In Zeiten reger Internetnutzung, Homeoffice und dergleichen verschwimmen die Grenzen zwischen Beruf und Privatleben zunehmend. Es muss nicht eigens erwähnt werden, dass einem Angreifer jedes (einfache) Ziel recht ist. Letztlich können Sie sich durch das Einhalten einfacher Verhaltensregeln in allen Lebensbereichen schützen. In diesem Artikel mache ich Sie auf CEO-Fraud gegenüber Unternehmen aufmerksam und empfehle Gegenmaßnahmen.
Beim sogenannten CEO-Fraud gibt sich ein Angreifer - und dies könnte nicht nur via E-Mail sondern auch telefonisch geschehen - als Geschäftsführer (oder sonstiger Entscheidungsträger) aus. Es handelt sich um eine Variante des ‘social engineering’, welche das Opfer mittels Vortäuschen von Autorität und Zeitdruck etwa zu einer Überweisung veranlassen soll. Hegt das Opfer dieser Betrugsmasche Bedenken so könnte der Angreifer eine besondere Situation (Dienstreise, Notfall / Unfall, Geschäftsgelegenheit) schildern oder einen “persönlichen Gefallen” fordern.
Wie kommt ein Angreifer zu dem Hintergrundwissen, welches den Aufbau der Betrugsgeschichte erlaubt? Vereinzelte (Personen-)Daten erscheinen oft nutzlos und lässt sich auf den ersten Blick kein Missbrauchspotenzial erkennen. Anders sieht es aus, wenn Daten verknüpft und mit einem Kontext / Zweck versehen werden - man spricht nun von “Information”. Zeigt der Betrüger viel Hintergrundwissen ist das Opfer geneigt, ihm Vertrauen zu schenken.
Ein Beispiel:
Ein geplanter Messebesuch im Ausland und der zeitnahe Geburtstag des Geschäftsführers scheinen für sich genommen recht “unbedenkliche” Ereignisse zu sein. Der Kriminelle jedoch wird eine für sein Vorhaben ideale Situation erkennen.
- Eine unbekannte ausländische Handynummer könnte durch eine Panne, Verlust des Gepäcks und dergleichen begründet werden. Die beim Anruf angezeigte Ländervorwahl erscheint zunächst verdächtig - doch betreibt das Unternehmen ja gerade den Messestand im jeweiligen Land…
- Der wahre Geschäftsführer führt auf der Messe indessen Gespräche, weshalb ihn eine gut gemeinte Rückfrage (über etablierte Kommunikationskanäle) nicht erreicht…
- Schließlich möchte man den Geschäftsführer - welcher noch dazu Geburtstag hat - an den anstrengenden Messetagen nicht weiter stören…
- Ein im Anschluss an die Messe ausgerichtetes Fest erscheint plausibel, da der Geschäftsführer auch sonst für seine Großzügigkeit und Spontanität bekannt ist…
- Ebenso könnte die geforderte Eilüberweisung auch durch eine (durch persönliche Kontakte auf der Messe begründete) einmalige Geschäftschance begründet werden…
Ist es nicht etwas absurd, wenn der Angreifer eine Geburtstagsfeier erfindet, obschon (bereits) der Messeauftritt die Notwendigkeit von Zahlungen nahelegen würde? (Vermeintlich) betrieblich veranlasste Zahlungen könnten durch UID-Prüfprozesse, Hinterfragen von Betriebsausgaben- und Vorsteuerabzug, altbekannte IBANs von Geschäftspartnern, abweichende Belege usw. vielleicht eher auffliegen.
Besitzt der Geschäftsführer einen Gesellschaftsanteil - und diesen Umstand erfährt man im öffentlichen Firmenbuch - liegt das Vorhandensein von “Verrechnungskonto”-Buchungen nahe. Privat veranlasste Überweisungen beziehungsweise Darlehen an Gesellschafter könnten über das reguläre Bankkonto des Unternehmens durchaus öfters abgewickelt werden.
Bei guter Bonität und stabilem Einkommen Ihres Gesellschafter-Geschäftsführers ist also selbst das Vortäuschen eines privaten Geldbedarfes eine Methode, welche zur erfolgreichen Überweisung führen könnte. Der Angreifer würde weiters vorgeben, dass die Familie nichts von der teuren Anschaffung erfahren dürfe - und so abweichende Kommunikationskanäle rechtfertigen. Entsprechende Verträge wolle man natürlich nachreichen – damit gegenüber dem Finanzamt alles seine Ordnung hat…
Wie Sie sehen, lassen sich durch monatelanges Ausspähen des Opfers und mit einiger Kreativität zahlreiche 'Angriffsvektoren' finden. Meines Erachtens können sowohl Standardfälle - laufend anfallende Überweisungen an Lieferanten - als auch extreme Situationen (wie oben erzählt) in gleichem Maße zum Angriffsziel erklärt werden.
Denn: Bei Standardfällen verleitet die Routine zur Nachlässigkeit. Besonders ausgefallene Konstellationen hingegen führen vielleicht zum Kopfschütteln aber lassen mitunter keinen Betrug erahnen. Wie sollte ein Außenstehender auch von diesen ganzen Umständen wissen? Vielleicht fühlt sich das Opfer in der Buchhaltungsabteilung sogar geschmeichelt, dass es vom “Geschäftsführer” um besondere Diskretion - sogar gegenüber Kollegen und der eigenen Vorgesetzten - ersucht wird.
Wie Sie sehen, sind ‚Facebook‘, ‚Whatsapp‘, ‚Linkedin‘ und dergleichen für exponierte Personen nicht unproblematisch. Nicht nur sind Geschäftsführer betroffen, sondern werden sich – nur um einige Beispiele zu nennen - auch Zollverantwortliche im Flugzeugbau oder Forscher in der Pharmabranche genau überlegen, ob der Nutzen eines Online-Auftrittes die Risiken überwiegt.
Was können wir gegen CEO-Fraud und ähnliches ‘Cybercrime’ tun?
Die unten aufgezählten Maßnahmen sind beispielhaft. Ein abschließender Maßnahmenkatalog könnte nur nach Erhebung Ihrer Ausgangssituation und Festmachen der Risiken erstellt werden.
- Exponierte Personen einschließlich Geschäftsführer werden in ‘Sozialen Medien’ das Indizieren für Suchmaschinen abschalten und/oder die Sichtbarkeit des eigenen Profils auf freigegebene Kontakte beschränken. (In der Folge sollte man nicht jeden Interessenten freigeben.) Bei privaten ‘social media’ wird man Pseudonyme verwenden oder - noch besser - von einer Nutzung absehen.
- Die gesamte Belegschaft muss im Zuge von ‘awareness training’ immer wieder sensibilisiert werden. Die Wendung “Schwachstelle Mensch” bedeutet, dass bei immer ausgereifteren IT-Security-Maßnahmen (zum Beispiel Verschlüsselung) Angreifer zunehmend auf ‘social engineering’ setzen. Dabei werden menschliche Eigenarten wie Vertrauen, Sympathie und Furcht vor Repressalien ausgenutzt.
- Jedes Abweichen von der Norm - sei es eine unbekannte Telefonnummer, E-Mail Adresse oder IBAN - muss uns an eine mögliche Cyber-Attacke denken lassen.
- Ist die Stimme des Geschäftsführers nicht bekannt, könnte das kurze Einschalten einer Videokamera und Zeigen eines Lichtbildausweises zur Erkennung beitragen.
- Der “Stand der Technik” (Zertifikate, Verschlüsselung, zwingende Passwortrichtlinien, Multi-Faktor-Authentifizierung) soll - nach Möglichkeit - stets eingehalten werden.
- Wurde ein Kommunikationskanal (vermutlich) kompromittiert, sollte eine Rückfrage auf einem anderen Weg geschehen. So wird man bei einem verdächtigen E-Mail auf der (bekannten) Telefonnummer anrufen.
- Vier-Augen-Prinzip bei Überweisung höherer Beträge;
- Instant Messenger sollten u.a. nach den Kriterien Sicherheit und “datenschutzfreundliche Voreinstellungen” ausgewählt werden. Bleibt die Nutzung zweifelhafter Instant Messenger nicht aus (etwa wegen derer Verbreitung), so müssen bestmögliche Einstellungen getroffen werden. Dazu zählt insbesondere, sich nicht von Jedermann in Gruppen hinzufügen zu lassen. Es wäre meines Erachtens verfehlt, kategorisch von Instant Messengern abzuraten, da eine korrekt umgesetzte Ende-zu-Ende-Verschlüsselung Vorteile gegenüber E-Mail und Telefon bieten würde.
Getroffene Sicherheitsmaßnahmen sollten Ihrem Bedarf entsprechen und auch den Benutzerkomfort nicht außer Acht lassen - fragen Sie mich gerne!
Der nächste Newsletter widmet sich dem Schutz von Kreditkarten, was für Sie besonders im Privatleben und auf Reisen interessant sein wird.