Die coronabedingt häufige Erledigung der Aufgaben per Remote-Arbeit im Home-Office wird zunehmend von Cyberkriminellen für Phishing-Attacken ausgenutzt. Mittels Social Engineering werden die im Home-Office agierenden Mitarbeiter ausgespäht und dann per E-Mail, SMS oder Anruf angegriffen. Aus Sicht der kaufmännischen Abteilungen ist hierbei der „CEO-Fraud“ besonders relevant, der auch unter dem Begriff Chefbetrug bekannt ist.

Eine PwC-Studie zur Wirtschaftskriminalität aus dem Jahr 2018 hatte gezeigt, dass diese Betrugsmasche sich zu einer relevanten Bedrohung für den deutschen Mittelstand entwickelt hat. So berichteten 40 Prozent der befragten Firmen, sie seien innerhalb der vergangenen 24 Monate mindestens einmal Ziel einer „CEO-Fraud“-Attacke gewesen. In fünf Prozent der Fälle waren die Kriminellen erfolgreich. Die Beratungsboutique Carmasec hat ein Whitepaper veröffentlicht, in dem diese Phishing-Attacke erklärt und präventive Schutzmaßnahmen empfohlen werden.

Nachgefragt bei: Prof. Dr. Dirk Drechsler	24.10.2019
„Das Social Engineering ist eine Form der Cyberkriminalität”
	Die Techniken des Social Engineering stellen Unternehmen aller Größen vor ein erhebliches Problem. Über die neuen Herausforderungen, die mit der  Fortentwicklung digitalwirtschaftlicher Ökosysteme entstehen, gibt Prof. Dr. Dirk Drechsler, Herausgeber des Bandes „Schutz vor Social Engineering”, der ESV-Redaktion im Interview Auskunft. mehr …

So gehen die Betrüger vor

Die Täter nutzen bei einem CEO-Fraud Informationen, die Unternehmen in Wirtschaftsberichten, im Handelsregister, auf ihrer Website oder in Werbebroschüren veröffentlichen. Für das Beschaffen von Erst-Informationen über das Unternehmen werden vor allem Soziale Netzwerke genutzt. Hierbei ist aus Betrüger-Sicht LinkedIn besonders interessant, da dort Informationen über geschäftliche Beziehungen oder die Identität und Funktion von Mitarbeitenden zu finden sind. Sind die benötigten Daten nicht online verfügbar, kontaktieren die Betrüger direkt die Firma, um die Betrugsmasche trotzdem durchführen zu können. Zu den gesuchten Daten gehören nach Erfahrungen der Cybersicherheitsexperten hauptsächlich die Mailadressen der Angestellten in der Buchhaltung, die am Ende die Zahlungen für die Betrüger vornehmen sollen. Mit den Angaben aus diesen Erstkontakten werden dann gezielte E-Mails mit für das jeweilige Unternehmen plausiblen Angaben verschickt.

Täter üben sozialen Druck auf Angestellte aus

Mitarbeiter der Beratungsboutique Carmasec sehen die Strategie der Betrugsmasche in der Umgehung und unautorisierten Nutzung von vorhandenen Prozessen durch geschickte Täuschung eines Mitarbeiters der Abteilung Finanzen oder der Buchhaltung. Dabei werde meist sozialer Druck auf Mitarbeitende ausgeübt, indem in der Nachricht des vermeintlichen CEO betont wird, dass die Angelegenheit streng vertraulich und besonders zeitkritisch sei. Außerdem wird gewarnt, dass die erhaltene E-Mail nicht mit dem direkten Vorgesetzten besprochen werden darf, da geheime Informationen wie eine Firmenübernahme unter Verschluss bleiben müssen.

Maßnahmen gegen Phishing-Attacken

Vielversprechende präventive Maßnahmen gegen „CEO-Fraud“ sind die Analyse interner Zahlungs- und Abstimmungsprozesse und die Einführung eines Vier-Augen-Prinzips auch für Remote-Arbeit. Weiterhin sollten Mitarbeiter gezielt sensibilisiert und geschult werden, um betrügerische Kontaktaufnahmen direkt zu erkennen, empfiehlt Carmasec. Das Whitepaper finden Sie hier.

Unternehmen zu lasch im Umgang mit Straftaten

Aus einer jetzt von PwC veröffentlichten Studie geht hervor, dass seit 2018 jedes zweite Unternehmen von Wirtschaftskriminalität betroffen war. Die häufigsten Deliktarten: Betrug durch Kunden, Cyberkriminalität und Vermögensdelikte wie Untreue und Unterschlagung. „Nur 56 Prozent der Firmen leiteten ein Verfahren ein, um den schwerwiegendsten Vorfall zu untersuchen“, berichtet PwC. Lediglich ein Drittel erstattete Bericht zu den jeweiligen Vorfällen an ihre Aufsichtsgremien. Die vollständige Studie finden Sie hier.