Tabletop Tuesday

CEO-Fraud

Wenn der Chef persönlich zur Überweisung anweist (vermeintlich)

Willkommen zu einer neuen, nervenaufreibenden Ausgabe von "Tabletop Tuesday"! Heute widmen wir uns einem der raffiniertesten Social-Engineering-Angriffe überhaupt: dem CEO-Fraud. Doch wir gehen einen Schritt weiter als beim klassischen Spoofing. Was passiert, wenn die betrügerische Zahlungsanweisung nicht von einer gefälschten, sondern vom echten, kompromittierten E-Mail-Konto des Geschäftsführers kommt?

Dieses Szenario testet nicht nur die Wachsamkeit Ihrer Mitarbeiter, sondern stellt Ihre internen Kontrollmechanismen, wie das Vier-Augen-Prinzip, und Ihre Eskalationswege auf die ultimative Probe. Hält Ihre menschliche Firewall diesem Angriff stand?

Was ist eine Tabletop-Übung?

Eine Tabletop-Übung ist ein diskussionsbasiertes Training, bei der Teammitglieder die Rollen und Verantwortlichkeiten durchgehen, die sie während eines bestimmten Notfallszenarios hätten. Es geht nicht darum, Systeme live zu testen, sondern darum, Prozesse, Pläne und Kommunikationswege auf den Prüfstand zu stellen.

Phase 1: Die dringende Zahlungsanweisung

Szenariobeschreibung (Teil 1):

Es ist Donnerstagvormittag, die Quartalszahlen stehen vor der Tür und die Arbeitsbelastung in der Buchhaltung ist hoch. Eine Mitarbeiterin in der Finanzbuchhaltung erhält eine E-Mail direkt vom E-Mail-Konto des CEOs. Die Nachricht ist als "DRINGEND & VERTRAULICH" markiert. In der E-Mail weist der CEO die Mitarbeiterin an, eine sofortige Überweisung in Höhe von 85.000 € auf ein ihr unbekanntes, ausländisches Konto zu tätigen. Als Grund wird eine "streng geheime, zeitkritische Unternehmensakquisition" genannt, von der niemand sonst im Haus erfahren dürfe, nicht einmal ihr direkter Vorgesetzter. Der CEO fügt hinzu, dass er sich in einer wichtigen Verhandlung befinde und für die nächsten Stunden telefonisch nicht erreichbar sei. Er bittet um eine schnelle Bestätigung per E-Mail, sobald die Zahlung erfolgt ist.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Erste Reaktion des Mitarbeiters:
    • Wie reagiert die Mitarbeiterin auf diese Anweisung? Löst die Kombination aus Dringlichkeit, Vertraulichkeit und der Autorität des Absenders (CEO) sofortiges Handeln aus?
    • Welche Aspekte der E-Mail könnten Misstrauen wecken? (Ungewöhnlicher Prozess, Geheimhaltung, neue ausländische IBAN, Anweisung, niemanden zu kontaktieren).
  • Interne Kontrollmechanismen:
    • Welcher etablierte Prozess existiert im Unternehmen für Zahlungen dieser Größenordnung? Gibt es ein zwingend vorgeschriebenes Vier-Augen-Prinzip (duale Kontrolle)?
    • Fühlt sich die Mitarbeiterin befugt und ermutigt, eine direkte Anweisung des CEOs zu hinterfragen, wenn diese vom Standardprozess abweicht? Oder überwiegt die Angst vor negativen Konsequenzen?
  • Analyse der E-Mail:
    • Hat die Mitarbeiterin eine Möglichkeit die E-Mail von einem SOC prüfen zu lassen? (In diesem Fall irrelevant, da die E-Mail vom echten Konto kommt).
    • Fällt der Schreibstil oder die Formulierung als untypisch für den CEO auf?

Mögliche Sofortmaßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Entscheidung der Mitarbeiterin: Führt sie die Zahlung durch oder hält sie inne?
  2. Wenn sie innehält: Welchen ersten Schritt unternimmt sie? Informiert sie einen Kollegen, ihren Vorgesetzten oder versucht sie, den CEO entgegen seiner Anweisung zu kontaktieren?
  3. Dokumentation: Beginnt die Mitarbeiterin, den Vorgang zu dokumentieren?

Phase 2: Zweifel und der Versuch der Verifizierung

Szenariobeschreibung (Teil 2):

Die Mitarbeiterin ist erfahren und misstrauisch. Die Anweisung, ihren Vorgesetzten nicht zu informieren und die Umgehung des Vier-Augen-Prinzips verstoßen gegen alle internen Richtlinien. Sie beschließt, die Zahlung nicht sofort auszuführen. Sie steht nun vor der Herausforderung, die Legitimität der Anweisung zu überprüfen, ohne die (scheinbare) Anweisung des CEOs zur Geheimhaltung zu verletzen.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Eskalationswege und Verifizierung:
    • Wen kontaktiert die Mitarbeiterin als Erstes? Ihren direkten Teamleiter? Die Leitung der Finanzabteilung?
    • Gibt es einen klar definierten und bekannten Eskalationsweg für genau solche Verdachtsfälle?
    • Welche alternativen Kommunikationskanäle zum CEO gibt es? Versucht sie, ihn trotz seiner Anweisung auf dem Handy anzurufen, ihm eine SMS zu schicken oder seine Assistenz zu kontaktieren?
  • Stärke der internen Prozesse:
    • Was passiert, wenn der Teamleiter unsicher ist und sagt: "Wenn es direkt vom Chef kommt, müssen wir es vielleicht machen. Wir wollen ja keinen Ärger."? Hält das Vier-Augen-Prinzip auch diesem internen Druck stand?
    • Ab welchem Punkt wird die IT-Sicherheit (CISO/ISB) eingeschaltet? Bereits bei einem vagen Verdacht oder erst, wenn der Betrugsversuch bestätigt ist?
  • Kommunikation im Team:
    • Spricht die Mitarbeiterin mit einem Kollegen über den Vorfall, um eine zweite Meinung einzuholen? Wird dadurch die "Geheimhaltung" gebrochen? (Diskussion über das Prinzip "Need to Know" vs. "Schutz des Unternehmens").

Mögliche Maßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Durchspielen des Verifizierungsprozesses: Wer wird kontaktiert? Was wird gesagt?
  2. Entscheidung über die Eskalation: An welchem Punkt wird von der reinen Überprüfung des Zahlungsvorgangs zur Meldung eines potenziellen Sicherheitsvorfalls übergegangen?
  3. Kontaktaufnahme mit dem CEO oder einer Vertrauensperson (z.B. Assistenz) über einen sicheren, bekannten Kanal (Telefonat, persönliche Nachfrage), um die E-Mail zu verifizieren.

Phase 3: Bestätigung des Angriffs

Szenariobeschreibung (Teil 3):

Die Leiterin der Finanzabteilung erreicht schließlich die Assistenz des CEOs. Diese bestätigt, dass der CEO in einer externen Konferenz ist, aber von keiner "geheimen Akquisition" oder Zahlungsanweisung weiß. Es herrscht nun Gewissheit: Dies ist kein Scherz und keine Prüfung, sondern ein aktiver Betrugsversuch. Schlimmer noch: Da die E-Mail vom echten Konto kam, ist klar, dass das E-Mail-Postfach des Geschäftsführers kompromittiert ist. Der Vorfall eskaliert von einem reinen Betrugsversuch zu einem hochkritischen IT-Sicherheitsvorfall.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Incident Response – Übernahme durch die IT-Sicherheit:
    • Wer leitet nun den Incident-Response-Prozess?
    • Welche sind die absolut ersten technischen Schritte, um den Schaden zu begrenzen? (z.B. sofortiges Zurücksetzen des CEO-Passworts, Beendigung aller aktiven Anmeldesitzungen, Überprüfung/Erzwingung der Multi-Faktor-Authentifizierung (MFA)).
  • Analyse der Kompromittierung:
    • Wie konnte der Angreifer Zugriff auf das Konto erlangen (Phishing, Passwort-Wiederverwendung, Malware auf einem Gerät des CEOs)?
    • Wie lange hatte der Angreifer bereits Zugriff? Was können Logs (z.B. Azure AD Sign-in Logs) darüber aussagen?
    • Was hat der Angreifer im Postfach noch getan? (E-Mails gelesen, nach sensiblen Informationen gesucht, Weiterleitungsregeln eingerichtet, weitere E-Mails an Partner oder Kunden gesendet, Dateien aus OneDrive/SharePoint heruntergeladen).
  • Interne und externe Kommunikation:
    • Wie werden andere potenziell gefährdete Personen (weitere Geschäftsführer, Prokuristen, Finanzmitarbeiter) sofort über den Vorfall und die Methode gewarnt?
    • Muss eine Meldung an Behörden erfolgen? (Polizei wegen Betrugsversuch; Datenschutz-Aufsichtsbehörde wegen Datenschutzverletzung, da der Angreifer Zugriff auf potenziell personenbezogene Daten im Postfach hatte).
  • Datenschutz:
    • Ist der unautorisierte Zugriff auf das CEO-Postfach eine meldepflichtige Datenschutzverletzung gemäß DSGVO? (Ja, da ein CEO-Postfach in der Regel viele personenbezogene Daten enthält).

Mögliche Maßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Aktivierung des formalen Incident-Response-Prozesses.
  2. Durchführung der technischen Sofortmaßnahmen zur Sicherung des CEO-Kontos.
  3. Start der forensischen Untersuchung zur Klärung des Kompromittierungswegs und des Schadensumfangs.
  4. Veröffentlichung einer internen Warnung an alle Mitarbeiter, insbesondere an Schlüsselpersonal.
  5. Einbindung des Datenschutzbeauftragten (DSB) zur Bewertung und Vorbereitung der Meldung an die Aufsichtsbehörde.

Phase 4: Aufräumen und Stärkung

Szenariobeschreibung (Teil 4):

Das Konto des CEOs ist gesichert, die Zahlung wurde dank der aufmerksamen Mitarbeiterin und der (hoffentlich) funktionierenden Prozesse verhindert. Die Untersuchung der Kompromittierung läuft. Jetzt gilt es, die Lehren aus dem Vorfall zu ziehen und die Verteidigung für die Zukunft zu stärken.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Analyse der Prozesse und Kontrollen:
    • Hat der interne Kontrollprozess (Vier-Augen-Prinzip) funktioniert? Was waren die Stärken? Wo gab es Unsicherheiten oder Schwächen?
    • Waren die Eskalationswege klar und wurden sie eingehalten?
    • Wie kann man Mitarbeiter noch besser darin bestärken, auch Anweisungen von höchsten Autoritätspersonen zu hinterfragen, wenn diese von Prozessen abweichen?
  • Analyse der technischen Schwachstellen:
    • Was war die Ursache für die Kompromittierung des Kontos? (z.B. fehlende MFA, erfolgreiches Phishing).
    • Welche technischen Maßnahmen können ergriffen werden, um solche Kompromittierungen zu erschweren? (MFA flächendeckend durchsetzen, Phishing-resistente MFA wie FIDO2 prüfen, Schulungen intensivieren).
    • Können DLP-Regeln (Data Loss Prevention) helfen, E-Mails mit Zahlungsanweisungen an externe Konten zu erkennen und zu kennzeichnen oder zu blockieren?
  • Security Awareness:
    • Welche Lehren müssen in die nächste Security-Awareness-Schulung einfließen?
    • Wie können reale Szenarien wie dieses (anonymisiert) genutzt werden, um das Bewusstsein aller Mitarbeiter zu schärfen?
    • Wie kann man eine positive Sicherheitskultur fördern, in der das Hinterfragen von Ungereimtheiten als Stärke und nicht als Misstrauen gesehen wird?

Mögliche Maßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Durchführung eines umfassenden "Lessons Learned"-Workshops mit allen Beteiligten (Finanzabteilung, IT, Management).
  2. Überprüfung und ggf. Verschärfung der Richtlinien für Zahlungsprozesse.
  3. Implementierung oder Überprüfung technischer Sicherheitsmaßnahmen für alle E-Mail-Konten, insbesondere für C-Level-Manager.
  4. Anpassung des Security-Awareness-Programms mit einem klaren Fokus auf CEO-Fraud und die Wichtigkeit von Prozess-Treue.
  5. Positive Hervorhebung des richtigen Verhaltens der beteiligten Mitarbeiter als Vorbild für das gesamte Unternehmen.

Fazit

Ein Angriff über ein echtes, kompromittiertes C-Level-Konto ist der ultimative Test für Ihre Verteidigung. Er zeigt, dass technische Schutzmaßnahmen wie Spamfilter versagen können und am Ende oft der Mensch und der Prozess die letzte und wichtigste Verteidigungslinie sind. Ein starkes Vier-Augen-Prinzip und eine Kultur, in der Mitarbeiter sich trauen, "Nein" zu sagen und Prozesse einzufordern, sind unbezahlbar.

Nutzen Sie dieses Szenario, um Ihre eigenen Prozesse zu hinterfragen. Sind diese nur auf dem Papier existent oder werden sie auch unter Druck gelebt?

Wir unterstützen Sie gerne dabei. Ob Awareness-Schulungen, Incident-Response-Pläne oder technische Schutzmaßnahmen – mit unseren Services helfen wir Ihnen, Sicherheitsvorfälle nicht nur besser zu bewältigen, sondern im besten Fall ganz zu vermeiden.

info@byteray.com
+49 89 2000 7683
Hopfenstr. 8, 80335 München
Termin vereinbaren
Services
Managed SOCManaged ServicesProfessional ServicesIncident Response
Beratung
StrategieberatungVirtual CISONIS 2 WorkshopThreat Intelligence
Unternehmen
Über unsDatenschutzImpressumAGB
© 2025 ByteRay GmbH. All Rights Reserved.