Whaling
Hochspezialisierter Spear-Phishing-Angriff auf Top-Führungskräfte (CEO, CFO, CISO). Angreifer investieren Wochen in Recherche über Ziele um perfekt gefälschte E-Mails zu erstellen - oft im Kontext von M&A, Finanztransaktionen oder vertraulichen Projekten.
Whaling ist die gefährlichste Variante des Spear-Phishing. Der Name leitet sich von “Big Fish” ab - statt viele normale Mitarbeiter zu attackieren (Phishing), zielt Whaling auf die “großen Fische” ab: CEO, CFO, CISO, Vorstandsmitglieder und andere C-Suite-Führungskräfte.
Warum CEOs besonders gefährdet sind
Führungskräfte sind attraktive Angriffsziele aus mehreren Gründen:
- Entscheidungsgewalt: CEOs können Zahlungen direkt autorisieren
- Hochwertige Zugänge: Zugang zu M&A-Daten, strategischen Plänen
- Zeitdruck: Executives sind beschäftigt - wenig Zeit für Rückfragen
- Status-Autorität: Emails von CEOs werden selten hinterfragt
- OSINT-Fülle: LinkedIn, Interviews, Konferenzauftritte = viel Recherchebasis
Anatomie eines Whaling-Angriffs
Phase 1: OSINT-Reconnaissance (Wochen bis Monate)
Angreifer sammeln intensiv Informationen:
- LinkedIn-Profil: Karriere, Verbindungen, Aktivitäten
- Unternehmens-Website: Vorstandsteam, Organigramm, Pressemitteilungen
- Jahresberichte und Investor Relations: Finanzdaten, Strategie
- Nachrichtenartikel: Interviews, Zitate, aktuelle Projekte
- Conference Talks: Agenda, Präsentationen, Speaker-Bios
- Xing, Twitter/X: persönliche Interessen, Reiseaktivitäten
Phase 2: Angriffsszenario konstruieren
Glaubwürdige Kontexte für Whaling:
M&A-Szenario:
“Ich bin der Anwalt für die Übernahme von [echter Firma]. Die NDA-Phase erfordert streng vertrauliche Zahlung von 2,3M€. Bitte überweisen Sie bis Freitag 17:00 - Legal-Team wurde instruiert.”
Steuer-/Aufsichtsbehörden-Szenario:
E-Mail scheinbar von Wirtschaftsprüfer oder Finanzamt: “Steuerprüfung läuft - vertrauliche Zahlung bis Montag nötig.”
Board-Mitglied-Anfrage:
Spoofed oder lookalike E-Mail von bekanntem Aufsichtsrat: “Geheimes Akquisitionsprojekt - CFO bitte keine anderen informieren.”
Phase 3: Spear-Phishing-Mail
Die Whaling-E-Mail ist handgefertigt:
- Echte Namen von Kollegen, Anwälten, Banken
- Korrekte E-Mail-Signatur nachgebaut
- Bezug auf echte aktuelle Projekte (aus OSINT)
- Dringlichkeit + Vertraulichkeit (“Sprechen Sie mit niemandem darüber”)
- Plausible Absender-Domain (Spoofing oder look-alike: arnwelt-consulting.com statt arnwelt.com)
Berühmte Whaling-Fälle
FACC AG (2016): Österreichischer Luft- und Raumfahrtkonzern verlor 50 Mio. € durch Fake-CEO-Anweisung an den CFO. CFO wurde entlassen.
Crelan Bank (2016): Belgische Bank verlor 70 Mio. € durch Whaling auf CEO.
Ubiquiti Networks (2015): 46,7 Mio. $ über kompromittierte E-Mail-Kommunikation zwischen CEO und CFO gestohlen.
Levitas Capital (2020): Australischer Hedgefonds verlor fast alles nach Whaling-Angriff - Fonds wurde aufgelöst.
Whaling vs. reguläres Phishing
| Merkmal | Massen-Phishing | Spear-Phishing | Whaling |
|---|---|---|---|
| Zielgruppe | Alle | Bestimmte Abteilung | C-Suite |
| Aufwand | Minimal | Tage | Wochen/Monate |
| Anpassungsgrad | 0% | Mittel | Hoch |
| Erfolgsrate | 0.1-3% | 15-30% | 50%+ |
| Schadenspotenzial | €100s | €10.000s | Mio. € |
Schutzmaßnahmen
Technisch
- DMARC p=reject: verhindert E-Mail-Spoofing der eigenen Domain
- E-Mail-Banner für externe E-Mails ([EXTERN]-Tag im Betreff)
- Lookalike-Domain-Monitoring (Varianten der eigenen Domain registrieren/überwachen)
- Separate E-Mail-Adresse für Vorstand (nicht in Impressum)
- 4-Augen-Prinzip bei Überweisungen > Schwellwert
Prozess
- Callback-Verfahren: Finanzanweisungen telefonisch bestätigen (bekannte Nummer!)
- Kein E-Mail-Only bei Überweisungen > X € - immer Zweiter Kanal nötig
- Reise-Kommunikation: Vorankündigung wenn CEO/CFO unterwegs - höhere Angriffsgefahr
- “Keine Ausnahmen”: Auch CEO-Anweisungen folgen Freigabeprozess
Awareness
- C-Suite bekommt dediziertes Whaling-Training (kein generisches Phishing-Training)
- Simulierte Whaling-Angriffe auf Vorstand (mit Warnhinweis bei “Erfolg”)
- Öffentliche LinkedIn-Posts einschränken (weniger OSINT-Angriffsfläche)
- “Social Engineering” in Reisegepäck kennen - in Hotels, auf Konferenzen
Whaling ist kein technisches Problem - es ist ein organisatorisches. Die beste Firewall nützt nichts, wenn der CFO eine E-Mail scheinbar vom CEO genehmigt.
