorsichtig zu sein und bei Unklarheiten besser einmal zu viel als zu wenig zu nachfragen. Bei ungewöhnlichem Verhalten, sollte in jedem Fall sowohl der CEO direkt und bestenfalls telefonisch angesprochen werden, damit offene Fragen bestätigt oder widerlegt werden können. Darüber hinaus sollte die IT-Abteilung informiert werden, um die eingegangenen E-Mails auf weitere Gefahren wie infizierte Anhänge zu prüfen und entsprechende Maßnahmen einzuleiten.

Eine zusätzliche Präventionsmaßnahme ist der Einsatz moderner und aktueller IT-Sicherheitslösungen, die in der Lage sind, Gefahren frühzeitig zu erkennen und automatisiert zu reagieren. Unbekannte E-Mails werden über solche Sicherheitslösungen beispielsweise in einem ersten Schritt auf mögliche Bedrohungen in einer isolierten Umgebung geprüft und erst anschließend dem eigentlichen Empfänger zugestellt.

Wenn Sie Interesse an den verschiedenen Einsatzszenarien von IT-Sicherheitslösungen haben, finden Sie über folgenden Link weiterführende Informationen.



Diesen Artikel teilen: