Wenn Betrüger sich als Chef ausgeben

Beim CEO-Fraud fordern Cyberkriminelle im Namen des Vorgesetzten oder Geschäftsführers in gefälschten E-Mails die Mitarbeiter dazu auf, eine große Summe vom Unternehmenskonto ins Ausland zu überweisen. Warum die Betrugsmasche so erfolgreich ist und wie sich Unternehmen davor schützen.

Eine Buchhalterin erhält eine E-Mail mit hoher Dringlichkeit von ihrem Vorgesetzten mit der Aufforderung, umgehend eine hohe Summe Geld auf ein Konto zu transferieren. Angeblich, um einen noch geheimen Unternehmenskauf zu finanzieren. Die Buchhalterin wundert sich vielleicht, reagiert aber natürlich sofort und überweist das Geld.
Beim sogenannten CEO-Fraud – zu deutsch Chef-Betrug – gehen die Täter raffiniert vor: Bevor sie ihre gefälschten E-Mails verschicken, sammeln sie geduldig Informationen über das Unternehmen und gelangen so an Insiderwissen für ihre Betrugsmasche. Dabei studieren sie Homepage und Handelsregister und durchsuchen neben Wirtschaftsberichten und Werbebroschüren das Netz nach Hinweisen auf Geschäftspartner, künftige Investments und E-Mail-Adressen von Unternehmensmitarbeitern. Noch immer unterschätzte Informationsquelle sind die sozialen Medien, in denen Mitarbeiter ihre Funktion und Tätigkeit oder persönliche Details preisgeben. Systematisch spionieren die Cyberkriminellen die Angaben und Posts der Social-Media-Profile der Geschäftsführer und Finanzmitarbeiter aus.

Der Schaden geht in die Milliarden

Haben sie die gewünschten Informationen gefunden, nehmen sie Kontakt zum auserwählten Mitarbeiter auf und geben sich als Vorgesetzter oder Geschäftsführer aus. Ihre Opfer sind vorzugsweise Mitarbeiter aus der Buchhaltung, die berechtigt sind, Überweisungen zu tätigen. Per E-Mail oder Telefon weisen sie die Mitarbeiter an, eine größere Summe auf ein ausländisches Konto zu überweisen. Im Detail kann es sich so abspielen: eine Mitarbeiterin der Finanzabteilung einer Tochterfirma erhält einen Anruf des vermeintlichen Konzernchefs. Für ein streng geheimes Geschäft müssten kurzfristig 890.000 Euro ins Ausland überwiesen werden. Aufgrund der Geheimhaltung müsse sie die Transaktion streng vertraulich behandeln und vor allem schnell erledigen. Die Mitarbeiterin fühlt sich geschmeichelt, dass gerade ihr das Vertrauen geschenkt wird, besteht aber auf die vorgeschriebene Unterschrift des Geschäftsführers und eine zweite Unterschrift des Chefbuchhalters. Die Unterschrift des Chefs kommt prompt über das übliche Fax-Formular, den Chefbuchhalter hatte der angebliche Konzernleiter bereits per Telefon überlistet, so dass auch er unterschreibt. Und so transferiert die Buchhalterin die 890.000 Euro auf das ausländische Konto, von wo sie innerhalb kürzester Zeit verschwinden.

Die aktuell erfolgreichste Phishing-Methode

Der Schaden durch CEO-Fraud geht weltweit in die Milliarden. Dabei ist die Dunkelziffer hoch. Viele Unternehmer schweigen aus Scham und Angst vor Gespött. Aus Imagegründen verzichten die meisten betroffenen Firmen darauf, darüber zu berichten, nur börsennotierte Firmen müssen den Betrug offenlegen. Die Tatsache, dass durch die Corona-Krise viele Mitarbeiter im Home Office arbeiten, spielt Cyberkriminellen zusätzlich in die Karten. Mittels Social Engineering spähen sie die im Home Office isolierten Mitarbeiter aus und greifen dann per E-Mail, SMS oder Anruf an.

CEO-Fraud gehört hier zu den erfolgreichsten Phishing-Attacken, daher nimmt die Betrugsmethode rapide zu. Laut einer aktuellen Studie “Wirtschaftskriminalität” der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers hat sich CEO-Fraud zu einer relevanten Bedrohung für den deutschen Mittelstand entwickelt. 40 Prozent der befragten Firmen sind innerhalb der vergangenen 24 Monate zumindest einmal Ziel einer “CEO-Fraud” Attacke geworden. Dahinter stecken fast immer große Banden, die für ihren Betrug E-Mail-Konten fälschen oder sogar komplett kapern.

So schützen sich Unternehmen vor CEO-Fraud

Unternehmen wird dringend empfohlen, präventive Maßnahmen zu ergreifen. Allgemein sollten Unternehmen darauf achten, welche Informationen sie im Internet oder Print über ihr Unternehmen veröffentlichen. Für ein erfolgreiches Sicherheitskonzept sollten zunächst die internen Zahlungs- und Abstimmungsprozesse analysiert und ein Vier-Augen-Prinzip insbesondere für die aktuelle Remote-Arbeit eingeführt werden. Weiterhin sollten Mitarbeiter gezielt sensibilisiert und geschult werden, um betrügerische Kontaktaufnahmen direkt zu erkennen. Da die Straftäter im Vorfeld Firmeninterna recherchieren, sind die guten Fälschungen nur sehr schwer erkennbar. Die E-Mail-Adressen der Vorgesetzten werden fast perfekt kopiert, manchmal unterscheiden sie sich nur um einen unauffälligen Bindestrich oder einen Punkt. Der Inhalt der E-Mails der „Fake-President-Betrügerei“ beruht meist auf vier Grundsteinen: Autorität, Geheimhaltung, das angebliche Vertrauen in den Mitarbeiter und die Dringlichkeit. Sprich, die Anweisung kommt von ganz oben, der Mitarbeiter wird unter Zeitdruck gesetzt und auf die strenge Vertraulichkeit der Überweisung hingewiesen.

Schwachstelle Faktor Mensch

Viele Mitarbeiter haben noch nie von CEO-Fraud gehört. Schulungen zur Security Awareness sensibilisieren sie für den richtigen Umgang mit E-Mails und Unternehmensdaten. Im Rahmen der Unternehmensrichtlinien sollten Abwesenheitsregelungen und interne Kontrollmechanismen eingeführt werden. Dazu gehört, dass der Mitarbeiter bei ungewöhnlichen Überweisungsaufträgen vor einer Transaktion prüfen sollte, ob die Absenderadresse der E-Mail korrekt ist; ob die Zahlungsaufforderung tatsächlich vom genannten Auftraggeber stammt; und ob die Geschäftsleitung bzw. der Vorgesetzte darüber informiert ist.
Betroffen sind Unternehmen jeder Größe, doch das Phänomen grassiert besonders im Mittelstand. Die Attacken zielen bewusst auf den Faktor Mensch anstelle von technischen Schwachstellen. Denn typischerweise werden CEO-Fraud-Nachrichten nicht von Spam-Filtern und anderen traditionellen Filtertechnologien erkannt. Der beste Schutz ist daher die Mitarbeiter-Sensibilisierung durch Schulungen und Coachings. Denn jede noch so raffinierte E-Mail-Betrügerei würde sofort scheitern, wenn die Mitarbeiter eine primitive Sicherheitsmaßnahme beherzigen: Beim geringsten Zweifel einfach beim Chef telefonisch nachfragen, ob der Überweisungsauftrag auch wirklich von ihm stammt.

Dieser Beitrag erschien als Autorenartikeln in der funkschau.

Weitere Blogeinträge