Aug

10

CEO-Betrug - Wenn Sie gefragt werden “das Geld
schnellstmöglich zu überweisen”

by

Ein Blick auf gängige Arten der Cyberkriminalität

‘Bitte überweisen Sie das Geld schnellstmöglich’. So oder so ähnlich könnte der Beginn einer E-Mail lauten, die uns direkt zu einer der häufigsten Formen der Cyberkriminalität bringt, nämlich dem sogenannten CEO-Betrug.

Wussten Sie, dass PwCs Global Economic Crime Survey 2016 zufolge ein Drittel aller Unternehmen bereits Opfer von Internetkriminalität geworden sind? Lassen Sie uns dies an einem Beispiel verdeutlichen. Unsere Blogbeiträge ziehen im Durchschnitt etwa 1000 Leser an. Das heißt, dass wir davon ausgehen können, dass mehr als ein Drittel unserer Leser, also etwa 300 von Ihnen in Ihrem Beruf in der ein oder anderen Weise mit Internetkriminalität in Berührung gekommen sind. Erinnern Sie sich noch daran, als Sie begonnen haben zu studieren? Saßen Sie damals auch in einer Einführungsveranstaltung, die der freundliche Professor mit den motivierenden Worten begonnen hat, dass Sie nach links und rechts schauen sollten und dass diese Leute am Ende des Studiums nicht mehr da sein würden? Wir könnten das Gleiche über Cyberkriminalität sagen. Schauen Sie nach links und rechts: Viele Unternehmen sind bereits Opfer von Cyberkriminalität geworden. Aber wie genau passiert diese Cyberkriminalität? Was ist Ihrer Meinung nach das größte Sicherheitsrisiko für Unternehmen, wenn es um Finanz-Cyberkriminalität geht? Ist es, gehackt zu werden? Nein, die Gefahr liegt, wie so oft, viel mehr auf der menschlichen Seite der Dinge. Das größte Sicherheitsrisiko für Zahlungsabläufe in Unternehmen ist nämlich, wenn manuelle Zahlungen auf der Führungsebene vorgenommen werden.

 

Wie CEO-Betrug in der Praxis passiert

Wie genau funktioniert also dieser CEO-Betrug? Häufig nutzen die Betrüger die Autorität des CEO, oder vielmehr die Macht seines Namens zu ihren Gunsten. Daher der Name CEO-Betrug. Allerdings können sich Kriminelle auch sämtliche Namen der Führungsebene eines Unternehmens zunutze machen. In diesem Fall spricht man von C-Level-Betrug. Stellen Sie sich vor, Sie sind im Büro und bekommen eine E-Mail, die aussieht, als käme Sie von Ihrem CEO. In dieser Email bittet er Sie, bitte schnellstmöglich eine Überweisung für ihn auszuführen. Sie haben die Befugnis Zahlungen in einer bestimmten Höhe anzuweisen und wollen Ihrem CEO helfen und veranlassen die Zahlung. Es ist wichtig zu erwähnen, dass Betrüger im Voraus bedenken, wie Zahlungsabläufe in Unternehmen stattfinden. Sie nehmen also an, dass in Unternehmen häufig Zahlungen manuell gefordert und vorgenommen werden. Und genau so funktioniert CEO-Betrug.

Eine Person in der Organisation, die Zahlungen genehmigen kann, bekommt eine Nachricht von einem der C-Level-Manager, um schnell Geld zu überweisen. Die Person überweist das Geld und das wars dann - das Geld ist weg. Es klingt fast zu einfach, um wahr zu sein. Aber wenn wir uns in die Position der Person versetzen, die die Anfrage erhält, sehen wir sofort, dass es eine intelligente Strategie ist. Oder würden Sie die E-Mail Ihres CEOs infrage stellen? Hand aufs Herz, vielleicht fühlen wir uns sogar ein bisschen geschmeichelt, dass gerade wir mit dieser wichtigen Bitte kontaktiert wurden.

Nun bleibt noch die Frage offen, woher Kriminelle wissen, wen genau sie kontaktieren müssen. Woher wissen sie, wer welche Zahlungsbefugnisse in Unternehmen hat? Nun, wir veröffentlichen täglich umfangreiche Informationen über soziale Plattformen.  Das macht es unglaublich einfach, Informationen zu sammeln, zu analysieren, zu nutzen und neue Opfer für Cyberkriminalitätsattacken, oder wie es im Englischen genannt wird: ‘Whaling’, zu finden. Zum einfachen Überwachen von Daten, die wir frei teilen, kommen nun auch noch die technischen Möglichkeiten wie zum Beispiel Überwachungssoftware, die es Betrügern ermöglicht, E-Mail Adressen von potentiellen Opfern nachzuverfolgen. Dieser Nährboden lässt Cyberkriminalität gedeihen und ermöglicht es leider, dass so viele Unternehmen ihr zum Opfer fallen. In unserem nächsten Blogpost werden wir uns konkreten Ansätzen zur Absicherung gegen Cyberkriminalität zu wenden.

Laden Sie hier unsere Infografik herunter, um zu sehen, welche Bereiche im Unternehmen besonders gefährdet sind.