Factsheet CEO Fraud/Business E-Mail Compromise
Autor: Andreas GriessnerDie COVID-19-Pandemie hat umfassende Auswirkungen auf die Prozesse von Unternehmen und Kreditinstituten, insbesondere haben die notwendigen Maßnahmen zur Sicherstellung des Geschäftsbetriebs bei gleichzeitigem Schutz der Belegschaft und der Kundinnen und Kunden zu einem ungeahnten Digitalisierungsschub geführt. Die Anforderungen der Arbeit vom Homeoffice aus und das Ziel der Verringerung der physischen Kontakte bzw. Interaktionen intern sowie mit Kundinnen und Kunden und Geschäftspartnern haben zum verstärkten Einsatz digitaler Kommunikationstechnologien und zu kurzfristigen Änderungen an etablierten Abläufen geführt. Dabei gemachte positive Erfahrungen werden mit hoher Wahrscheinlichkeit dazu führen, dass sich als Übergangslösung gedachte Vorgehensweisen dauerhaft durchsetzen.
Gleichzeitig steigt weltweit die Cyberkriminalität an und auch Österreich ist davon betroffen. Betrüger machen sich dabei unter anderem die höhere Toleranz gegenüber der Abweichung von Standardprozessen zunutze. Das bereits vor der COVID-19-Pandemie beliebte Betrugsformat des CEO Fraud, in seiner allgemeineren Form als Business E-Mail Compromise-Attacken bekannt, boomt besonders. Auch Kreditinstitute bzw. deren Geschäftspartner und Kundinnen und Kunden können von CEO Fraud betroffen sein, und das Schadenspotenzial ist zum Teil enorm, wie das Beispiel eines oberösterreichischen Luftfahrtzulieferers zeigt, dem durch einen solchen Betrugsfall vor einigen Jahren über EUR 50 Mio. Schaden entstanden sind.
Die Angriffsmethoden sind vielfältig und zum Teil hoch entwickelt. Zunächst werden E-Mail-Accounts von Kundinnen und Kunden oder des Unternehmens gehackt (Mail Compromise) und die dort gesammelten Informationen für den Angriff genutzt, E-Mail-Absenderadressen verfälscht (Mail Spoofing) oder E-Mail-Adressen verwendet, die den Originaladressen zum Verwechseln ähnlich sind. Dabei scheuen Betrüger auch vor raffinierter direkter Kommunikation per Telefon nicht zurück, um ihrem Anliegen Nachdruck zu verleihen. Vereinzelt werden inzwischen sogar Methoden der künstlichen Intelligenz eingesetzt, um etwa die Stimme des Chefs perfekt am Telefon zu imitieren (Deepfake Audio).[1]
Auch die Finanzmarktaufsicht (FMA) warnte zuletzt am 15.05.2020 vor betrügerischen Aktivitäten, bei denen gefälschte FMA-E-Mail-Adressen und -Domains verwendet wurden. Technisch gesehen könnten beliebige E-Mail- oder Internetadressen, so auch jene der OeNB, bei Betrugsversuchen gefälscht werden.
Nur ein überraschend kleiner Teil solcher Bedrohungsbilder kann mit rein IT-technischen Maßnahmen abgefangen werden – damit Versuche von Cyberbetrug keinen Erfolg haben ist vor allem die Implementierung organisatorischer Vorkehrungen und die Erhöhung der Aufmerksamkeit (Awareness) der relevanten Mitarbeitenden durch entsprechende Schulungen oder andere Maßnahmen (z. B. Phishing-Simulationen) wesentlich.
So wenig die Vorsorge gegen CEO Fraud also der IT-Abteilung oder dem IT-Dienstleister allein übertragen werden kann, so wichtig ist das Zusammenwirken der technischen und organisatorischen Vorkehrungen bei Dienstleistern und dem betroffenen Institut, wenn die IT-Prozesse oder auch Teile der Zahlungsverkehrsprozesse ausgelagert sind, wie dies vor allem bei kleineren Kreditinstituten zum Teil üblich ist. Eine besondere Bedeutung kommt – wie bei vielen Cyberbedrohungen – dem Faktor Mensch zu. Die Steigerung des Bewusstseins für typische Muster solcher Betrugsversuche und die Etablierung einer Rückfragekultur bei Auffälligkeiten sowohl gegenüber Kunden als auch unternehmensintern ist hier essenziell.
Wie bereits in den vergangenen Jahren sind auch im Jahr 2020 im Rahmen des Prüfschwerpunktes Digitalisierung[2] Vor-Ort-Prüfungen zu den Themenbereichen IT- und Cybersicherheit bei regionalen Großbanken, Aktien- und dezentralen Banken (LSI) geplant, dabei werden auch die Vorkehrungen gegen CEO Fraud ein Thema sein. Was beim Thema CEO Fraud beachtet werden sollte, und welchen technischen und organisatorischen Maßnahmen eine besondere Bedeutung zukommt, haben die IT-Prüfer der Abteilung für Bankenrevision für Sie in einem Fact Sheet CEO Fraud/Business E-Mail Compromise Fraud zusammengefasst.