CEO Fraud

Wenn Hacker Chef spielen

18.12.2017 von Pascal Cronauer und Florian Maier

Was nach Dummejungenstreich klingt, kann für Unternehmen verheerende Auswirkungen haben. Wir verraten Ihnen die Tricks der Hacker und wie Sie sich vor dieser existenzbedrohenden Betrugsmasche schützen.

Stellen Sie sich vor, Sie arbeiten in der Buchhaltung und erhalten plötzlich eine E-Mail von der Privatadresse des CEOs Ihres Unternehmens. Zunächst einmal wirkt das nicht unbedingt verdächtig, Geschäftsführer arbeiten schließlich viel, während sie unterwegs sind. Da kann es durchaus vorkommen, dass nicht jede E-Mail vom Firmen-Account abgeht oder richtig signiert ist.

Außerdem kennen Sie Ihren CEO nur vom Namen und hatten bisher noch nicht viel mit ihm zu tun. Eine Aussage über sein Kommunikationsverhalten ist also nur schwer zu treffen. So weit, so unverdächtig. Die E-Mail beinhaltet weiterhin eine Anweisung Ihres Chefs, eine größere Summe Geld auf ein externes Konto im Ausland zu überweisen. Der Grund: Es steht ein Firmenkauf in Asien an. Auch das kommt gelegentlich vor, schließlich arbeiten Sie in der Finanzabteilung und Ihr Unternehmen unterhält eine Niederlassung in Fernost.

Wenn der vermeintliche CEO in Wahrheit ein Hacker ist, kann das für Unternehmen zum existenzbedrohenden Problem werden. Wir sagen Ihnen, wie die Hacker vorgehen und wie Sie sich vor CEO Fraud schützen.
Foto: Elnur - shutterstock.com

Das Problem dabei ist nur: Die E-Mail entstammt gar nicht der Feder Ihres CEOs. Das merken Sie allerdings erst, als es schon zu spät ist. Die Überweisung ist getätigt und kann nicht mehr rückgängig gemacht werden - das Geld ist weg. Und Sie wurden soeben zum Opfer einer perfiden Hacker-Betrugsmasche namens CEO Fraud.

CEO Fraud und die kostenintensiven Folgen

Die Taktiken, die die kriminellen Hacker dabei einsetzen, sind alles andere als neu, funktionieren aber immer noch ziemlich gut. Der Grund liegt insbesondere im fortwährenden Mangel an Security Awareness. Das eben beschriebene Szenario spielt sich übrigens nicht nur im Finanzwesen ab - Unternehmen aller Branchen sind von CEO Fraud bedroht. Logischerweise haben es die Cyberkriminellen bei dieser Betrugsmasche in erster Linie auf Mitarbeiter aus Buchhaltung oder Rechnungswesen abgesehen. Schließlich verfügen die über die nötigen Berechtigungen, finanzielle Transaktionen durchzuführen.

Fälle von CEO Fraud gibt es viele - auch in Deutschland. Vor knapp einem Jahr erwischte es etwa den Automobilzulieferer Leoni. Wie der Konzern in einer Pressemitteilung berichtet, wurde er dabei um 40 Millionen Euro betrogen. Auch die Hofpfisterei in München wurde bereits zum Opfer von CEO Fraud: Chinesische Hacker konnten die Buchhaltung mit einer vermeintlichen E-Mail des CEOs davon überzeugen, insgesamt 1,9 Millionen Euro auf ihr Konto zu überweisen.

Inzwischen warnen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) vor CEO-Fraud. Allein in den letzten Monaten sind nach Angaben der Behörden durch den Cyber-Trickbetrug Schäden in Millionenhöhe entstanden. Allerdings ist dem BKA nach eigner Aussage zuletzt ein Schlag gegen die kriminellen Hacker gelungen: Eine Liste mit mehr als 5000 möglichen Zielpersonen für CEO Fraud ist den Ermittlern demnach in die Hände gefallen. Die Betroffenen wurden inzwischen vom BSI kontaktiert.

BSI-Präsident Arne Schönbohm hat einige Handlungsempfehlungen für den Ernstfall auf Lager: "CEO-Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge, wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten."

"Wir können davon ausgehen, dass viele Dienste bereits kompromittiert sind"

Wie ernst die Lage inziwschen ist, zeigt auch die Studie "CEO E-Mail Exposure: Passwords and Pwnage" des finnischen Sicherheitsanbieters F-Secure. Die Experten haben dafür die E-Mail-Adressen von 200 Entscheidern in Großunternehmen untersucht. Mit erschreckenden Ergebnissen: Einer von drei CEOs wurde laut F-Secure bereits kompromittiert - seine Firmen-E-Mail-Adresse also im Rahmen eines Hacks gestohlen.

Foto: F-Secure

Dazu glichen die Security-Spezialisten von F-Secure die Adressen mit ihren Datenbanken ab. Dabei konnten sie auch feststellen, dass 53 Prozent der festgestellten Datenleaks mit dem LinkedIn-Hack in Zusammenhang stehen. Die Daten von fast allen betroffenen CEOs (81 Prozent) wurden dabei im Netz publiziert. Der Anteil der deutschen CEOs ist unter den Betroffenen mit zehn Prozent noch relativ gering - Spitzenreiter sind Dänemark und die Niederlande.

Foto: F-Secure

Laut Erka Koivunen, CISO bei F-Secure, unterstreicht die Studie die Wichtigkeit einer soliden Passwort-Strategie: "Die Daten der CEOs können selbst dann online veröffentlicht werden, wenn sie selbst nichts falsch gemacht haben. Wir können davon ausgehen, dass viele der Dienste, bei denen wir Konten haben, bereits kompromittiert sind. Unsere alten Passwörter sind im Internet und warten nur darauf, von einem motivierten Angreifer genutzt zu werden."

So funktioniert CEO Fraud

Vor dem CEO Fraud gilt es für Cyberkriminelle erst einmal, Vorarbeit zu leisten. Diese Vorarbeit kennen Sie vielleicht: Social Engineering. Zunächst sammeln die Hacker im Netz, auf Unternehmens-Homepages und auf Social-Media-Kanälen so viele Informationen über ihr konkretes Opfer, dessen Chef und das Unternehmen, wie nur möglich. Um diese Infos zu verifizieren und feststellen zu können, ob sich die "Zielperson" an ihrem Arbeitsplatz befindet, rufen die Hacker diese oft auch einfach an. Dabei schrecken die Kriminellen vor Nichts zurück: Auch Notfallsituationen werden am Telefon vorgetäuscht, wenn es der schnellste Weg ist, um an die benötigten Daten zu kommen.

Im nächsten Schritt kompromittieren die Angreifer dann den E-Mail-Account des CEOs oder nutzen eine Domäne, die der des Unternehmens täuschend ähnlich sieht. Mithilfe der zuvor recherchierten Informationen ahmen sie nun den Kommunikationsstil des Geschäftsführers nach, um die Fake-E-Mail so glaubwürdig wie möglich klingen zu lassen. Teilweise nehmen kriminelle Hacker sogar im Vorfeld Kontakt mit den Betroffenen auf, um ein Vertrauensverhältnis vorzutäuschen.

Ist dieser Schritt absolviert, kann der eigentliche Betrug beginnen: Die Hacker senden die vermeintlich echte Nachricht im Namen des CEOs ab und geben die Anweisung, eine größere Summe auf ein externes Konto zu überweisen. Besonders perfide: Im Regelfall verpflichten die Betrüger ihre Opfer auch noch zu Stillschweigen über die Transaktion. Den meisten Fällen von CEO Fraud gehen längere E-Mail-Korrespondenzen voraus - was wiederum zeigt, wie raffiniert die Hacker arbeiten.

Social Engineering: Die Methoden der Cyberkriminellen

Social Engineering bekämpfen
Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen.

Der "vergessene" USB-Stick
Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen.

Perfekt gefälschte Phishing-Mails
Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen.

Mails von "Freunden" und "Kollegen"
Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge.

Telefonanrufe
Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben!

Physische Sicherheit des Büros
Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen.

Der freundliche Supportmitarbeiter
Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!

Wie Sie CEO Fraud erkennen

Ein Ansatz der Bedrohung durch CEO Fraud entgegenzuwirken, ist die Nutzung von Log-Analysen. Mithilfe entsprechender Software Tools lassen sich betrügerische E-Mails entlarven, bevor sie Schaden anrichten können. Ein solches Tool sollte folgende Betrugsmaschen entlarven können:

Domains mit verdächtigen Zeichen;
E-Mail-Anfragen aus gefährlichen Quellen;
verdächtige Betreffzeilen.

Die wichtigste Funktion einer solchen Lösung sollte alllerdings darin bestehen, E-Mails oder E-Mail-Serien heraus zu filtern, die durch folgende Attribute gekennzeichnet sind:

der Absender scheint ein Manager oder eine Führungskraft zu sein;
ungewöhnliche Domains der Absenderadresse (diese kann in vielen Fällen aus der Message-ID extrahiert werden);
der Client oder Server von dem die E-Mail-Nachricht stammt, ist nicht vertrauenswürdig.

Auch wenn technische Hilfsmittel wie Log-Management oder Sicherheits-Monitoring zur Lösung des Problems beitragen können: Unternehmen und ganz besonders deren Mitarbeiter sollten stets wachsam bleiben. Damit das künftig besser klappt, hat das BSI eine Liste mit Handlungsempfehlungen veröffentlicht, die Ihnen dabei helfen sollen, sich offline gegen die CEO-Fraud-Gefahr zu wappnen:

Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken;
Unternehmen sollten ihre Mitarbeiter für diese und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen;
Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen (Vier-Augen-Prinzip oder unbedingte telefonische Verifizierung durch eine Ressource im Unternehmen);
Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail;
Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber;
Informieren Sie die Geschäftsleitung oder Ihren Vorgesetzten.

CEO Fraud ist und bleibt ein wichtiges Thema. Einerseits weil der Schaden für Unternehmen unter Umständen existenzbedrohend ausfallen kann, andererseits weil er für kriminelle Hacker ein höchst lukratives Geschäftsmodell darstellt. Technische Maßnahmen tragen zwar zur Lösung des Problems bei - allerdings sollten Unternehmen parallel dazu unbedingt das Sicherheitsbewusstsein ihrer Mitarbeiter schärfen.