Betrugsmasche CEO Fraud weiter auf dem Vormarsch

Wenn der Chef gefälscht ist

Mit fingierten E-Mails und Zahlungsanweisungen werden illegale Geldtransfers eingeleitet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Unternehmen aus aktuellem Anlass vor einem akuten Risiko durch CEO Fraud. Der Behörde ist es gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das BSI informiert die Betroffenen über die akute Gefährdung. Damit steht eine Betrugsmasche wieder im Rampenlicht, die so erschreckend einfach und doch schwer zu durchschauen ist. Bereits vor einem Jahr berichteten wir über das Phänomen des digitalen Cheftricks. Mit gefälschten Dienstanweisungen und unter falscher Identität versuchen Kriminelle, Entscheidungsträger von Unternehmen so zu manipulieren, dass diese hohen Geldbeträge an fremde Konten überweisen lassen.

Ein lukratives Geschäft

Betrugsmasche CEO Fraud Tatsächlich ist CEO-Fraud ein einträgliches Geschäft für das organisierte Verbrechen: Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden. Von einem weltweiten Milliardengeschäft im Zusammenhang mit gefälschten CEO-Mails sprach im vergangenen Jahr auch schon das amerikanische FBI: Demnach versuchten Kriminelle mit dieser Masche über 3,1 Milliarden Dollar zu ergaunern – auf die Betrügerkonten überwiesen wurden davon etwa eine Milliarde Dollar.

So funktioniert der Betrug

Die Betrüger geben sich als vermeintlicher Vorstand, Geschäftsführer (CEO) oder sonstige Führungskraft des eigenen Unternehmens aus. In perfekt gefälschten E-Mails oder fingierten Anrufen weisen sie Mitarbeiter, die berechtigt sind Finanztransaktionen für das Unternehmen durchzuführen, an, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Zeitdruck und psychischer Druck auf den Mitarbeiter – ganz nach dem Motto „Sie wollen doch nicht verantworten, dass das vertrauliche Projekt scheitert“ – tragen ihr Übriges dazu bei, dass die Masche zum Erfolg führt. Etwaige Zweifel an der Legitimität oder Misstrauen gegenüber ausländischen Bankverbindungen werden im Keim erstickt. Denn gern wird eine Unternehmensübernahme oder eine geänderte Kontoverbindung vorgetäuscht, um eine Überweisung nach China, Hongkong oder in ein osteuropäisches Land zu veranlassen.

Auch Sie können schnell zum Opfer werden

Stellen Sie sich bitte kurz die folgende Arbeitssituation vor: Sie sind Buchhalter bei einem Zulieferer der internationalen Automobilindustrie mit Sitz in Süddeutschland und etwas mehr als 600 Angestellten an drei Standorten. Dienstagmorgen erreicht Sie diese E-Mail von Ihrem Chef, von dem Sie ja wissen, dass er sich gerade geschäftlich in der Schweiz aufhält: „Die gestrigen Gespräche mit unserem neuen Partner verliefen sehr vielversprechend. Um die Verhandlungen zu einem raschen Abschluss zu bringen, bitte ich Sie, die weitere Bearbeitung gemeinsam mit der von uns beauftragten Kanzlei xy zu übernehmen. Über die Details informiere ich Sie in Kürze. Diese Angelegenheit muss streng vertraulich behandelt und über den bevorstehenden Geschäftsabschluss darf noch niemand informiert werden. Da ich in vielen Meetings und nur sehr schwer erreichbar bin, kontaktieren Sie mich bitte ausschließlich per E-Mail. Ich vertraue auf Ihre Diskretion. Hat Rechtsanwalt Müller Sie bereits kontaktiert? MfG, Eberhard Finke, Geschäftsführer.“ Einige Minuten nach Eingang dieser E-Mail klingelt das Telefon, besagter Rechtsanwalt Müller stellt sich vor und erläutert Ihnen die Zusammenhänge…

Betrugsmasche CEO Fraud Ganz ehrlich: Würden Sie Verdacht schöpfen, dass die E-Mail nicht von Ihrem Chef ist? Zumal Ihnen obendrein die Anwaltskanzlei geläufig ist? Zugegeben, die Geschichte ist ausgedacht, bei vielen gestandenen Mittelständlern fängt aber genauso die Betrugsmasche CEO Fraud an.

Diese Informationen sammeln die Betrüger

Kriminelle Vorarbeit ist schon notwendig, um beim CEO-Fraud erfolgreich zu sein. Denn damit die Betrugsmasche funktioniert, müssen die Täter Informationen über ihre Opfer sammeln. Wie schaffen sie es aber, an so viele Details über ihre Opfer zu gelangen? In der Regel veröffentlichen diese die Unternehmen sogar selbst: in Wirtschaftsberichten, im Handelsregister, auf ihrer Homepage oder in Werbebroschüren.

Die Täter informieren sich auch genauestens darüber, mit welchen Unternehmen in welchen Ländern Geschäftsbeziehungen bestehen und welche Investitionen geplant sind. Besonderes Augenmerk legen sie aber auch auf die E-Mail-Erreichbarkeiten, da sie Rückschlüsse auf die Tagesabläufe der Zielpersonen geben, beziehungsweise ob die auf der Website angegebenen (leitenden) Mitarbeiter tatsächlich noch im Unternehmen beschäftigt sind. Von Interesse sind in diesem Zusammenhang vor allem die E-Mail-Adresse und Telefonnummer des CEO sowie der Person(en), die im Unternehmen für Überweisungen zuständig ist.

Eine große Rolle spielen auch soziale Netzwerke, in denen Angestellte wie Geschäftsführer munter Auskunft geben über ihre Tätigkeit beziehungsweise Funktion im Unternehmen oder aber persönliche Details wie ihre Reisepläne preisgeben. In jedem Falle stellen Facebook, Xing und Co. eine perfekte Informationsquelle für Kriminelle dar. Hier erhalten sie genügend Insiderwissen, um ihre perfiden Betrugspläne in die Tat umzusetzen.

Den Faktor Mensch nicht unterschätzen!

Aber auch der menschliche Faktor spielt dabei eine nicht zu unterschätzende Rolle. Häufig haben Mitarbeiter Angst vor der höheren Hierarchieebene – und diese Angst nutzen die Betrüger für ihre Attacken aus. Scheut sich ein Mitarbeiter den vermeintlichen Chef-Absender anzusprechen, ob die Dienstanweisung auch tatsächlich legitim sei, haben die Betrüger schon fast gewonnen. Gerade im Mittelstand – häufig sind die Unternehmen hier über Jahre gewachsen, werden nicht selten von Eltern an ihre Kinder weitergegeben – verpassen es die Unternehmer, ihre Strukturen an neue Gegebenheiten anzupassen: Die Überweisung erfolgt auf Zuruf, die Kontaktdaten der Mitarbeiter stehen auf der Homepage und ein Vier-Augen-Prinzip gibt es nicht.

Vertrauen ist gut – Kontrolle ist besser

Betrugsmasche CEO Fraud Um sich gegen CEO Fraud zu wappnen, drehen Sie den Spieß um: Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich auffindbar sind. Dazu gehört auch zu wissen, was Sie oder Ihre Mitarbeiter wann und wo im Zusammenhang mit Ihrem Unternehmen publizieren – insbesondere auch geplante Investitionen und Reisepläne der Chefetage. Kontrollieren Sie Ihre Websites sowie Social-Media Accounts und entfernen Sie Durchwahlen sowie personalisierte E-Mail-Adressen. Schaffen Sie klare Abwesenheitsregeln, wenn die Unternehmensleitung oder leitende Angestellte auf Reisen sind. Führen Sie interne Kontrollmechanismen wie ein Vier-Augen-Prinzip oder Höchstgrenzen für Geldtransfers ein. Mit Schulungen sensibilisieren Sie Ihre Mitarbeiter für diese Betrugsmasche und zeigen Sie ganz klare Handlungsoptionen auf.

Es muss Ihnen und Ihren Mitarbeitern in Fleisch und Blut übergehen, grundsätzlich E-Mail-Adressen auf ihre Schreibweise zu überprüfen und Absender nur über Ihnen bekannten Adressdaten zu kontaktieren. Das kann auch ein Anruf beim Vorgesetzten beziehungsweise Absender sein, um sich eine ungewöhnliche Zahlungsanweisung noch einmal bestätigen zu lassen. Größte Skepsis sollte geboten sein, wenn absolute Verschwiegenheit gefordert wird und/ oder dabei die weitere Kommunikation über andere Kommunikationskanäle wie private E-Mail-Adressen oder Chats verlagert wird. Meist jedoch sind Rückfragen gar nicht erwünscht. Wenn doch, dann häufig unter nicht bekannten Telefonnummern mit dem Hinweis nur diese zu nutzen. Ein deutliches Signal ist auch der Aufbau ganz erheblichen Drucks, die geforderte Geldsumme schnell auf ein bis dato unbekanntes Konto anzuweisen – meist mit der Begründung, die Übernahme oder der Deal könnte sonst platzen.

E-Mail-Verschlüsselung kompakt und verständlich

LesetippLast but not least – wir können es nicht häufig genug betonen: Bitte wickeln Sie Ihre E-Mail-Kommunikation verschlüsselt ab. Ganz besonders wenn es um vertrauliche Unterlagen und Vorgänge geht.

geschrieben von: Andreas Richter

Andreas Richter

Andreas Richter ist Mitglied der Geschäftsleitung bei GBS und verantwortet die weltweite Marketing- und Produktstrategie. In seiner Arbeit verknüpft er umfassende Marketing-Expertise mit einem breiten Know-how in Bereichen wie IT-Sicherheit, E-Mail-Management, Collaboration, Social Business, Cloud und Compliance.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.