Cybersecurity: Vorsicht vor den falschen Chefs
Hand aufs Herz, wie würden Sie reagieren? Da landet eine dringende E-Mail vom Chef in Ihrem Posteingang. Der bittet Sie, kurzfristig eine wichtige und eilige Überweisung auf den Weg zu bringen, um eine markante Geschäftschance zu nutzen. Oder ein langjähriger Lieferant bittet Sie freundlich per E-Mail, die Bankverbindung anzupassen und die nächsten Überweisungen dorthin zu schicken. Würden Sie den Bitten nachkommen?
Ganz sicher nicht, wenn die Anfragen voller Fehler steckten. Und wohl auch nicht, wenn Design, Schriftart und Signatur plötzlich ganz anders aussähen als üblich. Was aber, wenn alles passt? Vom Absender bis zur persönlichen Anrede, von der Optik bis zu den Logos? Zweifelten Sie auch dann? Würden Sie erst im Vorzimmer des Vorstands anrufen? Würden Sie den vertrauten Lieferanten nochmals kontaktieren, ob alles mit rechten Dingen zugeht?
Wenn nicht, sind Sie damit nicht alleine. Und vor allem anfällig für eine der am schnellsten wachsenden Formen der Online-Kriminalität gegen Unternehmen: „Business Email Compromise“ – kurz BEC – nennt Interpol diese Form der Cyber-Attacken, bei denen Betrüger ihre Opfer zielgenau ausspionieren und mit großem Aufwand zu täuschen versuchen.
Daneben sind die Betrugsversuche auch als „Fake President“, „CEO-Betrug“ oder „Chef-Trick“ bekannt. Denn selbstverständlich stecken hinter den zumeist per E-Mail verschickten Zahlungsaufforderungen NICHT die vorgeblichen Absender, sondern Cyber-Kriminelle. Wir haben entsprechende Fälle auch bei wiwo.de schon beschrieben. Die Betrüger profitieren auch davon, dass direkte Nachfragen bis in die Chefetage oftmals gar nicht erwünscht sind.
Und sie sind auch in Deutschland erschreckend erfolgreich. Erst jüngst berichtete etwa der Kreditversicherer Euler Hermes von 165 Millionen Euro Schaden in Deutschland allein in den vergangenen vier Jahren. „Anfangs waren es noch Einzelfälle, inzwischen sind es etwa 20 Fälle pro Jahr“, so Rüdiger Kirsch, Betrugsexperte bei Euler Hermes. Und die Betrüger rüsten technisch auf. In einem Fall, bei dem ein deutsches Energieunternehmen und eine britische Niederlassung beteiligt waren, verschickten die Kriminellen keine E-Mail. Sie nutzten stattdessen eine spezielle Software zur Sprachsynthese, um bei einem Anruf die Stimmlage und Sprachmelodie des Chefs nachzuahmen.
Auf „mehr als eine Milliarde Dollar“ summiert etwa Craig Jones, Direktor der Abteilung Cyber-Kriminalität bei Interpol in Den Haag, die weltweite Schadenssumme durch BEC fürs vergangene Jahr. „Und die noch immer recht unbekannte Betrugsmethode breitet sich schnell aus.“
Um den Trend zu stoppen, hat Interpol nun eine internationale Informationskampagne gestartet, die auch mit dem Kürzel der Betrugstaktik spielt: #BECareful – „Sei vorsichtig“, heißt der Slogan, mit dem die Polizeibehörde über das Vorgehen der Betrüger aufklären und die möglichen Opfer sensibilisieren will.
Sie sollten sie sich genau ansehen – und weiter verbreiten. Sonst könnte es auch bei Ihnen im Unternehmen irgendwann ziemlich teuer werden.