CEO Fraud 2.0

Andreas Mühlbauer,

Geschäftsführer-Betrug - Wenn der Chef Millionen fordert

Geschäftsführer-Betrug: "CEO Fraud" geht in die nächste Runde. Zusätzlich zur E-Mail gelangen Täter nun über Stimmenimitation und mithilfe künstlicher Intelligenz an Millionen von Euro. Wie die Methode funktioniert und was Unternehmen tun können. Von Attila Misota

Durch CEO Frauds haben Kriminelle bereits Millionen Euro ebeutet. Jetzt kommt ihnen auch noch künstliche Intelligenz zuhilfe. © Mohamed Hassan / Pixabay

In einem Londoner Büro ist es bisher ein ganz normaler Arbeitstag – bis das Telefon klingelt. Am Apparat ist der Chef aus Deutschland und bittet seinen Mitarbeiter, eine dringende Überweisung vorzunehmen. Es ist Freitagnachmittag und in Deutschland bereits nach 16 Uhr. Durch die Zeitverschiebung habe London jedoch noch eine Stunde Puffer und die Überweisung ginge noch heute und nicht erst am Montag raus. Obwohl die Anfrage etwas ungewöhnlich ist, erkennt der britische Mitarbeiter eindeutig die Stimme seines Chefs wieder und veranlasst daher umgehend die Überweisung auf ein ausländisches Konto. Was er nicht weiß: Er ist soeben Opfer des weiterentwickelten CEO Frauds geworden – dem sogenannten Geschäftsführer-Betrug. Das überwiesene Geld landet in den Händen der Betrüger. Es handelt sich hier um einen von vielen echten Vorfällen, über den das IT-Nachrichtenportal Heise berichtete.

Abzocke im großen Stil via Stimmenimitation

Die Betrugsmasche ist per se nicht neu, die Art der Umsetzung allerdings schon. Früher erhielten die Opfer hauptsächlich E-Mails, deren Absender mit allerlei abenteuerlichen Geschichten Überweisungen veranlassen wollten. Auch als Privatperson kennen viele derlei Geschichten rund um Investitionen in ertragreiche Diamantenminen oder arme Reisende, angeblich Bekannte, die nur ein wenig Geld für ihre Heimfahrt benötigen. Beim CEO Fraud hingegen kommt die E-Mail vom vermeintlichen Chef, sogar mit einer passenden Absenderadresse.

Anzeige

Durch die Entwicklung der künstlichen Intelligenz (KI) in Kombination mit besseren Sprachassistenten ist die Masche nun noch trickreicher geworden. Inzwischen können die Betrüger nämlich Stimmen imitieren und damit das Vertrauen von Firmenmitarbeitern in die Echtheit einer Zahlungsaufforderung noch besser ausnutzen. Statt einer E-Mail erhalten die nichtsahnenden Opfer tatsächlich einen Anruf von einer ihnen bekannten Stimme.

Leider handelt es sich hierbei längst nicht mehr um Einzelfälle und die Verluste gehen für Unternehmen schnell in die Millionen. Eine Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC zeigt, dass 40 Prozent von 500 befragten Unternehmen in Deutschland innerhalb von zwei Jahren Ziel eines CEO Frauds wurden. Exakte Verluste und die konkreten Schäden lassen sich indes kaum ermitteln, da die Dunkelziffer der betroffenen Unternehmen noch deutlich größer sein dürfte.

Dennoch erfasste die Polizei 2018 allein in Nordrhein-Westfalen 171 Straftaten im Zusammenhang mit CEO Fraud mit einem Schaden von 6,4 Millionen Euro. Davon entfielen alleine 4,5 Millionen Euro auf ein einzelnes Reiseunternehmen. Der Nürnberger Autozulieferer Leoni wurde bereits 2016 um etwa 40 Millionen Euro erleichtert. Es zeigt sich: Schon ein einzelner erfolgreicher Betrug kann für Unternehmen extreme Konsequenzen nach sich ziehen. Durch die Stimmenimitation mithilfe von KI dürften die Angriffe nun noch erfolgreicher werden als bisher schon.

Künstliche Intelligenz öffnet neue Einfallstore

Wie genau funktioniert also der CEO Fraud 2.0? Sind auch von Fall zu Fall leichte Abweichungen zu erkennen, ist das Grundschema doch immer ähnlich. Zunächst erhält das Unternehmen, oftmals die Buchhaltung, eine E-Mail im Namen des Chefs. Um die Täuschung noch raffinierter zu gestalten, ersetzen die Betrüger die offizielle E-Mail-Signatur auch gerne mit „Sent from my iPhone“ oder ähnlichen kurzen Sätzen, die den Versand von einem mobilen Endgerät aus vorspiegeln. Dadurch soll der Eindruck entstehen, der vielbeschäftigte Chef habe von einem Meeting aus oder von unterwegs schnell eine Nachricht verschickt.

Der folgende Schritt wirkt damit noch authentischer: Der vermeintliche Chef ruft nach dem Versenden der E-Mail im Unternehmen an. Selbst die Stimme passt dabei. Er bezieht sich auf die E-Mail und bittet um eine dringende Überweisung. Damit keine Zeit für Misstrauen, Nachfragen oder eine Überprüfung bleibt, wird der Täter noch vorgeben, anschließend einen sehr wichtigen Termin zu haben und nicht gestört werden zu wollen. Wenn die Buchhaltung daher ohne weitere Rücksprache das Geld überweist, war der Betrug erfolgreich.

Als nächstes stellt sich die wichtige Frage, wie Unternehmen gegen diese Betrugsmasche vorgehen können. Wie immer ist Vorsorge besser als Nachsehen. Zunächst ist es wichtig, die Mitarbeiter für diese Form des Betrugs zu sensibilisieren. Dafür eignen sich Schulungen, in denen wirklich alle im Unternehmen lernen, woran man die Angriffe erkennt und wie man am besten reagiert. Schulungen zeigen noch viel einprägsamer, wie Angreifer vorgehen und wie einfach es ist, derartige Fake-E-Mails zu schreiben. Der skizzierte Ablauf eines typischen CEO Frauds zeigt, dass sich die Methode inzwischen sehr gut nachvollziehen lässt, die entsprechenden Informationen müssen aber auch mit allen Mitarbeitern geteilt werden.

Sollte das Unternehmen bereits Opfer eines solchen Frauds geworden sein, kann sich die Schulung auch an diesem realen Fall orientieren, um die reine Möglichkeit noch stärker in die Wirklichkeit zu holen, wodurch die Mitarbeiter einen stärkeren Bezug dazu haben. Damit auch alle Mitarbeiter zu jeder Zeit wissen, wie sie in solchen Fällen reagieren müssen, sollten die internen Security-Beauftragten oder externe Dienstleister die Sicherheitsrichtlinien und -prozesse auf die Anfälligkeit für KI-gestützte Attacken hin überprüfen und gegebenenfalls anpassen.

Eine einfache Möglichkeit zur Abwehr von Angriffen liegt beispielsweise in der Einführung des Vier-Augen-Prinzips bei Überweisungen, sodass mindestens noch eine weitere Person die Anfrage prüft, bevor Geld in die falschen Hände gelangt. Zudem muss einfach und schnell ersichtlich sein, welche Reaktionen auf Betrugsversuche angemessen sind. Dafür braucht es Handreichungen oder Richtlinien. In vielen Unternehmen sind jedoch noch gar keine Informationen zum Umgang mit Fraud vorhanden. Erst wenn es tatsächlich einen Sicherheitsvorfall gibt, werden Prozesse entwickelt. Dann ist es aber schon zu spät und womöglich bereits eine ganze Menge Geld verloren.

Parallel zu den Schulungen müssen IT-Verantwortliche auch Tests durchführen, um sicherzugehen, dass die Maßnahmen gefruchtet haben. Die Security-Beauftragten verschicken dafür zum Beispiel jährlich Phishing-Mails und testen die Reaktionen der Mitarbeiter. Das gleiche gilt natürlich für Fraud-Mails und fingierte Anrufe. Hierbei geht es nicht darum, einzelne Mitarbeiter vorzuführen, sondern zu messen, wie erfolgreich die Schulungsmaßnahmen waren und an welchen Stellen noch Verbesserungsbedarf besteht.

Cyber-Angriffe werden zukünftig weiter zunehmen

Generell lässt sich sagen, dass durch die Weiterentwicklung der Technologie Cyber-Angriffe wie der CEO Fraud immer effizienter funktionieren, weswegen sie perspektivisch auch weiter zunehmen werden. Natürlich investieren die Täter oftmals viel Zeit in die Vorbereitung und lernen interne Unternehmensprozesse kennen. Duzt oder siezt der Chef seine Mitarbeiter? Der Aufwand zahlt sich allerdings aus, wenn schon ein erfolgreicher Angriff Millionen von Euro für die Täter einbringt – die Motivation ist also entsprechend hoch.

Selbst wenn in Zukunft neben der Verifikation über die Stimme noch weitere Sicherheitsinstanzen hinzukommen, lassen sich Betrugsversuche nie vollkommen ausschließen. Neben der Masche mit der Stimmenimitation sind zukünftig auch Fälle mit fingierten Videoanrufen denkbar. Im Juni 2019 Jahres hat bereits das Deepfake-Video mit Mark Zuckerberg gezeigt, wie authentisch gefälschte Videos wirken können. Es ist also nur eine Frage der Zeit, bis Betrüger auch diese Technologie für sich nutzen. Der CEO Fraud 3.0 wirft seine Schatten voraus. Damit wird es noch wichtiger diese Bedrohung ernst zu nehmen und den Tätern mit gut informierten Mitarbeitern und durchdachten internen Richtlinien gar nicht erst eine Plattform zu bieten.

Attila Misota, Business Development Manager und PreSales-Consultant bei  T-Systems Multimedia Solutions

Anzeige

Das könnte Sie auch interessieren

Anzeige

Editorial

Ist der schon drin oder was?

Erinnern Sie sich noch an Stuxnet? Im Jahr 2010 sorgte der Computerwurm für Aufsehen, der speziell für Siemens Simatic S7 entwickelt wurde und das iranische Atomprogramm sabotieren sollte.

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

IT-Sicherheit

Tägliche Angriffe mit Ransomware

Paddy Francis ist CTO von Airbus CyberSecurity. Mit ihm sprach Andreas Mühlbauer über die Bedrohungen von Industrieunternehmen durch Cyber-Angriffe, die Sicherheit von Cloud-Systemen und die Möglichkeiten und Erfolgschancen von Abwehrstrategien.

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite