CEO Fraud: DigiFors erklärt die Hintergründe und Gefahren

Ist von digitalen Risiken im Kontext von Unternehmen die Rede, so sind damit nicht nur Sicherheitslücken in der Software oder die Gefahren, die von Viren, Trojanern und Co ausgehen, gemeint. Ein nicht zu vernachlässigender Risikofaktor sind die Angestellten selbst. In der Vergangenheit gelang es beispielsweise Kriminellen, sich als eine andere Person auszugeben, um so an Geld oder auch sensible Daten zu gelangen. Besonders bekannt wurde in diesem Zusammenhang der sogenannte CEO Fraud:

 

  • Mit diversen Tricks versuchen Kriminelle sich beispielsweise als Geschäftsführer des Unternehmens auszugeben und veranlassen bei der Buchhaltung mit Nachdruck eine hohe Überweisung

 

Häufig geht diese Imitation auch noch mit weiterem Datenklau oder Hacking einher, sodass etwa die offizielle E-Mail-Adresse oder die interne Telefonnummer missbraucht wird. Oftmals überrascht und pflichtbewusst kam es in der Vergangenheit vor, dass Angestellte diesen falschen Anweisungen Folge leisteten.

 

Ein prominenter Fall in Deutschland ereignete sich zum Beispiel bei der Leoni AG. Dort konnten durch CEO Fraud 40 Millionen Euro ergaunert werden.

 

CEO Fraud verhindern: Mit den richtigen Maßnahmen einfach möglich

 

Ein typisches Merkmal des CEO Fraud ist das hohe Maß an krimineller Energie, welches investiert wird. Täter wählen ihre potenziellen Angriffspunkte ganz bewusst aus und optimieren ihren Auftritt. So lässt sich etwa der Absender einer E-Mail schnell verändern und gleicht dann jener Mail eines Geschäftsführers. Auf den ersten Blick ist also kaum ein Unterschied erkennbar. Verhindern können Unternehmen CEO Fraud nur durch klar definierte Prozesse und ein offenes Kommunikationsklima:

 

  • Häufig war CEO Fraud in der Vergangenheit in Unternehmen möglich, in denen die Geschäftsführung ihre Hierarchie als Teil der Unternehmenskultur sah. Widerspruch oder Einwände gegen die Führungsriege waren unerwünscht und Gauner hatten leichtes Spiel.

 

Sind Prozesse aus dem Rechnungswesen hingegen klar definiert und durch geeignete Maßnahmen wie das Vier-Augen-Prinzip oder Fachfreigaben abgesichert, so ist die Gefahr Opfer eines CEO Frauds zu werden direkt geringer. Auch wenn sich die Führungsetage als ansprechbar und mitarbeiternah gibt, können schwerwiegende Fehler durch offene Kommunikation und gezielte Nachfrage verhindert werden. Wichtig ist es natürlich auch, alle Mitarbeiter für die Gefahren und Vorgehensweisen des CEO Fraud zu sensibilisieren.

 

Einfallstor „Mensch“: Auch weiterhin ist der Mensch der größte Risikofaktor

 

Das Bewusstsein für IT-Sicherheit wurde in den meisten Unternehmen in letzter Zeit deutlich erweitert. Auch in kleinen Betrieben werden mittels geeigneter Verfahren IT-Sicherheitsstrategien formuliert, die durchaus zu hohen Sicherheitsstandards führen. Auch wenn der IT-Sicherheit und dem Schutz vor anderen Gefahren wie CEO Fraud höchste Priorität eingeräumt wird, lässt sich niemals eine 100 %-ige Sicherheit garantieren. So wie sich IT-Sicherheitsfirmen und Sicherungslösungen fortschreiten, entwickeln sich natürlich auch die Entwickler von Schadprogrammen weiter. Gleichermaßen wandeln sich die Strategien von Betrügern im Zeitverlauf.

 

Das größte Sicherheitsrisiko ist in Betrieben heute der Mensch. In der Regel werden Mitarbeitende ihrem Arbeitgeber nicht schaden wollen, aber manchmal kann eine kleine Nachlässigkeit eben dazu führen, dass sich Kriminellen ein Einfallstor öffnet.

 

Ein typisches Beispiel für den Risikofaktor Mensch stellt auch die Anekdote über den gefundenen USB-Stick dar:

 

  • Im Foyer eines Unternehmens findet ein Mitarbeiter im Wartebereich einen USB-Stick unbekannter Herkunft. Da in dem Wartebereich wichtige Kunden und Bewerber Platz nehmen, wollte der Mitarbeiter herausfinden, wem der USB-Stick gehört und versuchen diesen seinem Eigentümer zurückzugeben. Dazu las er den USB-Stick auf seinem Firmenrechner aus und war sich nicht bewusst, dass er so eine Schadsoftware ins Firmennetzwerk eingespeist hat, mit dem sensible Daten ausgespäht werden konnten.

 

Das Beispiel zeigt: Unternehmen müssen Mitarbeiter sensibilisieren

 

Das vorangegangene Beispiel ist auch im Kontext des CEO Fraud relevant. So ist es typisch, dass Kriminelle sich ganz klassische Verhaltensweisen ihrer Opfer zunutze machen. Nun einfach wild vor derartigen Gefahren zu warnen und Mitarbeitende mit ständigen Erinnerungen zu bombardieren, wäre jedoch auch nicht empfehlenswert. Stattdessen gilt es, Mitarbeitende für alltägliche Gefahren angemessen zu sensibilisieren. Hierbei hilft auch DigiFors im Rahmen von Beratungen und Schulungen, die sich der IT-Sicherheit widmen.

 

Oft sind die Schulungsteilnehmer wirklich überrascht, auf welch perfiden Wegen CEO Fraud und andere Betrügereien erfolgen. Als Reaktion auf diese Gefahren ist es wichtig, keine Kultur der Angst zu etablieren, sondern auf vernünftiges und kritisches Handeln zu setzen. Eine offene Kommunikationskultur, in der Nachfragen und Genauigkeit nicht geringgeschätzt werden, ist ebenso wichtig, wie die Implementierung technischer Sicherheitsmaßnahmen.

 

DigiFors verfügt in diesen Bereichen über langjähriges Know-how und arbeitete bereits mit zahlreichen namenhaften Unternehmen aus diversen Branchen zusammen. Gemeinsam mit unseren Kunden trugen und tragen wir dazu bei, dass der betriebliche Alltag möglichst sicher ist und sich Sicherheitsstrategien den dynamischen Veränderungen der IT-Welt anpassen.

 

Sprechen Sie uns jederzeit bei Fragen zu unseren Leistungen und Schulungen an. Wir freuen uns auf Ihre Kontaktaufnahme!