Wenn der Fake-Chef Millionen kostet

Wie lässt sich CEO-Fraud verhindern?

Die Attacken und Vorgehensweisen von Cyberkriminellen werden also immer ausgefeilter. Auf seiner Website liefert das NCSC einige Vorschläge, wie man seine Firma auf diese vorbereiten kann (vgl. Kasten). Meindl von Check Point empfiehlt Unternehmen einerseits, die gesamte Belegschaft regelmässig zu schulen, die Möglichkeiten der Hacker aufzuzeigen und die Sensibilität der Mitarbeitenden zu schärfen. Andererseits rät sie zum Einsatz von Cyber­security-Lösungen. «Es gibt leider immer noch sehr viele Unternehmen, die nur einen sehr kleinen Teil der zur Verfügung stehenden Technologien einsetzen», sagt sie. Das mache es Hackern besonders einfach. In Bezug auf Deepfakes soll gemäss der Country Managerin ein genau definierter Prozess im Cybersecurity-Konzept integriert werden, der unter anderem festlegt:­
  • Wann von welcher Person welche Aktionen durchgeführt werden dürfen;
  • ob eine bestimmte Summe aufgrund des Anrufs eines Vorstands überwiesen werden darf;
  • oder ob kritische Daten herausgegeben werden dürfen, weil es dazu eine Videobotschaft des Chefs gibt
Bei Totemo setzt man auf die hauseigene Security-Lösung auf Blockchain-Basis, mit der sich die Authentizität von E-Mails prüfen lässt. Laut dem Chief Technology Officer Mock funktioniert das für die eigenen Mitarbeitenden innerhalb des Unternehmens wie auch für jene von Kunden oder Lieferanten. Ihm zufolge wird dafür jede Nachricht mit einem individuellen QR-Code versehen, den die Empfänger mit ihrem Handy scannen oder direkt anklicken können. Sie würden dann auf die Website des Versenders geführt, auf der die Metadaten der E-Mail ersichtlich seien. So könne man verifizieren, ob die E-Mail auch wirklich vom vorgegebenen Absender stammt.
Aufmerksamkeit, kritisches Hinterfragen und auch der Einsatz praktischer Sicherheitstechnologien lohnt sich. Denn nur selten werden die Drahtzieher von Betrugs­maschen wie dem CEO-Fraud ausfindig gemacht. Doch manchmal gelingt den Ermittlern trotzdem ein Schlag gegen die Internetkriminalität. Ende November vermeldete Interpol, dass im Rahmen der «Operation Falcon» drei mutmassliche Mitglieder einer Gang verhaftet werden konnten. Ihnen soll es gelungen sein, seit 2017 Bundesstellen sowie private Organisationen aus mehr als 150 Ländern zu kompromittieren. Den Verdächtigen wird die Verbreitung von Malware, Phishing-Kampagnen und eben auch umfangreicher CEO-Fraud vorgeworfen.
Tipps
Drei Massnahmen gegen CEO-Fraud
Laut den Spezialistinnen und Spezialisten des NCSC ist es kaum möglich, den Versand von Betrugs-E-Mails zu verhindern. So liegt es an den Firmen selbst, sich zu schützen und das Personal in exponierten Abteilungen wie der Buchhaltung zu sensibilisieren. Grundsätzlich empfiehlt die Bundesstelle folgende drei Massnahmen:
  • Bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Informationen herausgeben und keine Anweisungen befolgen, auch wenn man unter Druck gesetzt wird.
  • Unternehmen sollen kontrollieren, welche Informationen über die eigene Firma online zugänglich sind.
  • Es sollten Prozesse definiert werden, die alle jederzeit zu befolgen haben. Bei Überweisungen wird beispielsweise ein Vieraugenprinzip mit Kollektivunterschrift empfohlen.



Kommentare

Es sind keine Kommentare vorhanden.