Glaubt man den Statistiken, dann wird jedes dritte Unternehmen irgendwann im Laufe seines Bestehens Opfer von Cyberkriminalität. Besondere Gefahr geht dabei gegenwärtig von der sogenannten Chef-Masche (engl. CEO Fraud) aus. Das Phänomen ist nicht neu, erweist sich aber doch als ausgesprochen hartnäckig! Das BKA meldet in diesen Tagen weitere Betrugsfälle. Anlass genug, die miese Masche einmal genauer unter die Lupe zu nehmen.
Der menschliche Faktor
Die Basis für den Erfolg fast aller Betrugsmaschen ist Gutgläubigkeit. Das gilt für den Enkeltrick am Telefon ebenso wie für die Chef-Masche. Der Schaden dieser üblen Betrügerei geht mittlerweile in Millionenhöhe. Der Trick funktioniert so: Die Betrüger geben sich als Person aus der Geschäftsleitung aus und ordnen einem Mitarbeiter der Buchhaltung die Erledigung einer angeblich dringenden Überweisung an. Die firmeninternen Strukturen wurden zuvor mittels Social Engineering ausspioniert, dazu später mehr. Die betrügerischen E-Mails enthalten die korrekten Namen der entsprechenden Geschäftsführer bzw. Vorstände und bitten – um nicht sofort Misstrauen hervorzurufen – um rasche Rückantwort nach Erledigung dieser dringlichen Anweisung von angeblich höchster Stelle. Tatsächlich jedoch sind die Antwortadressen manipuliert, die Bestätigungen werden direkt den Tätern zugestellt. Die geforderten Beträge sind meist für den unternehmerischen Alltag nicht ungewöhnlich hoch, zudem befördert der suggerierte Zeitdruck eine Fehlentscheidung in der Buchhaltung.
Social Engineering verstehen
Der Terminus mag modern klingen, tatsächlich ist Social Engineering jedoch ein alter Hut. Frühe Formen davon gab es bereits in den 1980er Jahren, als sogenannte Phreaker bei Telefongesellschaften anriefen. Sie gaben sich dabei als Systemadministratoren aus und baten um neue Passwörter, mit denen sie anschließend kostenlose Modemverbindungen aufbauten. Mit Internet und sozialen Netzwerken sind die Möglichkeiten des Social Engineering in den letzten Jahren geradezu explodiert. Und für die CEO-Masche müssen Trickbetrüger noch nicht einmal tief in die Ideenkiste greifen, denn viele Unternehmen publizieren ohne den geringsten Argwohn die Namen federführender Mitarbeiter auf der eigenen Website. Die E-Mail-Adresse gibt's oft als Gratisbeigabe noch dazu. Und sollte die benötigte Angabe fehlen und auch nicht in den bekannten Berufsnetzwerken zu finden sein, genügt meist schon ein hanebüchener Anruf beim Empfang oder ein Blick in Wirtschaftsberichte, Handelsregisterinformationen oder Image-Broschüren.
Mag jede Einzelinformation für sich genommen unbedenklich sein, in der Gesamtschau erhielten die Gauner vor jedem geglückten Betrugsfall ausreichenden Überblick über die internen Strukturen eines Unternehmens. Hier können klare Regeln für die Informationspreisgabe helfen, z.B. könnte ein entsprechender Kontrollrückanruf Unsicherheiten zerstreuen.
Medienkompetenz ist kein Kinderkram
Bei Social Engineering geht es stets um die Gewinnung sensibler Informationen, meist auf dem Wege der Manipulation. Was in Zeiten der digitalen Vernetzung als sensibel bewertet werden sollte, fällt letztlich in den Bereich „Medienkompetenz“ – und ist damit viel mehr als nur ein pädagogischer Hype. Interne Kontrollmechanismen und Ablaufprozesse sowie Zuständigkeitsregelungen mögen als ausreichend im Sinne einer unmittelbaren Gefahrenabwehr erscheinen, im Vordergrund aller Bemühungen sollte jedoch stets die Sensibilisierung der eigenen Mitarbeiter für derlei Betrugsphänomene stehen. Denn das „komische Gefühl in der Magengegend“ – so es denn hinreichend trainiert wurde – greift meist viel früher als IT-Sicherheitskonzepte oder wohlfeile Notfallpläne. In jedem Fall gilt: Kontaktdaten sollten regelmäßig verifiziert werden, das gilt z.B. auch für Kontoverbindungen von Kunden oder Lieferanten. Prüfen Sie bei verdächtigen E-Mails die vorliegenden Informationen und nutzen Sie die Vorteile digital signierter E-Mails zu Ihren Gunsten.
Dass das Bundeskriminalamt in diesen Tagen abermals vor dieser Masche warnt, liegt an einer kürzlich bekanntgewordenen Nuance. Die Täter setzen in aktuellen Betrugsfällen auf die Domain @ceopvtmail.com. Von dieser Domain versendete Nachrichten weisen als Absenderadresse die folgende Systematik auf: vornameCEO.nachnameCEO@ceopvtmail.com. Inhaltlich geht es – wie in den früheren Fraud-E-Mails auch – darum, befugte Angestellte in Firmenbuchhaltungen zur Überweisung hoher Geldbeträge zu bewegen. So weit, so schlecht.
Vorsicht ist besser als Nachtschicht
Damit das Schlimmste erst gar nicht passiert und sich das gesamt Unternehmen in der Schadensbegrenzung verausgabt, hier einige Empfehlungen des Bundeskriminalamts:
Zahlungsanweisungen per E-Mail sollten grundsätzlich mit Argwohn betrachtet werden, auch wenn sie den Anschein erwecken, über das Firmennetz versendet worden zu sein. Der anzeigte Name des Absenders mag vielleicht stimmen, viel wichtiger ist jedoch, welche E-Mail-Adresse sich „dahinter“ befindet. Bei den meisten Mail-Programmen sehen sie diese Adresse, wenn Sie mit dem Mauszeiger einen Augenblick auf dem Namen „parken“.
Kommt Ihnen die Diktion des Textes komisch vor? Etwa wie aus dem Übersetzungsprogramm oder mit überdurchschnittlich vielen Rechtschreibfehlern? Ein komisches Bauchgefühl ist in aller Regel ein Hinweis darauf, dass auch tatsächlich etwas komisch ist und am besten durch einen Rückruf geklärt werden sollte.
Auch auf technischer Ebene gibt es hilfreiche Schutzmechanismen, z.B. gegen Mail-Spoofing. Domain-Inhaber können SPF-Einträge (Sender Policy Framework) nutzen, um sich vor Spoofing-Missbrauch zu schützen. Das Sender Policy Framework ist ein Verfahren zur Verhinderung gefälschter Absenderadressen, ursprünglich erdacht zum Zwecke der Spam-Abwehr. Der Administrator einer Domain hinterlegt dabei in der DNS-Zone einen Resource Record vom Typ TXT. In diesen Resource Records sind die IP-Adressen der Mail Transfer Agents (MTA) enthalten, die für die jeweilige Domain E-Mails versenden dürfen. Falls keine entsprechende Berechtigung vorliegt, wird die E-Mail verworfen.
Und wenn das Schlimmste doch passiert ist?
Dann bleibt im Grunde nur, umgehend Anzeige zu erstatten und mit dem Bankinstitut die Möglichkeiten einer Rückbuchung zu erörtern. Die Chancen hierfür stehen nach aktueller Sachlage allerdings schlecht, wenn man den zahlreichen Berichten in einschlägigen News-Portalen Glauben schenken darf. Das Geld verschwindet demnach auf ausländischen Konten, bevorzugt in China, Hongkong und Osteuropa. Die Konten wurden ohnehin unter falschem Namen eingerichtet und werden sofort nach Eintreffen des Geldes leergeräumt. Die verwendeten E-Mail-Adressen sind ohnehin gefälscht, Telefonate werden von Prepaid-Handys mit unterdrückter Nummer geführt. Auch bei der CEO-Masche hilft daher, was sich auch bei allen anderen IT-Sicherheitsthemen bewährt hat: „gesunde Paranoia“!
Bitte beachten Sie: Dies ist ein redaktioneller Betrag, der bestenfalls sensibilisierend wirken kann. Hinweise zu Schutzmaßnahmen können und sollen nicht eine von zertifizierten Fachleuten auf Ihr Unternehmen zugeschnittene Lösung für Fragen der IT-Sicherheit ersetzen. Über aktuelle Betrugsfälle berichtet das BKA im Social Web unter dem Hashtag #CEOFraud, z.B. auf Twitter.
