Wenn der Fake-Chef Millionen kostet
Wie lässt sich CEO-Fraud verhindern?
Die Attacken und Vorgehensweisen von Cyberkriminellen werden also immer ausgefeilter. Auf seiner Website liefert das NCSC einige Vorschläge, wie man seine Firma auf diese vorbereiten kann (vgl. Kasten). Meindl von Check Point empfiehlt Unternehmen einerseits, die gesamte Belegschaft regelmässig zu schulen, die Möglichkeiten der Hacker aufzuzeigen und die Sensibilität der Mitarbeitenden zu schärfen. Andererseits rät sie zum Einsatz von Cybersecurity-Lösungen. «Es gibt leider immer noch sehr viele Unternehmen, die nur einen sehr kleinen Teil der zur Verfügung stehenden Technologien einsetzen», sagt sie. Das mache es Hackern besonders einfach. In Bezug auf Deepfakes soll gemäss der Country Managerin ein genau definierter Prozess im Cybersecurity-Konzept integriert werden, der unter anderem festlegt:
- Wann von welcher Person welche Aktionen durchgeführt werden dürfen;
- ob eine bestimmte Summe aufgrund des Anrufs eines Vorstands überwiesen werden darf;
- oder ob kritische Daten herausgegeben werden dürfen, weil es dazu eine Videobotschaft des Chefs gibt
Aufmerksamkeit, kritisches Hinterfragen und auch der Einsatz praktischer Sicherheitstechnologien lohnt sich. Denn nur selten werden die Drahtzieher von Betrugsmaschen wie dem CEO-Fraud ausfindig gemacht. Doch manchmal gelingt den Ermittlern trotzdem ein Schlag gegen die Internetkriminalität. Ende November vermeldete Interpol, dass im Rahmen der «Operation Falcon» drei mutmassliche Mitglieder einer Gang verhaftet werden konnten. Ihnen soll es gelungen sein, seit 2017 Bundesstellen sowie private Organisationen aus mehr als 150 Ländern zu kompromittieren. Den Verdächtigen wird die Verbreitung von Malware, Phishing-Kampagnen und eben auch umfangreicher CEO-Fraud vorgeworfen.
Tipps
Drei Massnahmen gegen CEO-Fraud
Laut den Spezialistinnen und Spezialisten des NCSC ist es kaum möglich, den Versand von Betrugs-E-Mails zu verhindern. So liegt es an den Firmen selbst, sich zu schützen und das Personal in exponierten Abteilungen wie der Buchhaltung zu sensibilisieren. Grundsätzlich empfiehlt die Bundesstelle folgende drei Massnahmen:
- Bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Informationen herausgeben und keine Anweisungen befolgen, auch wenn man unter Druck gesetzt wird.
- Unternehmen sollen kontrollieren, welche Informationen über die eigene Firma online zugänglich sind.
- Es sollten Prozesse definiert werden, die alle jederzeit zu befolgen haben. Bei Überweisungen wird beispielsweise ein Vieraugenprinzip mit Kollektivunterschrift empfohlen.
Kommentare
Es sind keine Kommentare vorhanden.