CEO im Fadenkreuz der Cyberkriminellen

Sensibilisierung der Mitarbeiter

Aufgrund der zunehmenden Attacken fordert nun auch der E-Commerce-Verband eco, die Mitarbeiter in den Unternehmen besser vorzubereiten. «Viele Mittelständler unterschätzen nach wie vor das Risiko, ins Visier von Cyberkriminellen zu geraten», erklärt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco-Verband. Nur 41 Prozent der für seine aktuelle IT-Sicherheitsstudie befragten Unternehmen schulen ihre Mitarbeiter laut Dehning regelmässig, 38 Prozent unregelmässig, 7 Prozent planen Schulungen und 14 Prozent schulen oder sensibilisieren nie.
«Die Zahlen sind angesichts der wachsenden Bedrohungslage noch immer zu niedrig», kritisiert Dehning. Regelmässig die Mitarbeiter zu sensibilisieren, sollte in jedem Unternehmen selbstverständlich sein. Zudem fordert er die Einführung von Sicherheits-Notfallplänen. Solche Pläne hätten bislang aber nur 57 Prozent der befragten Firmen. «Jedes Unternehmen sollte früh genug überlegen, wie es bei einem gravierenden Sicherheitsvorfall reagiert, um den Schaden im Fall der Fälle möglichst gering zu halten», so Dehning. Dem ist nichts hinzuzufügen.
Evolutionsstufen des CEO-Betrugs*
Evolutionsstufe Methode Vorgehen
Frühstadium E-Mail E-Mail teils mit Schreib- und/oder Grammatikfehlern, schlecht getarntem Absender, abweichenden E-Mail-Adressen
Stufe 1 Social Engineering Korrekte Rechtschreibung, gut getarnte Absender mit zum Beispiel kleinen Fehlern und Buchstaben- oder Zahlendrehern
Stufe 2 Gehacktes Intranet Betrüger hacken das Intranet und verweilen dort für einige Tage. Sie spionieren Zuständigkeiten und Gepflogenheiten wie Umgangston und E-Mail-Stil aus
Stufe 3 Telefonanruf Ein Betrüger ruft einen Mitarbeiter in der Buchhaltung an, um ihm zum zehnjährigen Firmenjubiläum zu gratulieren. Wenige Wochen später ruft er für den CEO-Betrug erneut an – der Mitarbeiter erkennt die Stimme und führt gemäß der Aufforderung per E-Mail eine Überweisung aus
Stufe 4 Falscher IT-Security- Mitarbeiter Kurz nach der E-Mail mit der Zahlungsaufforderung ruft ein falscher IT-Mitarbeiter in der Buchhaltung an, um dem Kollegen mitzuteilen, dass bei ihm ein CEO-Betrugsversuch entdeckt worden sei. Alles sei unter Kontrolle und der Mitarbeiter solle „zum Schein“ mitspielen, damit man die Betrüger auf frischer Tat ertappen könne. Es werde keine echte Zahlung ausgelöst, weil man mit der Hausbank kooperiere
Stufe 5 Stimm-Imitation Aktueller Fall mit Stimm-Imitations-Software: Das Programm ahmt Sprachmelodie und Akzent nach, sodass der Mitarbeiter nach dieser telefonischen Bestätigung denkt, die Anweisung per E-Mail käme tatsächlich vom echten Chef
Künftige Stufen Deepfake, Video, WhatsApp Weitere technische Fortschritte, etwa beim Machine Learning, machen diese Angriffsvektoren praxistauglich
Evolutionsstufen des CEO-Betrugs*
Evolutionsstufe Methode Vorgehen
Frühstadium E-Mail E-Mail teils mit Schreib- und/oder Grammatikfehlern, schlecht getarntem Absender, abweichenden E-Mail-Adressen
Stufe 1 Social Engineering Korrekte Rechtschreibung, gut getarnte Absender mit zum Beispiel kleinen Fehlern und Buchstaben- oder Zahlendrehern
Stufe 2 Gehacktes Intranet Betrüger hacken das Intranet und verweilen dort für einige Tage. Sie spionieren Zuständigkeiten und Gepflogenheiten wie Umgangston und E-Mail-Stil aus
Stufe 3 Telefonanruf Ein Betrüger ruft einen Mitarbeiter in der Buchhaltung an, um ihm zum zehnjährigen Firmenjubiläum zu gratulieren. Wenige Wochen später ruft er für den CEO-Betrug erneut an – der Mitarbeiter erkennt die Stimme und führt gemäß der Aufforderung per E-Mail eine Überweisung aus
Stufe 4 Falscher IT-Security- Mitarbeiter Kurz nach der E-Mail mit der Zahlungsaufforderung ruft ein falscher IT-Mitarbeiter in der Buchhaltung an, um dem Kollegen mitzuteilen, dass bei ihm ein CEO-Betrugsversuch entdeckt worden sei. Alles sei unter Kontrolle und der Mitarbeiter solle „zum Schein“ mitspielen, damit man die Betrüger auf frischer Tat ertappen könne. Es werde keine echte Zahlung ausgelöst, weil man mit der Hausbank kooperiere
Stufe 5 Stimm-Imitation Aktueller Fall mit Stimm-Imitations-Software: Das Programm ahmt Sprachmelodie und Akzent nach, sodass der Mitarbeiter nach dieser telefonischen Bestätigung denkt, die Anweisung per E-Mail käme tatsächlich vom echten Chef
Künftige Stufen Deepfake, Video, WhatsApp Weitere technische Fortschritte, etwa beim Machine Learning, machen diese Angriffsvektoren praxistauglich

Andreas Fischer
Autor(in) Andreas Fischer


Das könnte Sie auch interessieren