CEO-Fraud - Wie uns das geschriebene Wort in Schwierigkeiten bringen kann

Ein Artikel von Jelle Wieringa, Security Awareness Advocate bei KnowBe4 | 08.05.2020 - 06:55

Immer wieder passiert es, dass man etwas falsch einschätzt. Fehlinterpretationen von Situationen und Begebenheiten sind nicht selten. Eine Textnachricht kann oftmals missverstanden werden. Die geschieht leicht, indem die emotionale Betonung des Gegenübers falsch gedeutet wird. Was ist die logische Konsequenz im Business-Alltag? Befolge genau, was geschrieben wurde und frag am besten nicht nach. Doch genau diese Einstellung ist fatal und hat dramatische Folgen, sollte die Nachricht nicht wirklich von der oberen Etage stammen.

Das Wort hat viel Macht und der Ton macht die Musik!

Sehr oft entstehen vermeidbare Konflikte. Das nur, weil der „Tonfall“ des Textes falsch gedeutet wurde. Ein eigentlich nett gemeinter Kommentar, wird plötzlich negativ verstanden. Das Ergebnis ist, dass das geschriebene Wort selbst in den Hintergrund rückt und es lediglich um die Emotion dahinter geht. Mit der Kenntnis des Gegenübers erhält die Nachricht eine Stimme. Fatal ist es jedoch, dass man nicht wirklich sagen kann, ob man dann die richtige Tonlage zu den richtigen Worten zugeordnet hat. Besonders viele Nachrichten, die aufeinander folgen und relativ kurz sind, rufen zumeist eine gehetzte und gestresste Stimmung hervor.

Diese psychologische Komponente im derzeitigen beruflichen Alltag, noch dazu bei Arbeitnehmern mit Kindern im Haus, nutzen Cyberkriminelle aus. Ihnen ist es möglich die Mail-Adressen der Vorgesetzten zu imitieren und dadurch Anweisungen an Mitarbeiter zu senden. Dies wird dann zur Gefahr, wenn sie ohne Rückfragen befolgt werden. Zumeist wird eine Stresssituation erzeugt. Ein verärgerter Chef gibt an, eine dringende Überweisung in Auftrag zu geben.

Diese Art von Cyberbetrug wird als „CEO Fraud“ oder Chef-Betrug bezeichnet. Business Email Compromise (BEC) ist dabei der eigentliche Begriff. In Europa wird jedoch dazu geneigt, den Begriff CEO-Fraud zu verwenden. Die Kriminellen stehlen Online-Identitäten leitender Angestellter, um sich anschließend Geld auf ihre Konten überweisen zu lassen. Eine aktuelle Art ist es, die Informationen über Lieferanten zu stehlen und so falsche Rechnungen zu versenden.

Schutz durch eine menschliche Firewall

Vor allem in einer Zeit, in der die Mehrheit im Home Office arbeitet, muss ein jeder die Informationen, die er erhält gegenprüfen. Es ist zu empfehlen, dass Überweisungen beispielsweise nur nach persönlicher Freigabe getätigt werden. Viele Banking-Programme erlauben es beispielsweise, dass die Buchungen zwar erstellt werden, die Umsetzung jedoch nur nach digitaler Unterschrift der verantwortlichen Person getätigt wird.

Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.

Mitarbeiter können ein Plug-In namens Phish-Alert-Button in ihr Outlook installieren. Dies ist ein Knopf, bei dem die Betroffenen bedrohlich wirkende E-Mails direkt und einfach melden können, sodass der Absender direkt bei allen Geräten der Organisation in Quarantäne gesetzt wird und erst nach Überprüfung darüber entschieden wird, ob Mails von ihm weiterhin geöffnet werden dürfen. Der Button vereinfacht diesen Prozess erheblich.