CEO Fraud
29. Juli 2022

CEO Fraud – was steckt hinter der Betrugsmasche?

Beim CEO Fraud nutzen Cyberkriminelle per E-Mail die Identität des/der Geschäftsführer:in (englisch: CEO / Chief Executive Officer), um beim potenziellen Opfer vertrauliche Informationen oder geheime Zugangsdaten zu erschleichen. Häufig wird dazu eine Stresssituation erzeugt, sodass dem Opfer scheinbar nur wenig Zeit bleibt, um die E-Mail zu verifizieren und Zweifel an der Identität des E-Mail-Gegenübers zu kommunizieren. Der CEO Fraud kann verschiedene Erscheinungsformen annehmen, nutzt aber in der Regel öffentlich zugängliche Informationen, die das Unternehmen selbst zur Verfügung stellt.

CEO Fraud Definition: Betrugsmasche mit Unternehmensinformationen

Cyberangriffe per CEO Fraud verzeichnen seit Jahren immer mehr Zulauf. Expert:innen schätzen den Schaden, der dadurch seit 2014 in deutschen Unternehmen entstanden ist, auf rund 190 Millionen Euro. Zwar berichten die Betroffenen aus Imagegründen nur sehr selten über erfolgreiche CEO Fraud Attacken. Dennoch zeigt die hohe Schadenssumme, dass diese Art des Hackings häufig von Erfolg gekrönt ist. 

Dabei lässt sich eine feststehende Definition nur mit Mühe bestimmen. Wie auch andere Cyberattacken, wandeln sich auch die Erscheinungsformen beim CEO Fraud. Allen gemein ist aber, dass Hacker Mitarbeitende des Unternehmens direkt manipulieren, indem sie ihnen eine falsche Chef-Identität vorspiegeln. Ob CEO, Abteilungsleiter:in oder andere Vorgesetzte: Die Schwachstelle Mensch wird auch beim CEO Fraud zum Nachteil des Unternehmens ausgenutzt und kann so zu großem wirtschaftlichen Schaden führen.

Wie läuft der CEO Fraud ab?

Der CEO Fraud zeichnet sich durch zwei verschiedene Erscheinungsformen aus. 

  • Name-Spoofing: Beim Name-Spoofing nutzen Cyberkriminelle den Namen des/der Geschäftsführer:in, versenden die gefälschte E-Mail aber von einem anderen E-Mail-Konto. Dieses kann dem echten E-Mail-Konto ähnlich sein, unterscheidet sich aber durch einzelne Buchstaben oder Buchstabendreher. Durch die erzeugte Stresssituation setzen die Hacker darauf, dass die Empfänger:innen der E-Mail die abweichende E-Mail-Adresse nicht bemerken und folglich von der Authentizität der E-Mail ausgehen. 
  • E-Mail-Spoofing: Das E-Mail-Spoofing nutzt sowohl den Namen des/der Geschäftsführer:in als auch die richtige Absenderadresse. Aufgrund technischer Voreinstellungen wird die Antwort allerdings nicht an die Absenderadresse geschickt, sondern an eine andere Antwortadresse. Diese gehört den Cyberkriminellen, denen damit das weitere Vorgehen möglich gemacht wird.

Gerade das Name-Spoofing lässt sich vermeiden, wenn Mitarbeitende im Unternehmen über ein geschultes Sicherheitsbewusstsein verfügen. Dazu gehört auch eine entsprechende Cyberresilienz gegenüber den typischen Sicherheitsbedrohungen und der aufmerksame Umgang mit E-Mails. Um Ihr Unternehmen nicht nur gegen Cyberangriffe zu wappnen, sondern ganzheitlich beim Thema IT-Sicherheit zu schützen, bieten sich die Online-Schulungen von lawpilots im Bereich der Informationssicherheit für Mitarbeitende an.  

Woher bekommen Cyberkriminelle die notwendigen Informationen?

Beim CEO Fraud nutzen die Angreifer:innen Informationen, die sich aus öffentlich zugänglichen Quellen ergeben. Unternehmen stellen diese häufig selbst zur Verfügung. Wirtschaftsberichte, die hinterlegten Daten im Handelsregister, die unternehmenseigene Webseite oder auch gedruckte Broschüren eignen sich bestens als mögliche Informationsquelle. 

Ebenfalls nützliche Informationen ergeben sich regelmäßig aus den sozialen Netzwerken. Hier geben Unternehmen scheinbar unkritische Details preis, die Hacker für einen CEO Fraud nutzen.

Wie können sich Unternehmen aktiv vor einem CEO Fraud schützen?

Unternehmen können nachweislich aktiv gegen Angriffsversuche mittels CEO Fraud vorgehen. Dazu zählt in erster Linie die bereits erwähnte Sensibilisierung der Belegschaft. Mit interaktiven E-Learnings bietet lawpilots hierbei die Möglichkeit, Unternehmen nachhaltig vor Schäden durch Cyberattacken zu schützen.

Neben Schulungen und Weiterbildungen gibt es auch ganz konkrete Tipps, mit denen Sie Ihr Unternehmen vor CEO Fraud-Angriffen schützen können.

  • Achten Sie darauf, was Sie offiziell bzw. unternehmensseitig publizieren und der Öffentlichkeit präsentieren. Das gilt vor allem für Informationen auf der Webseite und in den sozialen Netzwerken. Besonderes Augenmerk gilt hierbei den Angaben über Mitarbeitende – Telefonnummern, E-Mail-Adressen und Erreichbarkeiten bieten Cyberkriminellen mögliche Einstiegsmöglichkeiten für einen Angriff.
  • Mitarbeitende sollten eingehende E-Mails auch unter Zeitdruck und Stress auf die Absenderadresse kontrollieren und dabei gerade auch auf die korrekte Schreibweise achten. Bei Zweifeln, Auffälligkeiten oder Unklarheiten sollte die Verifizierung als Kontrollmechanismus verpflichtend eingeführt werden. Rückfragen können mündlich, aber auch schriftlich formuliert werden. 
  • Bestehen Zweifel an der Identität des Gegenübers, ist die Herausgabe von weiteren Informationen sofort zu stoppen. Mitarbeitende sollten die Anweisungen dann nicht befolgen, sondern auf vorher festgelegte Prozesse zurückgreifen, die im Unternehmen für solche Fälle definiert werden. 

CEO Fraud funktioniert auch auf analogem Weg

Der CEO Fraud beschränkt sich nicht nur auf digitale Wege. Er funktioniert genauso auch auf analogem Weg. Die Täter:innen nutzen dann Briefe, die angeblich von Angehörigen des Vorstands oder von einer Bundesbehörde stammen. Auch dabei ist das Ziel, die Mitarbeitenden im Unternehmen zu manipulieren. Durch die Digitalisierung sind aber digitale Versuche des CEO Frauds wesentlich häufiger als analoge Versuche.

Fazit

Auch 2022 gehört der CEO Fraud zu den gefährlichsten Cyberangriffen auf Unternehmen in Deutschland. Dies liegt zum einen in der scheinbaren Einfachheit des Angriffs begründet und zum anderen im schnellen Erfolg. Allerdings kann eine Cyberattacke ihre Wirkung nur dort entfalten, wo Mitarbeitende nicht ausreichend über Angriffsmöglichkeiten und Sicherheitsrisiken informiert sind. Neben unseren Online-Schulungen bieten wir zusätzliches Wissen zum Thema Cyberattacken in unserem kostenlosen Whitepaper „Cyberangriffe verhindern“.

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Mitarbeitenden nicht nur zum Thema IT-Sicherheit, sondern auch in den Bereichen Datenschutz, Compliance und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Bedrohungen und Schäden durch Hacker schützen und Risiken frühzeitig identifizieren und umgehen.

05. August 2022
Verstoß gegen Compliance Regeln: millionenschweres Risiko für Unternehmen
22. Juli 2022
Lärm am Arbeitsplatz: Wenn es im Büro zu laut ist
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,64 von 5 Sternen 2175 Bewertungen auf ProvenExpert.com