Skip to main content
main-content

27.03.2017 | Internetkriminalität | Im Fokus | Onlineartikel

CEO-Betrug nimmt drastisch zu

Autor:
Sven Eisenkrämer

Kriminelle nutzen Business Email Compromise verstärkt, um an Geld oder Daten von Unternehmen zu gelangen. Der sogenannte CEO-Betrug hat bereits mehr als drei Milliarden US-Dollar Schaden angerichtet.

Die Zahl von BEC-Angriffen (Business Email Compromise, auch CEO-Fraud oder CEO-Betrug genannt) auf Unternehmen wächst massiv. Wie der IT-Sicherheitsdienstleister Proofpoint in einer aktuell veröffentlichten Studie ermittelt hat, sind Angriffe mit gefälschten, internen Unternehmens-E-Mails allein in den letzten drei Monaten des Jahres 2016 um 45 Prozent im Vergleich zum Quartal davor angestiegen. "Die Angriffe werden immer ausgefeilter und erfolgen in immer kürzeren Abständen", sagt Proofpoint. Das Cyber-Security-Unternehmen hat für die Studie Angriffsversuche bei mehr als 5.000 Unternehmenskunden untersucht.

Empfehlung der Redaktion

2016 | OriginalPaper | Buchkapitel

Das digitale Bauchgefühl

These: Noch fehlt uns ein „digitales Bauchgefühl“, die Umsicht, die uns im Alltag vor Dummheiten schützt.


Bei einem BEC-Angriff täuscht der Angreifer zum Beispiel die Identität eines Managers vor und sendet ganz gezielt eine E-Mail an Mitarbeiter des Unternehmens, eventuell mit der Anweisung, Geld zu überweisen oder wichtige Firmeninformationen zu versenden.

Schon mehr als 22.000 Unternehmen sind BEC-Opfer

Laut der US-Bundesbehörde FBI beträgt der Schaden, der durch BEC-Angriffe entstanden ist, bereits mehr als drei Milliarden US-Dollar. Im Sommer 2016 hatte das IC3 (Internet Crime Complaint Center) des FBI 22.143 Unternehmen als Betrugsopfer festgestellt und fünf gängige Betrugsszenarien ausgemacht:

  1. Zusammenarbeit mit einem fremden Zulieferer: Dabei wird ein Unternehmen mit gefälschten Anfragen eines angeblichen Lieferanten gebeten, einen Rechnungsbetrag auf ein alternatives Konto des Betrügers zu bezahlen.
  2. Falscher CEO: Kompromittierte E-Mail-Accounts von hochrangigen Firmenvertretern wie CEOs, CFOs oder CTOs werden genutzt, um Mitarbeiter aufzufordern, Geld an ein bestimmtes Konto zu überweisen. Die E-Mail-Konten können dabei gefälscht oder tatsächlich gehackt und übernommen worden sein. Hier spricht man vom eigentlichen CEO-Fraud oder CEO-Betrug beziehungsweise von Business Executive Scam oder Financial Industry Wire Frauds.
  3. Datendiebstahl: Gefälschte CEO-Mails werden genutzt, um beispielsweise sensible Daten aus Personalabteilung, Buchhaltung oder Controlling abzugreifen. Einige dieser Angriffe hat das FBI im Vorfeld anderer BEC-Angriffe ausgemacht.
  4. Sonstige Betrügerische Korrespondenz: Die persönlichen E-Mail-Accounts von Angestellten eines Unternehmens werden gehackt und zur Kommunikation mit Geschäftspartnern genutzt. Dabei kann um die Zahlung einer Rechnung an die Konten der Betrüger gebeten werden.
  5. Anwaltsbetrug: Betrüger geben sich als Rechtsanwälte aus und behaupten, vertrauliche oder zeitkritische Angelegenheiten zu behandeln. Dabei werden die angesprochenen Mitarbeiter beispielsweise unter Druck gesetzt, schnell oder heimlich bei der Abwicklung mitzuarbeiten und Überweisungen zu tätigen.

Große Unternehmen sind profitablere Betrugsziele

Wie Proofpoint in seiner Studie ermittelt hat, sind die Opfer von BEC-Attacken Unternehmen jeder Größe. Je größer die Firma, desto attraktiver scheint das Ziel für die Angreifer zu sein. Die höheren Finanzmittel und die wegen der Komplexität des Unternehmens geringere Chance, entdeckt zu werden, spielen hier offenbar eine Rolle. Hauptziele sind Unternehmen, die in der Fertigung aktiv sind, im Einzelhandel oder im Technologiesektor. Die Betrüger versuchten dabei häufig, komplexe Lieferketten und Software-as-a-Service-Infrastrukturen auszunutzen. 


In einer Fallstudie hat Springer-Autor Markus Jakobsson im Springer-Buch "Understanding Social Engineering Based Scam" (2016) die Business-Email-Compromise-Attacken untersucht. Die Angreifer gehen laut Jakobsson prinzipiell mit drei Methoden vor, um sich zu verschleiern, auch "masquerading" genannt: 

  • Account Take-Over (ATO), bei dem ein E-Mail-Account einer vertrauenswürdigen Person in einem Unternehmen übernommen wird;
  • Spoofing, bei dem über Mail-Relay-Server E-Mails versendet werden, die für den Empfänger wie echte Mails des Vertrauenswürdigen aussehen;
  • Cousin Name Attack, eine einfachere Methode des Spoofing, bei dem eine Identität der vertrauenswürdigen Person gefälscht wird und von einem neuen E-Mail-Account, der nur angeblich demjenigen gehört, Kontakt zu Mitarbeitern hergestellt wird.

Fast Dreiviertel aller BEC-Mails enthalten laut Proofpoint Begriffe wie "Dringend", "Auszahlung" oder "Anfrage" im Betreff. Diese Attacken nutzen also in erster Linie keine technischen Schwachstellen, sondern zielen alle auf den Faktor Mensch. 

Auch wenn es noch so verlockend ist: Solange wir bei klarem Verstand sind, springen wir nicht in unbekanntes Wasser und essen keine Beeren von Sträuchern die uns nicht als ungiftig bekannt sind. Erfahrung und das oft zitierte "Bauchgefühl" warnen uns im Alltag vor Gefahren. Gleiches gilt für die Einschätzung von Situationen für andere, beispielsweise Kinder, Jugendliche oder ältere Angehörige. Im Internet fehlt diese Umsicht den meisten von uns."
Lena-Sophie Müller im Buchkapitel "Das digitale Bauchgefühl" im Springer-Buch "Digitale Souveränität" (2016, Seite 267).

Mitarbeiter-Sensibilisierung ist wichtige Aufgabe

Zur aktuell vielfach geforderten digitalen Souveränität gehört ein funktionierendes IT-Risikomanagement. Dazu gehört immer auch die Sensibilisierung aller Mitarbeiter eines Unternehmens IT-Gefahren (wie Scam-Attacken und BEC) durch Weiterbildung und Coaching. Das betonen auch Reiner Kraft und Mechthild Stöwer in ihrem Fachbreitrag "IT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze" im Springer-Magazin "HMD Praxis der Wirtschaftsinformatik" (1/2017). 

Die Sensibilisierung gerade für solche Attacken ist umso wichtiger, da typischerweise BEC-Nachrichten nicht von Spam-Filtern und anderen traditionellen Filtertechnologien erkannt werden, wie Jakobsson in seiner Fallstudie erklärt. 

Doch es gibt Techniken, die auch solche Nachrichten erkennen und blockieren können. So beschreibt Jakobsson einen Algorithmus, der Namen und E-Mail-Adressen analysiert und die oft nur minimal vom Original abweichende Bezeichnung bewertet. Geht eine E-Mail ein, die beinahe gleich zu der eines vertrauenswürdigen Absender ist, bei der aber der Account nicht übereinstimmt, übernimmt eine Routine und die Nachricht wird mit einer Warnung für den Empfänger versehen. Ähnlich kann mit Nachrichten von gehackten E-Mail-Accounts verfahren werden, bei denen die Antwort-Adresse ("reply-to") vom Betrüger geändert wurde. 

Mittlerweile sind auch ausgeklügelte Sicherheitsmechanismen auf dem Markt erhältlich, die sich in bestehende E-Mail-Strukturen in Unternehmen jeder Größe einbinden lassen. 

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

01.02.2017 | Digital | Ausgabe 1-2/2017

Cyber-Betrüger auf dem Vormarsch

2016 | OriginalPaper | Buchkapitel

Das digitale Bauchgefühl

Quelle:
Digitale Souveränität

2016 | OriginalPaper | Buchkapitel

Der Faktor Mensch

Quelle:
Ich glaube, es hackt!

Das könnte Sie auch interessieren

22.03.2017 | IT-Sicherheit | Nachricht | Onlineartikel

Sicherheit als neue Business-Unit

21.02.2017 | Versicherungsvertrieb | Im Fokus | Onlineartikel

Welche Vorteile Cyber-Policen bieten

02.08.2016 | Risikomanagement | Im Fokus | Onlineartikel

Wer verantwortet die Cybersicherheit?

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!