Betrugsmasche CEO-Fraud 23.12.2020, 06:04 Uhr

Wenn der Fake-Chef Millionen kostet

Mit dem CEO-Fraud ergaunern sich Cyberkriminelle jedes Jahr nach wie vor sehr viel Geld. Denn die Masche wird immer schwieriger zu erkennen – besonders, wenn sich Betrüger von künstlicher Intelligenz helfen lassen.
Die Drahtzieher beim CEO-Fraud sind meist nur schwer zu ermitteln. Um ihre Spuren zu verwischen, lassen sie sich die Beträge meist auf ausländische Konten überweisen und verteilen sie dann schnell weiter
(Quelle: Shutterstock / Gorodenkoff )
CEO-Fraud – auch bekannt als Business E-Mail Compromise (BEC) Fraud oder Fake President Fraud – ist zwar bereits eine etwas ältere Betrugsmasche. Aber sie scheint nach wie vor sehr effektiv zu sein. Cyberkriminellen gelingt es so, jedes Jahr sehr viel Geld zu erbeuten.
Die klassische Vorgehensweise sieht dabei folgendermassen aus: Die Täter weisen beispielsweise im Namen des Firmen- oder Finanzchefs die Buchhaltungsabteilung an, eine Zahlung an ein externes Konto – typischerweise im Ausland – vorzunehmen. Die entsprechende Anweisung verschicken sie von einer gefälschten E-Mail-Adresse aus. Diese ist in der Regel fast oder gar nicht von der echten zu unterscheiden, sodass der Betrugsversuch in der Hektik leicht zu übersehen ist. Oftmals kommen hier auch unternehmensähnliche Domainnamen zum Einsatz. Unter dem Vorwand von geheimen Firmenkäufen oder auch neuen Bankverbindungen werden die Opfer von den Cyberkriminellen angewiesen, die Zahlung im Geheimen möglichst rasch auszuführen. Dabei üben die Betrüger gezielt Druck aus, damit die Person etwa Prozessvorgaben ignoriert oder keine anderen Mitarbeitenden einweiht. Erfundene Berater oder Anwaltskanzleien können hierbei ebenfalls Teil des Szenarios sein, um die Opfer zusätzlich unter Druck zu setzen. Ist die Zahlung schliesslich ausgeführt und das Geld auf dem Empfängerkonto angelangt, wird es in der Regel rasch weiterverteilt, um Spuren zu verwischen.

Akute Gefahr

Dass Kriminelle mit dieser Betrugsmasche schnell und verhältnismässig einfach viel Geld erbeuten, zeigt beispielsweise eine Auswertung vom Internet Crime Complaint Center des FBI. Dessen letzter Internet Crime Report zeigt, dass Cyberkriminalität im Jahr 2019 in den USA einen geschätzten Schaden von rund 3,5 Milliarden US-Dollar verursachte. Der CEO-Fraud war mit knapp 1,8 Milliarden Dollar für mehr als die Hälfte davon verantwortlich.
Laut Max Klaus, dem stellvertretenden Leiter Operative Sicherheit OCS im Nationalen Zentrum für Cybersicherheit NCSC, gingen beim NCSC von Anfang 2020 bis zum Zeitpunkt, als dieser Artikel verfasst wurde, insgesamt 5003 Meldungen bezüglich Betrugsversuchen ein. In 180 Fällen habe es sich dabei um CEO-Fraud gehandelt. «Zu beachten ist, dass es in der Schweiz aktuell keine Meldepflicht für Cybervorfälle gibt und die Dunkelziffer dementsprechend hoch sein kann», gibt Klaus zu bedenken. Hier will der Bundesrat allerdings in Zukunft Anpassungen vornehmen. Er sprach sich jüngst für eine generelle Meldepflicht bei Cyberangriffen aus, gelten soll diese dereinst für Betreiber von kritischen Infrastrukturen (mehr Infos, vgl. Kasten). Wie Klaus weiter ausführt, kann es grundsätzlich fast jede Firma treffen: «Unsere Erfahrung zeigt, dass alle Unternehmen, egal welcher Grösse und aus welcher Branche, von CEO-Fraud betroffen sein können.»
“Unsere Erfahrung zeigt, dass alle Unternehmen, egal welcher Grösse und aus welcher Branche, von CEO-Fraud betroffen sein können„
Max Klaus, Nationales Zentrum für Cybersicherheit (NCSC)
Auch Sonja Meindl, Country Manager Schweiz und Österreich bei der IT-Security-Firma Check Point, zeigt sich überzeugt, dass die Gefahr, einem CEO-Fraud zum Opfer zu fallen, präsent ist und auch zunimmt. «Die Schweizist davon genauso betroffen wie alle anderen Länder – eventuell sogar noch mehr, weil die Wirtschaftskraft im Vergleich sehr hoch ist.»
Grundsatzentscheid
Bundesrat will Meldepflicht einführen
Eine generelle Meldepflicht für Cybervorfälle existiert in der Schweiz derzeit noch nicht. Das soll sich aus Sicht des Bundesrats in Zukunft ändern – zumindest für Betreiber von kri­tischen Infrastrukturen. Hierzu beauftragte der Bundesrat das Finanz­departement kürzlich, bis Ende 2021 eine entsprechende Vernehmlassungsvorlage auszuarbeiten. Darin soll geregelt werden, wer innerhalb welcher Frist welche Vorfälle melden muss. Zudem will der Bundesrat eine zentrale Meldestelle schaffen. Die Daten sollen schliesslich genutzt werden, um Frühwarnungen abzusetzen. Informa­tionen über betroffene Firmen sollen allerdings unter Verschluss bleiben.



Das könnte Sie auch interessieren