Die Social-Engineering-Variante CEO-Fraud ist den meisten Usern unbekannt

Der Anbieter der weltweit größten Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, KnowBe4, veröffentlicht die Ergebnisse der CEO-Fraud-Umfrage, an der 153 Verbraucher aus Deutschland teilgenommen haben. Unter den Befragten hatten die wenigsten bereits vorher von CEO-Fraud gehört. Dieser Betrug ist auch unter „Business E-Mail Compromise“ bekannt.

Viele Mitarbeiter mit einem E-Mail-Account wissen nicht, dass CEO-Fraud – also „Chef-Betrug“ – eine gängige Angriffstechnik ist. Bei dieser Methode gibt ein Cyberkrimineller sich als Chef aus und meldet sich per E-Mail sowie in einigen Fällen auch per verzerrter Stimme per Telefon und verlangt, dass schnellstmöglich bestimmte Aktionen vollzogen werden sollen. Der gängige Vorgang ist die Einleitung einer Transaktion auf ein bestimmtes, in der E-Mail angegebenes Konto im Ausland. Über weitere Konten in anderen Ländern wird das gestohlene Geld in empfindlicher Höhe weiter verbucht, bis es für das betroffene Unternehmen nicht mehr nachzuverfolgen ist.

Die Ergebnisse der Umfrage machen deutlich, dass die meisten Teilnehmer vor Beantwortung der Befragung nicht wussten, was CEO-Fraud ist, 61 Prozent erfuhren davon durch die Umfrage, 34 Prozent haben bereits in den Medien darüber gelesen und 5 Prozent haben einen solchen Betrugsversuch selbst schon erlebt. Das Internet Crime Compliant Center des FBI hat eine weltweite Rankingliste veröffentlicht, darin findet man Deutschland auf Platz 8 der am meisten betroffenen Länder durch Cyberangriffe (Internet Crime Complaint Center Report , S.17).

Ebenfalls untersucht wurde, was die Menschen sich unter CEO-Fraud vorstellen. Dabei gaben 71 Prozent die richtige Antwort an, nämlich Betrug durch eine gefälschte E-Mail oder einem Telefonanruf, der vermeintlich vom CEO kommt. 14 Prozent meinten, es sei ein eher unbekanntes EU-Projekt und sogar 12 Prozent der Befragten hielten CEO-Fraud für einen neuen TikTok-Trend. Knapp 3 Prozent gaben an, CEO-Fraud wäre ein beliebtes Videospiel.

Außerdem wurde abgefragt, wie CEO-Fraud funktioniert. Bei dieser Frage konnten die Teilnehmer mehrere Antworten auswählen. 60 Prozent lagen mit der Annahme richtig, dass es sich um eine Phishing-E-Mail handelt, die vom E-Mail-Account des Chefs oder der Chefin zu kommen scheint. Ungefähr 41 Prozent hatten auch mit ihrer Antwort recht, dass es sich auch um einen fingierten Telefonanruf handelt, bei dem sich der vermeintliche Chef selbst meldet. 29 Prozent meinten zusätzlich, dass es sich um eine an den Chef gerichtete Spam-Nachricht handelt. Fast 10 Prozent glaubten, der Chef eines Unternehmens würde sich auf Kosten der Firma einen Ferrari leisten.

Darüber hinaus wurde abgefragt, durch welche Schutzmaßnahmen sich die Befragten absichern könnten und was im Notfall zu tun wäre. Auch hier konnten die Befragten mehrere Antworten angeben. Knapp 61 Prozent würden die E-Mail an die IT-Abteilung weiterleiten und nicht auf die Forderungen eingehen. Fast 16 Prozent würden den Anweisungen der gefälschten E-Mail Folge leisten, was fatale Folgen für das Unternehmen hätte. 31 Prozent meinten, sie würden sich vor ihrer Antwort mit einem Kollegen besprechen. Nur 51 Prozent gaben an, dass sie ihren Chef zurückrufen und ihn mit seiner E-Mail oder seinem Anruf konfrontieren würden.

Zusammenfassend lässt sich festhalten, dass die wenigsten bisher bereits von CEO-Fraud gehört haben und es immer noch zu wenig Verbraucher gibt, die wissen, wie man sich bei so einem Vorfall richtig verhält. Für Unternehmen ist es deshalb wichtig, die „Last Line of Defense“, den Mitarbeiter, zu schulen und ihn für solche Angriffstechniken zu sensibilisieren, da auch E-Mail-Filter bei weitem nicht alle dieser E-Mails erkennen.

Die Angriffe werden zudem immer raffinierter, Arbeitnehmer – gerade auch im Home-Office – sind folglich laufend komplexer werdenden Manipulationstechniken durch Social-Engineering ausgesetzt und reagieren möglicherweise unvorsichtig auf E-Mails und Anrufe, die vom Chef zu kommen scheinen. Schulungen in diesem Bereich sind deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.

#KnowBe4