Cybercrine und insbesondere "CEO-Fraud" weiter auf dem Vormarsch

Die Bedrohungslage durch Cyberkriminalität ist unverändert hoch.

Ein Report der IT-Sicherheitsfirma Cisco Talos für das Jahr 2022  analysiert die Bedrohungssituation und nennt aktuelle Malware- und Angriffstrends. Eines der Ergebnisse: Cyberattacken werden immer professioneller. Das stellt auch Unternehmen vor große Herausforderungen.  Die Bedrohungslage in Deutschland ist durchaus hoch. Ganz unabhängig von der Branche kann eine Cyberattacke jedes Unternehmen treffen. „Im vergangenen Jahr haben 84% aller Unternehmen in Deutschland mit zehn oder mehr Beschäftigten angegeben, dass sie innerhalb von zwölf Monaten Opfer von Datendiebstahl, Spionage oder Sabotage geworden sind“, erläutert Frau Simran Mann (Referentin Sicherheitspolitik beim digitalen Branchenverband Bitkom.

Hohe bis sehr hohe Schäden entstehen regelmäßig beim sog. CEO-Fraud ist eine Methode bei der sich Betrüger als Chef oder CEO eines Unternehmens ausgeben und so versuchen entscheidungsbefugte Personen in dem Unternehmen zu manipulieren, sodass diese hohe Geldbeträge ins Ausland überweisen. Dabei benutzt der Täter die Taktik des Social Engineerings, bei welcher er den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette sieht und diesen gekonnt ausnutzt, um seine kriminelle Absicht zu verwirklichen.

Diese Betrugsmasche nahm in den letzten Jahren deutlich zu. Allein in Deutschland wurden Unternehmen im Jahr 2018 50.550-mal zum Opfer von Wirtschaftskriminalität. Bei rund 58 Prozent handelt es sich um Betrug. Auch die PWC-Studie zeigte im Jahr 2018 auf, dass 40 Prozent der von Ihnen befragten Firmen von einem versuchten CEO-Fraud berichten können und 5 Prozent der Unternehmen sogar „erfolgreich“ getäuscht wurden.

Im Jahr 2020 erhielt das FBI 19.369 Berichte über den CEO-Fraud allein in den USA. Im Jahr 2021 hat der CEO-Fraud den Opfern mehr Schäden zugefügt als jede andere Form von Cybercrime. Diese Form des Trickbetrugs landete bei der Statistik der Cyberverbrechensarten „nur“ auf Platz neun, verursachte jedoch mit Abstand den höchsten Schaden.

Zumeist werden betrügerische E-Mails im Namen des CEOs des Unternehmens verschickt.

Neben betrügerischen E-Mails gibt es jedoch auch andere Varianten der Betrugsmasche wie zum Beispiel Anrufe oder WhatsApp-Nachrichten.

Auch in der Corona-Krise hat der CEO-Fraud weiter zugenommen. Hier wurden vor allem Mitarbeiter im Home-Office zum Ziel der Täter. Hier wird konkret der primär digitale Kontakt zwischen den Mitarbeitern ausgenutzt.

Die Täter gehen meist sehr geschickt vor, indem sie sich zunächst möglichst viele Informationen über das Unternehmen und die Strukturen des Unternehmens verschaffen. Diese werden meistens durch Websiten, Online-Karierreportale oder soziale Netzwerke der Mitarbeiter gewonnen. Sie legen ihr Augenmerk insbesondere auf Angaben zu Geschäftspartnern und künftigen Investments. Angriffe mittels „deep-fake-Technologie“ sind ebenfalls schon festgestellt worden und für die Täter besonders erfolgsversprechend. De­epfa­kes – ab­ge­lei­tet von den Be­grif­fen Deep Learning und Fake – sind sim­ple aber bösar­tige Mit­tel der Ma­ni­pu­la­tion von Bild-, Vi­deo oder Au­di­oda­teien, bei der bio­me­tri­sche Merk­male wie bspw. Aus­se­hen oder Stimme von CEOs täuschend echt imi­tiert wer­den.  Die Fol­gen ei­nes er­folg­reich durch­geführ­ten De­epfake können für Un­ter­neh­men so­wohl aus Da­ten­schutzgründen als auch aus fi­nan­zi­el­ler Sicht ver­hee­rend sein. 

Eine Umfrage der Plattform KnowBe4, welche Schulungen für das Sicherheitsbewusstsein im Internet anbietet, zeigte, dass 61 Prozent der befragten Unternehmen erst durch die durchgeführte Umfrage vom Betrugsphänomen CEO-Fraud erfuhren und vorher nicht wussten, um was es sich bei dem Begriff handelt.

LSS Rechtsanwälte aus Frankfurt am Main unterhalten seit dem Jahr 2003 ein Betrugsdezernat, in dem seither die unterschiedlichsten Sachverhalte und Betrugsvarianten bearbeitet werden. Hierzu gehören Massenschadensfälle und Einzelangriffe aus der analogen und digitalen Welt. Wir vertreten beim CEO-Fraud die Handelnden Personen ebenso wie die geschädigten Unternehmen.