Und wieder ist es passiert, diesmal bei einem niederländischen Filmunternehmen namens Pathé. Anfang des Jahres fielen hier der Managing Director und der CFO auf Betrüger herein, die insgesamt 21 Millionen US-Dollar erbeuten konnten. Aus Angst bei einem angeblichen Zukauf nicht schnell genug zu reagieren, entschieden sich die beiden Manager entgegen allen Bedenken zu einem Geldtransfer. Der Fall wurde inzwischen vor einem Gericht verhandelt und abgeschlossen, das Geld ging komplett verloren.
Die Angriffsmethode CEO-Fraud verbreitet sich auch in Deutschland rasant. Anfang des Jahres hatte eine Studie von PwC zum Thema Wirtschaftskriminalität den Anstieg dieser Art von Betrugsfällen nachgewiesen. Demnach waren seit 2016 40 Prozent der deutschen Unternehmen mindestens einmal vom „Chef-Betrug“ betroffen.

Auch in anderen Ländern wie Österreich versuchen Cyberkriminelle ihr Glück. So war im November bekannt geworden, dass Mitarbeiter von Autohäusern von angeblichen CEOs angewiesen wurden, größere Geldbeträge nach Deutschland und Polen zu überweisen. Diebe gibt es also auch hierzulande, die sich dieser Taktiken und Tricks bedienen.

Der aktuelle Hackerangriff auf die Hotelkette Marriott lässt außerdem erahnen, dass die erbeuteten Datensätzen vor allem für zukünftige CEO-Frauds genutzt werden. Die erbeuteten Datensätze, angereichert mit Informationen aus den sozialen Netzwerken, eignen sich hervorragend dafür. Daher sollten sich Organisationen und ihre Manager vorausschauend darauf vorbereiten, da sie mit hoher Wahrscheinlichkeit ins Fadenkreuz von cyberkriminellen Banden geraten. In einigen dunklen Ecken des Internets, oder aber ganz offen in einschlägig bekannten sozialen Netzwerken werden die Daten der Hotelkette sicherlich in den nächsten Wochen meistbietend verkauft werden.

CEO-Fraud: Die Masche

Ein Tag, an dem ein CEO-Betrug geschieht, verläuft wie jeder andere Tag. Die Mitarbeiter erledigen ihre normalen Aufgaben und arbeiten mit den Menschen, mit denen sie normalerweise zusammenarbeiten. In der Regel beginnen die meisten CEO-Betrugsfälle mit einer Phishing-E-Mail. Eine angriffstypische Email erscheint zunächst völlig legitim, da die richtige E-Mail-Adresse, das richtige Logo oder ein anderes innerhalb des Unternehmens vertrautes Zeichen verwendet wird, um sich als vertrauenswürdige Bank, Lieferant, IRS-Beamter oder Manager auszugeben.

Soziale Medien verraten Cyberkriminellen oft zahlreiche Details, damit diese auf Nachfragen detaillierte Kenntnisse über die Interna des Unternehmens vorweisen können. Und manchmal kann ein besonders schlauer Bösewicht sogar Monate im Voraus auf das unternehmensinterne IT-Netzwerk zugreifen und so Gewohnheiten und Protokolle analysieren, um die richtige Führungskraft oder Autorität noch genauer verkörpern zu können.

Solche Phishing-E-Mails, die extrem glaubwürdig wirken, veranlassen oft auch versierte Mitarbeiter, eine große Geldsumme zu überweisen oder sensible Daten mit den Bösewichten zu teilen.

Die Frage ist: Funktioniert Phishing wirklich noch überall? Die Antwort lautet: Ja, sehr gut sogar. Der Data Breach Investigations Report von Verizon 2018 macht es deutlich: Phishing war im Jahr 2017 kennzeichnend für 98 Prozent der Social Engineering-Angriffe und war an 93 Prozent aller Sicherheitsvorfälle beteiligt.

Die Opfer reichen von Mitarbeitern aus Personal- und IT-Abteilungen über Führungskräfte auf Managementebene bis hin zu Personen mit Genehmigungen zur Überweisung von Geldbeträgen. Die tatsächlichen Techniken variieren. Manchmal bezieht sich eine E-Mail eine auf eine langjährige Beziehung mit einem Lieferanten und verlangt nun, dass Gelder auf ein anderes Konto als bislang hinterlegt überwiesen werden. Oder sie hacken das E-Mail-Konto eines Mitarbeiters, um für einen Lieferanten des Unternehmens eine Rechnung zu stellen, wobei die Zahlungen auf falsche Konten überwiesen werden. Sogar Fälschungen von Steuerunterlagen sind in den USA bekannt geworden, damit sich die Betrüger am Fiskus vorbei bedienen konnten.

Die Anfragen erscheinen legitim und gerechtfertigt, deshalb wird der Betrug selten früh genug entdeckt, um rechtzeitig und noch vor dem finanziellen Verlust gestoppt zu werden. Und nicht nur das gestohlene Geld hat Auswirkungen auf das Unternehmen. Mehrere Klagen wurden bereits im Namen von Mitarbeitern eingereicht, da ihr Arbeitgeber ihre persönlichen Daten nicht ausreichend geschützt hatte. So musste der US-Festplattenhersteller Seagate Mitarbeitern Schadenersatz nach einem CEO-Fraud zahlen, weil im Rahmen eines Sicherheitsvorfalls in 2016 personenbezogene Daten verloren gingen.

Fazit

Manager und Mitarbeiter in den Finanzabteilungen – aber nicht nur hier – sollten ein „New School“ Security Awareness-Training durchlaufen, welches solche Szenarien bereits berücksichtigt und automatisiert simulierte Angriffe in Kombination mit sofortigen Abhilfemaßnahmen durchführt. So gelingt eine gezielte Vorbereitung auf derart ausgereifte Betrügereien. Mitarbeiter werden so  zu einer „menschlichen Firewall“, denn sie erkennen Betrugsversuche sofort oder können diese zumindest als verdächtig einzustufen. E-Mails oder Anrufe können dann an verantwortliche Stellen im Unternehmen weitergeleitet und eskaliert werden. Tipps und Checklisten zur Erkennung des CEO Frauds finden sich unter anderem in dem CEO Fraud Prevention Manual von KnowBe4.