A-Trust
CEO Fraud schwer gemacht
CEO Fraud ist eine wachsende Bedrohung für Unternehmen: Betrüger täuschen Zahlungsanweisungen vor und erschleichen teils Millionenbeträge. Der Schutz vor solchen Angriffen erfordert technische Maßnahmen, aber auch Schulungen und sichere Zahlungsprozesse.
CEO Fraud ist eine wachsende Bedrohung für Unternehmen: Betrüger täuschen Zahlungsanweisungen vor und erschleichen teils Millionenbeträge.
© rawpixel.com/Freepik
Cyberkriminelle haben eine neue immer öfter sprudelnde lukrative Einnahmequelle gefunden: den CEO Fraud. Dabei werden Mitarbeiter:innen, die zur Ausführung von Zahlungen berechtigt sind, dazu verleitet, eine gefälschte Rechnung zu bezahlen oder eine nicht autorisierte Transaktion von einem Geschäftskonto vorzunehmen. So war im Juli des Vorjahres ein Unternehmen in Singapur von dieser Betrugsmasche betroffen und überwies einen Rekordbetrag von 42 Millionen US-Dollar an ein Betrügerkonto. Auch die österreichische Wirtschaft muss diese Form der Cyberkriminalität ernst nehmen. Eine vor kurzem veröffentlichte Umfrage aus dem Jahr 2022 wies aus, dass bereits 41 % der befragten Unternehmen CEO Fraud oder Business-E-Mail-Compromise ausgesetzt waren.
„Um sich vor CEO Fraud zu schützen, müssen Unternehmen proaktiv handeln und robuste Sicherheitsmaßnahmen implementieren“, erläutert Markus Vesely, CEO von A-Trust und sagt weiter „Einzelmaßnahmen werden jedoch nicht ausreichen, es braucht eine ganzheitliche Sicherheitskultur, in der die Mitarbeiter:innen, insbesondere auf verantwortlicher Ebene, geschult, identitätssichernde Technologien eingesetzt und die Prozesse rund um den Zahlungsverkehr kontrolliert werden.“
Sicherheitsfaktor MFA.
Auf technischer Seite ist die Implementation von Multi-Faktor-Authentifizierung (MFA) vor dem Zugriff auf Konten, Systeme und persönliche Daten eine wesentliche Maßnahme. Das verstärkt den Schutz, denn bei Nutzung einer MFA im Unternehmen reichen die Anmeldedaten allein nicht, um Zugriff auf Konten zu erhalten. Darüber hinaus ermöglicht die zusätzliche Authentifizierung, die Echtheit der Anfrage zu überprüfen und zu bestätigen. Da bei solchen Attacken oftmals zeitlicher Druck ausgeübt wird, etwa eine ganz dringende Überweisung gefordert wird, um eine angebliche Zahlungsunfähigkeit des Unternehmens zu verhindern, begegnet die MFA diesem Druck. Die Mitarbeiter:innen sind nämlich durch sie gezwungen, zusätzliche Schritte zu unternehmen, und haben dadurch mehr Zeit, die angefragte Überweisung zu hinterfragen und ihre Plausibilität zu prüfen.
(Un-)Sicherheitsfaktor Mensch.
Da diese Angriffe auf Social Engineering basieren, werden vor allem menschliche Anfälligkeitsfaktoren ausgenutzt. Als Vertrauensdiensteanbieter muss A-Trust die strengsten Compliance-Regeln einhalten und kennt daher auch diese Herausforderungen genau. Vesely rät zu einem groß angelegten Awareness-Training aller Mitarbeiter:innen. Vor allem sollten jedoch die Finanzabteilung und jene Personen, die Überweisungen durchführen dürfen, für die gängigen Angriffstaktiken sensibilisiert werden. „Auch die Resilienz der internen Prozesse sollte gestärkt werden, zum Beispiel durch eine Richtlinie, nach der jeder Überweisungsauftrag zuerst über einen zweiten Kommunikationsweg überprüft werden muss“, so Vesely weiter, „und regelmäßige Audits der Finanztransaktionen helfen, Unregelmäßigkeiten und verdächtige Aktivitäten zeitnah zu erkennen.“