Sie sind hier: Home » Markt » Hintergrund

Cyberbetrug als CEO Fraud oder Chef-Betrug


CEO-Fraud - Wie uns das geschriebene Wort in Schwierigkeiten bringen kann
Um sich gegen CEO-fraud-Attacken zu wappnen, sollten Unternehmen in den Aufbau einer "menschlichen Firewall" investieren



Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4

In Zeiten von Home Office ändert sich eine Sache ganz entscheidend: Die Kommunikation mit besonderem Augenmerk auf den genutzten Kanal. Sitzen alle im Büro, ist der Weg zu einem persönlichen Gespräch und darin besprochenen Anweisungen des Vorgesetzten nicht weit. Wenn aber alle zu Hause sind, steigt das E-Mail Aufkommen drastisch. Auch Konferenztelefonate nehmen rapide zu. Nun ist dies zunächst einfach eine andere Art miteinander zu sprechen, doch leider steigen damit ebenso die Risiken einer Fehlkommunikation oder aber nutzen Kriminelle diese Unsicherheiten für sich aus.

Immer wieder passiert es, dass man etwas falsch einschätzt. Fehlinterpretationen von Situationen und Begebenheiten sind nicht selten. Eine Textnachricht kann oftmals missverstanden werden. Die geschieht leicht, indem die emotionale Betonung des Gegenübers falsch gedeutet wird. Was ist die logische Konsequenz im Business-Alltag? Befolge genau, was geschrieben wurde und frag am besten nicht nach. Doch genau diese Einstellung ist fatal und hat dramatische Folgen, sollte die Nachricht nicht wirklich von der oberen Etage stammen.

Das Wort hat viel Macht und der Ton macht die Musik!
Sehr oft entstehen vermeidbare Konflikte. Das nur, weil der "Tonfall" des Textes falsch gedeutet wurde. Ein eigentlich nett gemeinter Kommentar, wird plötzlich negativ verstanden. Das Ergebnis ist, dass das geschriebene Wort selbst in den Hintergrund rückt und es lediglich um die Emotion dahinter geht. Mit der Kenntnis des Gegenübers erhält die Nachricht eine Stimme. Fatal ist es jedoch, dass man nicht wirklich sagen kann, ob man dann die richtige Tonlage zu den richtigen Worten zugeordnet hat. Besonders viele Nachrichten, die aufeinander folgen und relativ kurz sind, rufen zumeist eine gehetzte und gestresste Stimmung hervor.

Diese psychologische Komponente im derzeitigen beruflichen Alltag, noch dazu bei Arbeitnehmern mit Kindern im Haus, nutzen Cyberkriminelle aus. Ihnen ist es möglich die Mail-Adressen der Vorgesetzten zu imitieren und dadurch Anweisungen an Mitarbeiter zu senden. Dies wird dann zur Gefahr, wenn sie ohne Rückfragen befolgt werden. Zumeist wird eine Stresssituation erzeugt. Ein verärgerter Chef gibt an, eine dringende Überweisung in Auftrag zu geben.

Diese Art von Cyberbetrug wird als "CEO Fraud" oder Chef-Betrug bezeichnet. Business Email Compromise (BEC) ist dabei der eigentliche Begriff. In Europa wird jedoch dazu geneigt, den Begriff CEO-Fraud zu verwenden. Die Kriminellen stehlen Online-Identitäten leitender Angestellter, um sich anschließend Geld auf ihre Konten überweisen zu lassen. Eine aktuelle Art ist es, die Informationen über Lieferanten zu stehlen und so falsche Rechnungen zu versenden.

Vor allem in einer Zeit, in der die Mehrheit im Home Office arbeitet, muss ein jeder die Informationen, die er erhält gegenprüfen. Es ist zu empfehlen, dass Überweisungen beispielsweise nur nach persönlicher Freigabe getätigt werden. Viele Banking-Programme erlauben es beispielsweise, dass die Buchungen zwar erstellt werden, die Umsetzung jedoch nur nach digitaler Unterschrift der verantwortlichen Person getätigt wird.

Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer "menschlichen Firewall" investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.

Mitarbeiter können ein Plug-In namens Phish-Alert-Button in ihr Outlook installieren. Dies ist ein Knopf, bei dem die Betroffenen bedrohlich wirkende E-Mails direkt und einfach melden können, sodass der Absender direkt bei allen Geräten der Organisation in Quarantäne gesetzt wird und erst nach Überprüfung darüber entschieden wird, ob Mails von ihm weiterhin geöffnet werden dürfen. Der Button vereinfacht diesen Prozess erheblich. (KnowBe4: ra)

eingetragen: 28.05.20
Newsletterlauf: 11.08.20

KnowBe4: Kontakt und Steckbrief



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Was ist das EU-KI-Gesetz?

    Das EU-KI-Gesetz ist da und es hat Auswirkungen auf die Welt des Datenschutzes, Sicherheit, Risiko und Rechnungsprüfung. Das bedeutet, es beeinflusst die Art und Weise, wie diese Funktionen organisiert sind, wie die Fachleute ihre Arbeit verrichten und was sie in ihrer Position zu tun haben.

  • Politikgetriebener Moralisierung

    Am 1. August 2024 tritt der AI Act der Europäischen Union in Kraft getreten. Bitkom-Präsident Dr. Ralf Wintergerst hatte kommentiert: "Ob Deutschland und Europa zu Innovationsstandorten für Künstliche Intelligenz oder zu Nachzüglern werden, hängt entscheidend von der weiteren Ausgestaltung und Umsetzung des AI Acts ab."

  • Entwicklung der HR-Softwareindustrie

    Human Resources gilt heutzutage als Rückgrat eines jeden Unternehmens. Die Verwaltung von Mitarbeiterdaten, die Durchführung von Rekrutierungsprozessen und die Entwicklung von Talenten sind nur einige der vielfältigen Aufgaben, die die Personalabteilung täglich bewältigen.

  • Mittelstand im Regulierungskorsett

    Ziel des Data Acts ist es, einen Wettbewerbsmarkt für Daten zu schaffen und die Wettbewerbs- und Innovationsfähigkeit der EU zu stärken. Durch die Förderung eines fairen, transparenten und wettbewerbsfähigen digitalen Marktes adressiert er die Notwendigkeit einer verstärkten Datenmobilität und -nutzung.

  • Paragrafen 201b Strafgesetzbuch vorgeschlagen

    Das Bundeskabinett hat am 21. August 2024 zu einer bayerischen Initiative zum strafrechtlichen Schutz von Persönlichkeitsrechten vor Deepfakes Stellung genommen. Im Juli dieses Jahres hatte der Bundesrat den bayerischen Gesetzentwurf verabschiedet.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen