CEO-Fraud ist eine ernsthafte Bedrohung für Unternehmen. Betrüger nutzen zunehmend generative KI, um täuschend echte Deepfakes zu erstellen, mit denen Mitarbeiter gezielt manipuliert werden. Es ist höchste Zeit, sich der Risiken bewusst zu werden und Schutzmaßnahmen zu ergreifen.
Definition CEO Fraud
CEO Fraud bedeutet übersetzt „Betrug des Vorstandsvorsitzenden / Geschäftsführers“. Er ist auch unter anderen Namen wie Fake President Fraud und Bogus Boss E-Mail bekannt und basiert auf einer Variante des Identitätsdiebstahls.
Die Betrüger geben sich gegenüber Mitarbeitern (häufig Buchhalter oder Leiter der Finanzabteilung) als Geschäftsführer oder andere hochrangige Führungskräfte aus. Durch autoritäres Auftreten und Zeitdruck wird versucht, die Opfer zur Überweisung von Geld zu bewegen.
Die Gelder solcher Fake Payments fließen in der Regel auf Konten im Ausland (vor allem in Asien), was eine Nachverfolgung des Geldflusses und eine Aufdeckung der Hintermänner in der Regel unmöglich macht. Mit anderen Worten: Ist der von den Kriminellen geforderte Betrag einmal überwiesen, gilt das Geld als verloren.
Früher setzten die Täter beim CEO-Fraud vor allem auf E-Mails und Telefonanrufe. Sie sind meist gut über die Hierarchien und Abläufe im Unternehmen informiert, um ihre Opfer zu täuschen und den nötigen Druck aufzubauen.
Inzwischen nutzen Cyberkriminelle neue Technologien, um ihre Angriffe noch authentischer wirken zu lassen. Beim CEO-Fraud setzen sie vermehrt auf generative KI, mit der sie sogenannte Deepfakes erzeugen. Die so generierten Personen wirken täuschend echt.
Weshalb Mitarbeiter auf die Masche oft hereinfallen
Viele Manager sind der Meinung, dass so etwas in ihrem Unternehmen nicht passieren kann. Dabei wird unterschätzt, wie gründlich sich die Angreifer vorbereiten. Sie betreiben intensive Recherchen und nutzen illegale Methoden, um an Informationen über ihre Opfer zu gelangen.
Gut vorbereitet sind sie in der Lage, ihre Opfer effektiv zu täuschen. Ob der Informationsaustausch per E-Mail oder Telefon erfolgt, die Anweisungen sind mit entscheidenden Details gespickt, so dass bei den Mitarbeitern nicht so schnell Zweifel aufkommen.
Exkurs: Deepfakes
Deepfakes sind Medieninhalte, die mit Hilfe künstlicher Intelligenz (KI) erstellt werden. Sie werden in der Regel durch sogenannte Generative Adversarial Networks (GANs) erzeugt, bei denen zwei neuronale Netze miteinander konkurrieren. Diese Technologie analysiert und manipuliert vorhandene Daten wie Bilder, Videos und Audioaufnahmen, um täuschend echte Fälschungen zu erzeugen.
Es ist möglich, Gesichter, Stimmen und Bewegungen zu imitieren und so Zielpersonen (z.B. den CEO oder CFO) in Videos oder Audioaufnahmen so darzustellen, als würden sie Dinge sagen oder tun, die sie in Wirklichkeit nicht gesagt oder getan haben.
Die Risiken von Deepfakes für Unternehmen
Die Folgen von Deepfake-Angriffen können für Unternehmen verheerend sein. Finanzielle Verluste in Millionenhöhe sind keine Seltenheit, da Betrüger oft hohe Summen auf manipulierte Konten umleiten. Hinzu kommen erhebliche Kosten für die Aufklärung solcher Vorfälle und die Wiederherstellung der finanziellen Sicherheit.
Neben den unmittelbaren finanziellen Verlusten droht ein Reputationsschaden. Ein Unternehmen, das Opfer eines solchen Angriffs geworden ist, kann das Vertrauen von Kunden, Investoren und Geschäftspartnern verlieren.
Darüber hinaus können rechtliche Konsequenzen drohen, wenn beispielsweise Verträge aufgrund eines Deepfake-Angriffs ungültig werden oder Schadensersatzansprüche geltend gemacht werden.
Wer befindet sich im Visier der Kriminellen?
Bis vor wenigen Jahren standen vor allem Konzerne im Visier der Betrüger. Dies lag nicht zuletzt daran, dass in diesem Umfeld besonders hohe Beträge zu erbeuten waren. Doch es zeichnet sich ein Wandel ab. Immer mehr Kriminelle konzentrieren sich auf Unternehmen des Mittelstandes sowie auf finanzkräftige Kleinunternehmen.
Diese Entwicklung ist unter anderem auf Maßnahmen im Bereich der Informationssicherheit zurückzuführen. Großunternehmen sind dem KMU-Umfeld in Sachen Informations- und IT-Sicherheit in der Regel weit voraus. Dies betrifft nicht nur technische Maßnahmen, sondern auch die Schulung der Mitarbeiter – denn diese sind die eigentliche Schwachstelle, auf die Angreifer bei CEO-Fraud und Fake Payments abzielen.
Wie sich Unternehmen schützen können
Angesichts der zunehmenden Bedrohung durch CEO-Fraud und der Verwendung von KI-Deepfakes durch Cyberkriminelle ist es für Unternehmen wichtiger denn je, ihre Mitarbeiter und Vermögenswerte zu schützen. Dazu müssen Unternehmen eine umfassende Sicherheitsstrategie entwickeln. Die Umsetzung erfolgt durch technische und organisatorische Maßnahmen.
Technische Maßnahmen
- Software zur Erkennung von Deepfakes
KI-gestützte Erkennungsprogramme können Anomalien in Video- und Audiodaten analysieren, um Fälschungen zu entlarven. Solche Tools spielen eine immer wichtigere Rolle in der Cybersicherheitsstrategie moderner Unternehmen. - Multi-Faktor-Authentifizierung
Durch die Kombination verschiedener Authentifizierungsmethoden wie Passwörter, biometrische Daten und Security Tokens kann das Risiko des Identitätsdiebstahls deutlich reduziert werden. - Verschlüsselung
Sensible Daten sollten immer verschlüsselt übertragen und gespeichert werden, um sie vor unbefugtem Zugriff zu schützen.
Organisatorische Maßnahmen
- Sensibilisierung der Mitarbeiter
Mitarbeiter sollten regelmäßig über die Gefahren von Deepfakes geschult werden und lernen, verdächtige Kommunikation zu erkennen. - Verifizierungsprozesse
Zusätzliche Kontrollen zur Überprüfung ungewöhnlicher Anfragen. Zum Beispiel könnte eine zweite Bestätigung per Videoanruf mit der realen Person verlangt werden. - Notfallpläne
Unternehmen sollten einen detaillierten Notfallplan für den Fall eines erfolgreichen Angriffs erstellen. - Zusammenarbeit mit den Strafverfolgungsbehörden
Bei Verdacht auf einen Deepfake-Angriff sollte umgehend die Polizei eingeschaltet werden.
Fazit
Deepfakes sind bedrohlicher als je zuvor. Die rasante technologische Entwicklung unterstreicht die Notwendigkeit eines hohen Informationssicherheitsniveaus. Um sich wirksam vor Deepfake-Angriffen zu schützen, müssen Unternehmen eine Kombination aus technischen und organisatorischen Maßnahmen ergreifen.
Gerne unterstützen wir Sie bei der Identifizierung und Bewertung Ihrer Risiken, um darauf aufbauend eine geeignete Strategie zu entwickeln. Wir beraten Unternehmen bundesweit, z.B. in Dortmund, Köln oder Münster. Nutzen Sie unsere kostenlose Erstberatung, um mehr über die Möglichkeiten zu erfahren.