Stellen Sie sich vor, Sie arbeiten in der Buchhaltung und erhalten plötzlich eine E-Mail von der Privatadresse des CEOs Ihres Unternehmens. Zunächst einmal wirkt das nicht unbedingt verdächtig, Geschäftsführer arbeiten schließlich viel, während sie unterwegs sind. Da kann es durchaus vorkommen, dass nicht jede E-Mail vom Firmen-Account abgeht oder richtig signiert ist.
Außerdem kennen Sie Ihren CEO nur vom Namen und hatten bisher noch nicht viel mit ihm zu tun. Eine Aussage über sein Kommunikationsverhalten ist also nur schwer zu treffen. So weit, so unverdächtig. Die E-Mail beinhaltet weiterhin eine Anweisung Ihres Chefs, eine größere Summe Geld auf ein externes Konto im Ausland zu überweisen. Der Grund: Es steht ein Firmenkauf in Asien an. Auch das kommt gelegentlich vor, schließlich arbeiten Sie in der Finanzabteilung und Ihr Unternehmen unterhält eine Niederlassung in Fernost.
Foto: Elnur - shutterstock.com
Das Problem dabei ist nur: Die E-Mail entstammt gar nicht der Feder Ihres CEOs. Das merken Sie allerdings erst, als es schon zu spät ist. Die Überweisung ist getätigt und kann nicht mehr rückgängig gemacht werden - das Geld ist weg. Und Sie wurden soeben zum Opfer einer perfiden Hacker-Betrugsmasche namens CEO Fraud.
CEO Fraud und die kostenintensiven Folgen
Die Taktiken, die die kriminellen Hacker dabei einsetzen, sind alles andere als neu, funktionieren aber immer noch ziemlich gut. Der Grund liegt insbesondere im fortwährenden Mangel an Security Awareness. Das eben beschriebene Szenario spielt sich übrigens nicht nur im Finanzwesen ab - Unternehmen aller Branchen sind von CEO Fraud bedroht. Logischerweise haben es die Cyberkriminellen bei dieser Betrugsmasche in erster Linie auf Mitarbeiter aus Buchhaltung oder Rechnungswesen abgesehen. Schließlich verfügen die über die nötigen Berechtigungen, finanzielle Transaktionen durchzuführen.
Fälle von CEO Fraud gibt es viele - auch in Deutschland. Vor knapp einem Jahr erwischte es etwa den Automobilzulieferer Leoni. Wie der Konzern in einer Pressemitteilung berichtet, wurde er dabei um 40 Millionen Euro betrogen. Auch die Hofpfisterei in München wurde bereits zum Opfer von CEO Fraud: Chinesische Hacker konnten die Buchhaltung mit einer vermeintlichen E-Mail des CEOs davon überzeugen, insgesamt 1,9 Millionen Euro auf ihr Konto zu überweisen.
Inzwischen warnen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) vor CEO-Fraud. Allein in den letzten Monaten sind nach Angaben der Behörden durch den Cyber-Trickbetrug Schäden in Millionenhöhe entstanden. Allerdings ist dem BKA nach eigner Aussage zuletzt ein Schlag gegen die kriminellen Hacker gelungen: Eine Liste mit mehr als 5000 möglichen Zielpersonen für CEO Fraud ist den Ermittlern demnach in die Hände gefallen. Die Betroffenen wurden inzwischen vom BSI kontaktiert.
BSI-Präsident Arne Schönbohm hat einige Handlungsempfehlungen für den Ernstfall auf Lager: "CEO-Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge, wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten."
"Wir können davon ausgehen, dass viele Dienste bereits kompromittiert sind"
Wie ernst die Lage inziwschen ist, zeigt auch die Studie "CEO E-Mail Exposure: Passwords and Pwnage" des finnischen Sicherheitsanbieters F-Secure. Die Experten haben dafür die E-Mail-Adressen von 200 Entscheidern in Großunternehmen untersucht. Mit erschreckenden Ergebnissen: Einer von drei CEOs wurde laut F-Secure bereits kompromittiert - seine Firmen-E-Mail-Adresse also im Rahmen eines Hacks gestohlen.
Dazu glichen die Security-Spezialisten von F-Secure die Adressen mit ihren Datenbanken ab. Dabei konnten sie auch feststellen, dass 53 Prozent der festgestellten Datenleaks mit dem LinkedIn-Hack in Zusammenhang stehen. Die Daten von fast allen betroffenen CEOs (81 Prozent) wurden dabei im Netz publiziert. Der Anteil der deutschen CEOs ist unter den Betroffenen mit zehn Prozent noch relativ gering - Spitzenreiter sind Dänemark und die Niederlande.
Laut Erka Koivunen, CISO bei F-Secure, unterstreicht die Studie die Wichtigkeit einer soliden Passwort-Strategie: "Die Daten der CEOs können selbst dann online veröffentlicht werden, wenn sie selbst nichts falsch gemacht haben. Wir können davon ausgehen, dass viele der Dienste, bei denen wir Konten haben, bereits kompromittiert sind. Unsere alten Passwörter sind im Internet und warten nur darauf, von einem motivierten Angreifer genutzt zu werden."