„CEO Fraud“ ist eine Ausprägung von „Spear Phishing“. Generell wird bei „Spear Phishing“ auf ausgewählte Personen oder Organisationen abgezielt und im Gegensatz zu gross angelegten Phishing Kampagnen keine Massen-Mailings versendet. Wie der Name schon vermuten lässt, handelt es sich bei „CEO Fraud“ um eine Betrugsmasche, wo sich Cyberkriminelle als Führungspersonen oder gar als CEO selbst ausgeben. Dies geschieht in der Regel per E-Mail und oft wird ein Gefühl von Dringlichkeit vermittelt, zu einer umgehenden Zahlung aufgefordert oder der sofortige Zugriff auf gewisse Daten, Verzeichnisse oder Systeme verlangt. Solche Betrugsversuche können heutzutage auch über Telefon (Voice Phishing) erfolgen, wobei die Betrüger im Zuge der Anrufe und mit Hilfe von KI die Stimme der jeweiligen Führungsperson imitieren. Dies verleiht der Anfrage eine zusätzliche Glaubwürdigkeit und zögernde Mitarbeitende werden zusätzlich unter Druck gesetzt, indem vermittelt wird, dass Sie wichtige Geschäftsprozesse behindern oder sogar Ihre eigene Position riskieren könnten.
Bedrohungslage
Allein zwischen 2015 und 2020 haben sich die Verluste durch „CEO Fraud“ verzehnfacht und es entstand ein weltweiter Schaden von über 2 Milliarden Franken. Laut dem FBI wurden im Jahr 2020, auf dem Höhepunkt der COVID-19-Pandemie, allein in den USA fast 20‘000 Fälle registriert. Da viele Fälle ungemeldet oder sogar unentdeckt bleiben, wird die Dunkelziffer noch um ein Vielfaches höher sein. Unumstritten ist jedoch, dass in mindestens 8 von 10 Fällen Phishing und allem voran Spear Phishing der Ursprung eines erfolgreichen Cyber-Angriffs ist. Gemünzt auf die Kundenlandschaft der Selution AG zeigt sich, dass im Schnitt ca. 35% der Mitarbeitenden auf ein initiales, fiktives Phishing-Mail klicken und die Klickrate durch Sensibilisierung innerhalb eines Jahres auf unter 5% gesenkt werden kann. Somit sind kontinuierliche Awareness Kampagnen und Schulungen mitunter die effizientesten Mittel, um das Sicherheitsniveau innerhalb einer Organisation unmittelbar anzuheben.
Handlungsempfehlungen
Aus den beschriebenen Umständen lassen sich einige klare Handlungsempfehlungen ableiten, welche im Wesentlichen folgende Ausprägungen haben können
Security Awareness Trainings
- Oft spricht man nach einem erfolgreichen Phishing-Angriff von menschlichem Versagen. Doch nur wenn das Thema auf Führungsebene ernst genommen wird und die Mitarbeitenden mit wiederkehrenden Schulungsmassnahmen befähigt werden, schärft man nachhaltig das Sicherheitsbewusstsein. Geschulte Mitarbeitende werden damit zur letzten Chance den Angriff aufzuhalten, nachdem die technischen Massnahmen nicht gegriffen haben.
Sicherheitsrichtlinien
- Die Bedrohungslandschaft ist im ständigen Wandel und nur wer sich regelmässig informiert und den Gegebenheiten anpasst, kann Schritt halten. Zudem sollten Prozesse wie z.B. Zahlungsanweisungen strengen Verfahren unterliegen und beispielsweise immer durch mehrere Personen verifiziert werden müssen.
Authentifizierungslösungen
- Eine mehrstufige Authentifizierung kann die Sicherheit stark erhöhen. Dazu bieten sich verschiedene Lösungen in Form von Smartphone-Applikationen, Tokens oder Smartcards an, welche nebst einer Passworteingabe mit mindestens einem zweiten Faktor vor unberechtigtem Zugriff schützen.
Segmentierung & Berechtigung
- Die Infrastruktur muss so aufgebaut sein, dass nur Personen auf kritische Systeme Zugriff haben, welche dafür autorisiert sind und diese Berechtigung auch zwingend benötigen. Zudem sollten die System Layers wo möglich voneinander getrennt und einzeln abgesichert sein.
Überwachung & Alarmierung
- Wenn alle Stricke reissen und um im Falle eines Angriffs reagieren zu können, sind umfassende Überwachungs- und Alarmierungssysteme von grossem Vorteil. So kann in den meisten Fällen ein Angriff in Echtzeit unterbunden werden.
Interview mit Daniel von Büren, Swiss Security Officer @ Microsoft Schweiz AG
Wie beurteilst du das Thema «Sicherheitsschulung» bei deinen Kunden?
Daniel von Büren: Bei grösseren Kunden ist das heute vielfach ein integraler Bestandteil des Sicherheitskonzeptes. Leider wird aber der Faktor Mensch noch in viel zu vielen Organisationen zu wenig berücksichtigt. Stattdessen versucht man Sicherheit über technische Tools zu implementieren und verpasst so eine grosse Chance.
Warum sind die Mitarbeitenden aus deiner Sicht besonders wichtig?
Daniel von Büren: Interessanterweise suchen wir in der IT immer technische Lösungen, um Probleme zu adressieren. Dabei wird der Mensch immer wieder als das schwächste Glied in der Kette gesehen. Es scheint fast so, als vertrauen wir der Technologie mehr als unseren Arbeitskolleg*innen…
Ich glaube wir müssen hier umdenken. Technische Lösungen sind gut, da sie uns einen Grossteil der Arbeit abnehmen können. Gerade aber beim Phishing wird es immer wieder vorkommen, dass einige E-Mails nicht durch die Technologie erkannt werden. In dem Fall wird der geschulte Mitarbeiter zur letzten Verteidigungslinie.
Welche Voraussetzung braucht es für eine erfolgreiche Schulung im Bereich Sicherheit?
Daniel von Büren: Die erste wichtige Voraussetzung ist die Unterstützung aus dem Management. Es muss verstanden werden, dass gut gemachte Awareness Kampagnen einen Mehrwert bringen. Da eine solche Kampagne auch Geld kostet, sollten aber auch klare Messkriterien definiert und laufend kontrolliert werden. Des Weiteren ist es wichtig, dass die Mitarbeiter als Beteiligte involviert werden. Sie müssen motiviert werden Vorfälle zu melden, damit Schäden eingegrenzt oder auch verhindert werden können.
Was siehst du als einer der grössten Fehler bei der Umsetzung solcher Massnahmen?
Daniel von Büren: Viele Unternehmen setzen Awareness mit simulierten Phishing Angriffen gleich. Das kann ein Bestandteil sein, wird aber sicherlich nicht ausreichen. Vielmehr muss man ein Sicherheitsprogramm aufsetzen, welches verschieden Aspekte berücksichtigt und gezielte Schulung, sowie Awareness Trainings kombiniert. Dieses Programm soll auf die Bedürfnisse und die Möglichkeiten der Organisation abgestimmt sein. Partner wie die Selution oder auch Microsoft können hierbei unterstützen.
Welches Fazit möchtest Du somit abschliessend noch mitgeben?
Daniel von Büren: Ich glaube am wichtigsten ist, dass Geschäftsführer und Sicherheitsverantwortliche Cyber Security ganzheitlich betrachten und den Schutz vor Cyberangriffen zu einem primären Ziel machen. In diesem Sinne ist es unabdingbar, die Mitarbeiter mit Awareness Trainings zu befähigen, ein essentieller Bestandteil der Cyber Security Strategie eines Unternehmens zu werden.