Stellen Sie sich vor:
Sie bekommen eine E-Mail vom Geschäftsführer. Er fordert eine Überweisung an einen Geschäftspartner an. Anordnungen des Chefs haben oberste Priorität. Also gehen Sie dem nach und überweisen das Geld.
Nur, dass die E-Mail nicht vom Chef stammte. Und jetzt sind 100.000 Euro an Firmengeldern weg. Unwiderruflich.
Sie haben es nicht mit Absicht getan, natürlich nicht. Aber vielleicht sind Sie neu in der Firma und kennen noch nicht alle Namen, Abläufe und Mailadressen. Vielleicht sind Sie auch im Home Office und eine solche E-Mail-Kommunikation ist für Sie normal. Vielleicht war die E-Mail sehr persönlich an Sie adressiert oder entsprach genau allen Formalitäten. Oder vielleicht war es auch einfach Pech für Sie und Glück für das Gegenüber: Die in der Mail aufgestellte Behauptung, der Chef würde sich derzeit auf Geschäftsreise befinden, entspricht sogar der Wahrheit und untermauert somit die Legitimität.
So oder so, zwischen mehr als 50 E-Mails, die Sie täglich als durchschnittlicher Angestellter eines Unternehmens erhalten, müssen Sie auf Vertrauen setzen. Es ist schlichtweg nicht möglich, die Authentizität jeder einzelner E-Mail zu überprüfen. Außerdem arbeitet Ihre Firma mit Sicherheitsmaßnahmen, um eventuelle Cyberkriminelle und Betrüger abzuwehren.
Leider reichen diese nicht immer aus. Und Phishing wird immer professioneller.
All das ist keine Fiktion. All die oben genannten Fälle sind realen Firmenmitarbeitern bereits passiert. Die Auswirkungen auf die betroffenen Unternehmen und Personen variierten dabei, ebenso die Summen – meistens bewegen sie sich vom niedrigen fünfstelligen Bereich bis hin zur Millionenhöhe.
CEO-Fraud: Persönliche Phishing-E-Mails vom „Chef“
Bei einem solchen Betrugsfall handelt es sich um eine besondere Form des Phishings. Diese Vergehen sind als CEO-Fraud, Chefmasche oder allgemein als Business E-Mail Compromise bekannt. Cyberkriminelle geben sich als hochrangige Mitarbeiter aus, verfassen gezielte E-Mails an Mitarbeiter und fordern Überweisungen an. Im Vorfeld recherchieren sie ausführlich über das Unternehmen und seine Mitarbeiter. So können sie täuschend echte und individuell zugeschnittene Nachrichten verfassen. Unterstützt werden sie dabei immer mehr von Künstlicher Intelligenz. Ein Experiment zeigte, dass KI in der Lage ist, bessere Phishing-E-Mails zu erstellen als viele Menschen.
Während gängige Phishing-Mails, vor allem Massenphishing-E-Mails, oftmals deutliche Merkmale aufweisen wie Rechtschreib- oder Grammatikfehler, sind CEO-Fraud-Nachrichten sehr professionell gestaltet und schwer auf einen Blick zu identifizieren. Hier gilt es vor allem, die Absenderadresse auf Legitimität zu kontrollieren. Eine Nachfrage beim vermeintlichen Vorgesetzten ist letztlich der sicherste Weg, um einen Auftrag zu verifizieren. Doch bei Zeitdruck und der großen Anzahl an zu bearbeitenden E-Mails bedeutet dies einen zusätzlichen Aufwand, den viele scheuen.
So schützen Sie sich selbst
Um einen Business E-Mail Compromise vorzubeugen, ist es zum einen unerlässlich, Mitarbeiter und sich selbst im Bereich Cybersicherheit weiterzubilden. Es braucht ein Bewusstsein für die aktuellen Gefahren des Internets und der IT. Besonders bei E-Mails, die zu hohen Überweisungen oder zur Eingabe vertraulicher Informationen auffordern, müssen kritisch betrachtet werden. Lieber einmal zu viel nachfragen als einmal zu wenig, lautet hier die Devise. Dafür muss sich die Zeit genommen werden.
Und so schützt INVISID Sie
Trotzdem benötigen Sie zum anderen weiterhin Sicherheitskonzepte. Am besten eines, welches in der Lage ist, E-Mails zu authentifizieren, indem es deren Absender verifiziert. Und genau das macht INVISID der DeepSign GmbH. Unser kontinuierliches Sicherheitsprogramm überprüft Identitäten anhand biometrischer Merkmale: genau gesagt anhand des Tippverhaltens und der Mausbewegungen. INVISID arbeitet unsichtbar im Hintergrund, ohne Arbeitsabläufe und Tätigkeiten am Computer zu stören. Das Programm erstellt für den Nutzer ein persönliches Muster und gleicht jede Eingabe mit diesem Muster ab. Auffälligkeiten werden sofort gemeldet. Somit erhalten lediglich E-Mails eine positive Zertifizierung, die tatsächlich von der echten Person stammen – d.h. der Person, die der Absender vorgibt zu sein und mit der entsprechenden E-Mail-Adresse verknüpft ist. INVISID validiert also Ursprung und Absender einer E-Mail und schützt auf diesem Weg Ihre Daten. Das bedeutet außerdem, dass unser Programm Ihnen die Aufgabe abnimmt, jede E-Mail auf Echtheit zu überprüfen und damit den ungebrochenen Arbeitsprozess unterstützt.
Übrigens bietet DeepSign ebenfalls Cybersecurity-Schulungen an. In individualisierten Workshops werden Sie auf innovative Weise für den Faktor Mensch in der IT-Sicherheit sensibilisiert. Kontaktieren Sie uns gerne jederzeit, um weitere Informationen zu erhalten!