CEO-Fraud

Geschäftsführung im Visier der Cyberkrieger

Von Christian Raum · 2024

Polizei und Justizbehörden warnen, dass Kriminelle nicht nur die Büros in den Chefetagen, sondern auch die privaten Wohnungen, Autos oder Mobiltelefone von Verantwortlichen aus Geschäftsführung oder Topmanagement ausspionieren. Unter anderem müssen sich Führungskräfte mit dem Gedanken befassen, dass sie sowohl in ihrem privaten wie auch im geschäftlichen Umfeld von kriminellen Banden ausgeforscht werden.

Ein Hacker versteckt sich unter seiner Kapuze
Cyberkrieger beobachten die Geschäftsführung, deren Mitarbeitende und Familien. Foto: iStock / chaiyapruek2520

Kriminelle Hackergruppen ändern ständig ihre Angriffsvektoren und -taktiken und setzen auf langfristige Strategien, bei denen technische und menschliche Schwächen gleichermaßen ausgenutzt werden. 

Polizei und Justizbehörden warnen inzwischen, dass Kriminelle nicht nur die Büros in den Chefetagen, sondern auch die privaten Wohnungen, Autos oder Mobiltelefone von Verantwortlichen aus Geschäftsführung oder Topmanagement ausspionieren. Unter anderem schreibt das Bundeskriminalamt, dass Führungskräfte sich mit dem Gedanken befassen müssen, dass sie sowohl in ihrem privaten wie auch im geschäftlichen Umfeld von kriminellen Banden ausgeforscht werden. 

Für die betroffenen Personen grenzt das offensichtlich an ein alptraumartiges Szenario: Unter Anleitung einer kriminellen Zentrale, die sich vielleicht Tausende Kilometer entfernt befindet, sammeln Kriminelle Daten über Geburtsort und Geburtsdatum, Wohnsitz, Familie, Kinder, Kreditkarten, Konten, Autokennzeichen, geschäftliche und private Reisen, Namen und Positionen von Mitarbeiterinnen und Mitarbeitern, E-Mail-Adressen und Telefonnummern. 

CEO-Fraud: Alptraum in der Chefetage

Parallel dazu beschaffen sie sich notwendiges Insiderwissen über das Unternehmen und dessen interne Abläufe. Sie manipulieren mithilfe der Künstlichen Intelligenz Stimmen und Videos von Vorständen oder Geschäftsführerinnen und fälschen Mails und Chats.

In einem passenden Moment schlagen die Kriminellen zu. Mit einer gefälschten Mail, einem fingierten Anruf oder in einer manipulierten Videokonferenz fordern sie ihre Kolleginnen oder Kollegen in der Finanzabteilung auf, Geld an ein Konto zu überweisen. Oder sie überzeugen sie, Kontendaten in der Buchhaltung zu ändern und gefälschte Rechnungen umgehend zu begleichen.

Der kriminelle Lohn für diese aufwendigen Angriffe scheint beträchtlich. „Durch CEO-Fraud konnten Kriminelle in den letzten Monaten bereits mehrere Millionen Euro mit zum Teil gravierenden Folgen für das betroffene Unternehmen oder die getäuschten Mitarbeiter erbeuten“, heißt es bei der Hamburger Polizei. Nach Angaben des Bayerischen Staatsministeriums der Justiz gelte diese Art des Betrugs nach § 263 Abs. 1 und 3 Satz 2 Nr. 1 StGB als gewerbsmäßiger Betrug. „Die Täter müssen mit Freiheitsstrafen von sechs Monaten bis zu zehn Jahren rechnen.“

Auch automatisierte Systeme werden ausgetrickst 

Ob diese Strafen Täterinnen und Täter in einem für sie sicheren Staat wirklich abschrecken, ist fraglich. Aus sicheren Verstecken können sie ihren Angriff auf die Buchhaltung und damit direkt in das finanzielle Zentrum eines Unternehmens lenken. Und wenn die Attacken nicht erkannt werden, können Hacker für lange Zeit aus dem Vollen schöpfen. Unerkannt plündern sie die Organisation und legen dabei ihre Finger direkt auf den Puls eines Unternehmens.

In vielen Betrieben müssen sie sich nicht einmal die Mühe machen, die Chefetage über Wochen auszuspionieren, um dann Mitarbeitende auszutricksen. Denn in diesen Unternehmen haben die Abteilungen wichtige Aufgaben in der Buchhaltung an intelligente, automatisierte Systeme übergeben. Viele Rechnungen werden ohne weitere menschliche Prüfung von Computern überwiesen, wenn sie einen festgelegten Betrag nicht überschreiten oder mit den eigenen, im System hinterlegten Bestellungen übereinstimmen. 

Im Gespräch berichten Cybersecurity-Anbieter von Finanzabteilungen, die von der Sicherheit ihrer eigenen Systeme so überzeugt sind, dass sie tatsächlich nur stichprobenartig Überweisungen oder Kontodaten prüfen.

Grafik: Unternehmen sahen sich 2023 vielfältigen Angriffsarten ausgesetzt

Klare Prozesse und Sicherheitsschulungen fehlen

So macht es das Management den Kriminellen leicht, mit Fake-Rechnung und einem Fake-Betrag Geld auf ein Fake-Konto überweisen zu lassen. Tatsache ist, so bestätigen sowohl Anwaltskanzleien wie auch Cybersicherheitsunternehmen, dass diese Angriffe massiv stattfinden – und dass Unternehmen dadurch erheblich geschädigt werden. 

Allerdings – wie diese Angriffe genau ablaufen und wie erfolgreich sie sind, ist kaum nachzuvollziehen. Häufig wird ein solcher Betrug erst nach Wochen oder Monaten entdeckt. Für die Geschädigten bedeutet dies viel Ärger und verursacht hohe Kosten, um überhaupt zu verstehen, wo und wann, wie lange und mit welchen Methoden der Betrug stattgefunden hat. Zu Buche schlagen unter anderem Nachforschungen, forensische Analysen, Anwälte und mögliche Strafzahlungen an andere Geschädigte.

Womöglich stellt sich dann heraus, dass es kein menschlicher Fehler war. Sondern dass ein automatisiertes, vielleicht KI-gesteuertes System in der Finanzabteilung einer Fake-E-Mail aufgesessen ist, in der ein Fake-Konto als valides Konto für zukünftige Fake-Rechnungen bestimmt wurde.

In beiden Fällen wäre dieser Betrug nicht möglich gewesen – oder er könnte sich schneller aufklären lassen –, wenn die Finanzabteilung mit klaren Prozessen, definierten Abläufen und Sicherheitsschulungen arbeiten würde. Die werden in den kommenden Jahren nicht nur für die internen Abläufe vom Gesetzgeber vorgeschrieben und kontrolliert. Auch die einzelnen Branchen werden den Unternehmen vorschreiben, wie sie mit welchen Informationen umgehen müssen.

Bankenbetrug mit SIM-Swapping

Denn bislang machen auch Telefonanbieter und Banken den Kriminellen ihre Arbeit leicht. Europol beschreibt SIM-Swapping als eine Taktik, die auch aufgrund von Sicherheitslücken in den Prozessen der Banken und der Telekommunikationsanbieter gestartet wird.

Auch hier geht es um den Diebstahl persönlicher Daten, um das Ausspionieren des persönlichen Umfelds der Angegriffenen – und es geht um technische Schwachstellen und Geschwindigkeit. 

Kriminelle Hacker sammeln über die sozialen Netzwerke oder über gefälschte Internetformulare Daten ein – Name, Geburtsdatum, Arbeitgeber, Telefonnummer, Adresse, Kontonummern. Häufig reichen diese Informationen für die Kriminellen, um in einem Telefonladen eine angeblich verlorene SIM-Karte sperren – und im nächsten Schritt eine neue SIM-Karte mit neuer PIN ausstellen zu lassen. 

Ist dies geschafft, muss es schnell gehen. Bevor die geschädigte Person bemerkt, dass ihr Telefon nicht mehr funktioniert, werden die Kriminellen über die gesammelten Informationen in Verbindung mit der Telefonnummer verschiedene Lücken beim Online-Banking ausnutzen. Sie räumen private Konten und Firmenkonten leer. Laut Europol konnte eine inzwischen enttarnte kriminelle Gruppe in mehreren Angriffen Summen zwischen 6.000 und 137.000 Euro von fremden Online-Konten rauben. 

Quellen:
European Agency for Cybersecurity: Foresight Cybersecurity Threats For 2030
Deutscher Bundestag: Schriftliche Stellungnahme des KI Bundesverbandes
Europäische Komission: Betriebsstabilität digitaler Systeme des Finanzsektors

Schon gewusst?

Führungskräfte und deren direkte Mitarbeiterinnen und Mitarbeiter stehen unter besonderer Beobachtung der Cyberangreifer. Auch deshalb wird mit den NIS-2-Richtlinien das Security-Awarness-Training für die Führungskräfte verpflichtend. Hier werden Wissen und Fähigkeiten vermittelt, die Integrität und Authentizität der Organisation zu schützen. Vorstände lernen, wie sie mit einem Plan zur Reduktion von Sicherheitsrisiken in ihrem eigenen Büro, bei der Nutzung der eigenen Anwendungen, Mobiltelefone oder Tablets und der Arbeitsabläufe beginnen können.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)