CEO im Fadenkreuz der Cyberkriminellen

Im Frühjahr dieses Jahres meldete sich an einem Freitagnachmittag der deutsche CEO eines Energieunternehmens per Telefon beim Chef der britischen Niederlassung. Er habe den Transaktionszeitraum seiner Bank für eine wichtige Überweisung leider verpasst. Sie müsse aber vor 16 Uhr getätigt werden, damit die Zahlung noch vor dem Wochenende erfolgen könne. Die Überweisung könne nur noch durch die britische Tochter getätigt werden. In Grossbritannien war es aufgrund der Zeitverschiebung noch eine Stunde früher.

Der Brite habe sich zwar etwas gewundert, da er die Stimme des CEOs jedoch eindeutig erkannte, habe er den Auftrag trotzdem ausgeführt und 220'000 Euro auf ein ungarisches Konto überwiesen, beschreibt Rüdiger Kirsch den Fall. Er ist Betrugsexperte bei der Kreditversicherungsgesellschaft Euler Hermes.

Dass es ausgerechnet eine britische Tochter des Unternehmens getroffen habe, zum Ziel des Betrugs zu werden, ist Kirsch zufolge kein Zufall - zum einen wegen des genannten Zeitunterschieds, aber auch weil die für den Betrug vermutlich verwendete Software zur Imitation von Stimmen momentan lediglich Englisch beherrsche.

Solche und vergleichbare Angriffe auf Führungskräfte in Unternehmen oder in ihrem Namen haben verschiedene Bezeichnungen. Sie werden CEO-Betrug, CEO-Fraud oder auch Fake-President-Masche genannt.

Sie gehören zum grossen Feld des Social Engineerings. Diese Art von Attacken beschäftigt IT-Sicherheitsspezialisten schon seit einer ganzen Weile. Beim Social Engineering suchen Cyberkriminelle nicht umständlich nach technischen Lücken in den Schutzmassnahmen von Unternehmen. Stattdessen setzen sie auf den «menschlichen Faktor», also zum Beispiel auf Mitarbeiter, die mal mehr, mal weniger gezielt adressiert und etwa mit gefälschten Rechnungen zum Ausführen von Schad-Software bewegt werden. Bei Euler Hermes werden diese Betrugsfälle auch als «falscher Johannes» bezeichnet, weil nicht der «echte Johannes» einen Mitarbeiter kontaktiert, sondern ein Betrüger.

Technische Abwehrmassnahmen gelten bei Angriffen via Social Engineering in der Regel als wenig hilfreich. Stattdessen setzen Sicherheitsexperten vor allem auf gezielte und an das jeweilige Umfeld angepasste Security-Awareness-Trainings, in denen die Mitarbeiter auf betrügerische Vorgänge aufmerksam gemacht und auf sie vorbereitet werden.

Im Fall des Energieunternehmens waren die getroffenen Vorkehrungen allerdings vergeblich. Nach Informationen von Euler Hermes war die britische Tochtergesellschaft auf Social Engineering und CEO-Betrug vorbereitet worden. Weil der Mitarbeiter die Stimme des Anrufers aber als echte Stimme seines CEOs einstufte, sei die Täuschung zunächst nicht aufgefallen. Als die Täuschung dann bemerkt wurde, war der Schaden schon nicht mehr gutzumachen: «Das ganze Geld war weg», so Kirsch.

Misstrauisch sei das Opfer erst geworden, nachdem die versprochene unternehmensinterne Zahlung nicht erfolgte und etwas später eine erneute Zahlung veranlasst werden sollte. «Der Täter wurde nach seinem ersten Erfolg gierig und witterte das grosse Geld», kommentiert Rüdiger Kirsch. Dabei sei er aber schlampiger vorgegangen und habe Fehler gemacht. So sei sein zweiter Anruf beispielsweise von einer österreichischen statt einer deutschen Telefonnummer gekommen.