CEO im Fadenkreuz der Cyberkriminellen
Sensibilisierung der Mitarbeiter
Aufgrund der zunehmenden Attacken fordert nun auch der E-Commerce-Verband eco, die Mitarbeiter in den Unternehmen besser vorzubereiten. «Viele Mittelständler unterschätzen nach wie vor das Risiko, ins Visier von Cyberkriminellen zu geraten», erklärt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco-Verband. Nur 41 Prozent der für seine aktuelle IT-Sicherheitsstudie befragten Unternehmen schulen ihre Mitarbeiter laut Dehning regelmässig, 38 Prozent unregelmässig, 7 Prozent planen Schulungen und 14 Prozent schulen oder sensibilisieren nie.
«Die Zahlen sind angesichts der wachsenden Bedrohungslage noch immer zu niedrig», kritisiert Dehning. Regelmässig die Mitarbeiter zu sensibilisieren, sollte in jedem Unternehmen selbstverständlich sein. Zudem fordert er die Einführung von Sicherheits-Notfallplänen. Solche Pläne hätten bislang aber nur 57 Prozent der befragten Firmen. «Jedes Unternehmen sollte früh genug überlegen, wie es bei einem gravierenden Sicherheitsvorfall reagiert, um den Schaden im Fall der Fälle möglichst gering zu halten», so Dehning. Dem ist nichts hinzuzufügen.
Evolutionsstufen des CEO-Betrugs*
| Evolutionsstufe | Methode | Vorgehen |
| Frühstadium | E-Mail teils mit Schreib- und/oder Grammatikfehlern, schlecht getarntem Absender, abweichenden E-Mail-Adressen | |
| Stufe 1 | Social Engineering | Korrekte Rechtschreibung, gut getarnte Absender mit zum Beispiel kleinen Fehlern und Buchstaben- oder Zahlendrehern |
| Stufe 2 | Gehacktes Intranet | Betrüger hacken das Intranet und verweilen dort für einige Tage. Sie spionieren Zuständigkeiten und Gepflogenheiten wie Umgangston und E-Mail-Stil aus |
| Stufe 3 | Telefonanruf | Ein Betrüger ruft einen Mitarbeiter in der Buchhaltung an, um ihm zum zehnjährigen Firmenjubiläum zu gratulieren. Wenige Wochen später ruft er für den CEO-Betrug erneut an – der Mitarbeiter erkennt die Stimme und führt gemäß der Aufforderung per E-Mail eine Überweisung aus |
| Stufe 4 | Falscher IT-Security- Mitarbeiter | Kurz nach der E-Mail mit der Zahlungsaufforderung ruft ein falscher IT-Mitarbeiter in der Buchhaltung an, um dem Kollegen mitzuteilen, dass bei ihm ein CEO-Betrugsversuch entdeckt worden sei. Alles sei unter Kontrolle und der Mitarbeiter solle „zum Schein“ mitspielen, damit man die Betrüger auf frischer Tat ertappen könne. Es werde keine echte Zahlung ausgelöst, weil man mit der Hausbank kooperiere |
| Stufe 5 | Stimm-Imitation | Aktueller Fall mit Stimm-Imitations-Software: Das Programm ahmt Sprachmelodie und Akzent nach, sodass der Mitarbeiter nach dieser telefonischen Bestätigung denkt, die Anweisung per E-Mail käme tatsächlich vom echten Chef |
| Künftige Stufen | Deepfake, Video, WhatsApp | Weitere technische Fortschritte, etwa beim Machine Learning, machen diese Angriffsvektoren praxistauglich |
Evolutionsstufen des CEO-Betrugs*
| Evolutionsstufe | Methode | Vorgehen |
| Frühstadium | E-Mail teils mit Schreib- und/oder Grammatikfehlern, schlecht getarntem Absender, abweichenden E-Mail-Adressen | |
| Stufe 1 | Social Engineering | Korrekte Rechtschreibung, gut getarnte Absender mit zum Beispiel kleinen Fehlern und Buchstaben- oder Zahlendrehern |
| Stufe 2 | Gehacktes Intranet | Betrüger hacken das Intranet und verweilen dort für einige Tage. Sie spionieren Zuständigkeiten und Gepflogenheiten wie Umgangston und E-Mail-Stil aus |
| Stufe 3 | Telefonanruf | Ein Betrüger ruft einen Mitarbeiter in der Buchhaltung an, um ihm zum zehnjährigen Firmenjubiläum zu gratulieren. Wenige Wochen später ruft er für den CEO-Betrug erneut an – der Mitarbeiter erkennt die Stimme und führt gemäß der Aufforderung per E-Mail eine Überweisung aus |
| Stufe 4 | Falscher IT-Security- Mitarbeiter | Kurz nach der E-Mail mit der Zahlungsaufforderung ruft ein falscher IT-Mitarbeiter in der Buchhaltung an, um dem Kollegen mitzuteilen, dass bei ihm ein CEO-Betrugsversuch entdeckt worden sei. Alles sei unter Kontrolle und der Mitarbeiter solle „zum Schein“ mitspielen, damit man die Betrüger auf frischer Tat ertappen könne. Es werde keine echte Zahlung ausgelöst, weil man mit der Hausbank kooperiere |
| Stufe 5 | Stimm-Imitation | Aktueller Fall mit Stimm-Imitations-Software: Das Programm ahmt Sprachmelodie und Akzent nach, sodass der Mitarbeiter nach dieser telefonischen Bestätigung denkt, die Anweisung per E-Mail käme tatsächlich vom echten Chef |
| Künftige Stufen | Deepfake, Video, WhatsApp | Weitere technische Fortschritte, etwa beim Machine Learning, machen diese Angriffsvektoren praxistauglich |
