CEO-Fraud: Wenn sich Kriminelle als Geschäftsführer:in ausgeben …

Wie funktioniert Social Engineering à la Chef konkret? Fakten, Fallbeispiele und Maßnahmen zur Prävention. Ein Gespenst geht um in der Wirtschaftswelt: CEO-Fraud kann Schäden in Millionenhöhe verursachen. Was schützt gegen die wachsende Bedrohung? 

 

„Like a boss“ oder: Wie CEO-Fraud zu seinem Namen kam.

Die Abkürzung CEO steht für Chief Executive Officer und meint die höchste Führungskraft eines Unternehmens. Die Bezeichnung CEO-Fraud, zu Deutsch so etwas wie „Boss-Betrug“, wirkt leicht missverständlich. Schließlich richtet sich der eigentliche Angriff gar nicht gegen die geschäftsführende Person. Ihr gilt lediglich das Ausspähen in der Anbahnungsphase, um sich die CEO-Rolle anzueignen. Unter exklusivem Deckmantel nehmen sich Cyberkriminelle dann ihr eigentliches Zielobjekt im Unternehmen vor: Jemanden mit Prokura oder ähnlichen Schlüsselbefugnissen. Die Bezeichnung CEO-Fraud beschreibt also die Art des Zugangs zum Opfer! Und steht damit in einer Reihe mit Romance Fraud, Quiching, Smishing & Co. – nach diesem Muster haben Sicherheitsverantwortliche und Strafverfolgung nach und nach Kategorien des Social Engineering gebildet. In der Folge hat sich CEO-Fraud weitgehend etabliert, auch wenn die Alternativbezeichnungen „Fake President Fraud“ oder „Business E-Mail Compromise“ die Tat eigentlich anschaulicher bezeichnen.

 

Wie lässt sich CEO-Fraud erklären? Wie greift die Masche?

Die Macht der Autorität – das ist der Dreh- und Angelpunkt beim CEO-Fraud.
Indem sich Cyberkriminelle die Chefposition aneignen, egal ob nun alias CEO oder CFO oder in ähnlicher Managementfunktion, sind die Mitarbeiter:innen weisungsgebunden. Sind die Täter:innen hinreichend über die Geschäftsführung informiert, verfängt ihre Kontaktaufnahme alias CEO mit den Mitarbeiter:innen umso besser. Die Beschäftigten wollen alles richtig machen, fühlen sich möglicherweise sogar schmeichelhaft ins Vertrauen gezogen, sind vielleicht auch im Stress. Über diese psychologischen Anknüpfungspunkte greifen die Täuschungsmanöver. Und sind erst einmal Schlüsselbefugnisse unter Kontrolle gebracht, lassen sich unter Umständen größere Summen abräumen als per Enkeltrick von Omis Sparbuch.

Wenn Menschen zum Multi-Tool verbogen werden.

Die wortwörtliche Übersetzung „Soziale Ingenieursarbeit“ mag irritieren. Doch bei Social Engineering geht es in der Tat um ausgefeilte Techniken der Täuschung und Manipulation des Menschen. Eben jenes Einfallstor für Betrug, das keine Sicherheitsexpert:innen der Welt schließen können. Kriminelle erlangen zeitweilig die Kontrolle. Anhand kalkulierbarer psycho-sozialer Verhaltensmuster werden Menschen so instrumentalisiert, dass sie entgegen ihren ureigenen Interessen und zugunsten betrügerischer Zwecke agieren. Sie selbst werden streng vertrauliche Informationen wie PINs und TANs preisgeben, wenn nicht gar Transaktionen oder Käufe selbst tätigen, manchmal auch Bargeld oder Vermögenswerte aushändigen.

Wie CEO-Fraud in der Praxis aussieht? Drei Beispiele.

1. Ende März gelang es Betrüger:innen, bei einem Unternehmen im Kreis Ludwigsburg eine E-Mailadresse auszuspähen, welche zur internen Kommunikation der Geschäftsleitung mit der Buchhaltung diente. Die Täter:innen fingierten den Absender und wiesen als angebliche Geschäftsleitung die Buchhaltung an, gefälschte Rechnungen zu begleichen. Mehr als 100.000 Euro wurden daraufhin auf ausländische Bankkonten überwiesen. Der Betrug fiel erst Tage später auf, als der Geschäftsführer nach dem Wochenende von einer Mitarbeiterin darauf angesprochen wurde.

2. Anfang dieses Jahres wurde ein CEO-Fraud bei einer Erfurter Firma bekannt, bei dem sich Telefonbetrüger seit Mitte Dezember als falsche Chefs ausgaben und einen Mitarbeiter dazu brachten, ihnen mehr als zwei Millionen Euro zu überweisen.

3. Ein paar Tage vor Weihnachten klingelte bei einem leitenden Mitarbeiter einer bayrischen Elektronikfirma das Telefon. Ein Unbekannter gab sich als Geschäftsführer der Muttergesellschaft mit Sitz in Japan aus. Auch die Rufnummer der japanischen Muttergesellschaft nutzte der Mann. Seine Stimme habe der des wirklichen Geschäftsführers täuschend ähnlich geklungen, wird das Betrugsopfer später aussagen. Für den Mitarbeiter war die Geschichte des Anrufers nachvollziehbar. Die Unternehmenszentrale benötige dringend finanzielle Unterstützung durch die Partner im Landkreis München. Mehrere hunderttausend Euro sollten umgehend an eine genannte Kontoadresse überwiesen werden. Was der Niederlassungsleiter auch gleich über die Buchhaltung veranlasste. Im Nachhinein wandte er sich aber doch an die Polizei. Wegen der Zeitverschiebung konnte die Gutschrift noch rechtzeitig verhindert werden; zum Zeitpunkt der Überweisung war im Empfängerland Nacht.

Die Buchhaltung ist nicht allein gefährdet.

CEO-Fraud Angriffe können von allen Seiten ins Unternehmen hineingetragen werden. Auch Mitarbeiter:innen der Rechtsabteilung oder aus dem HR-Bereich werden von Betrüger:innen per E-Mail oder Telefon kontaktiert. Beispielsweise, um einen Vertraulichkeitsvertrag vorzubereiten, da ein streng geheimer Firmenkauf bevorstehe. Weshalb alle erforderlichen Dokumente an einen externen Anwalt, der den geheimen Deal unterstützt, zu senden seien. Würden diese Dokumente tatsächlich verschickt, würden vertrauliche Unternehmensinformationen offengelegt. Solche Szenarien von Social Engineering stellen schon heute bedeutende Herausforderungen für jede Wirtschaft dar.

Machen Sie diese Schutz-Maßnahmen zur Chefsache!

Um sich vor CEO-Fraud zu schützen, sollten Unternehmen diesen Maßnahmenkatalog dringend auf ihre Agenda nehmen und vollständig umsetzen:

1. Sensibilisierung der Mitarbeiter:innen für Betrugsmethoden dieser Art (Aufklärung, Schulung, Trainings zur Früherkennung von Phishing etc.).
2. Klare Kommunikationsrichtlinien erstellen.
3. Genehmigungsprozesse für Finanztransaktionen etablieren bzw. absichern.

Eine kleine Info-Broschüre des Bundeskriminalamtes steht hier direkt zum Download bereit.

 

Ihr Social Engineering Schutzschild: Fünf Faustregeln im Privaten wie im Unternehmen.

1. Banken oder Sparkassen, Behörden oder seriöse Firmen werden sich unter gar keinen Umständen mit dem Anliegen an Sie wenden, sensible Informationen von Ihnen zu benötigen – weder telefonisch noch digital.

2. Den meisten Menschen erscheint unvorstellbar, zu was die Betrüger:innen imstande sind. Am wichtigsten ist es daher, jederzeit achtsam und misstrauisch gegenüber ungewöhnlichen Anfragen und Nachrichten zu sein.

3. Und wenn die Aufforderung auch noch so echt und dringlich erscheint: Nehmen Sie sich Zeit und überprüfen Sie die Sache! Verlassen Sie für Ihre Nachforschungen unbedingt den Dialog, d.h. beenden Sie das Telefonat, schließen Sie die E-Mail oder Kurznachricht! Nutzen Sie niemals Rufnummern, Links oder „Hilfsangebote“, die Sie im Rahmen der Aufforderung erhalten. Holen Sie sich im Zweifel bei mehreren Kompetenzstellen Rat.

4. Verdächtige E-Mails, SMS oder Nachrichten löschen Sie am besten sofort – ohne darauf zu klicken – schon gar nicht auf enthaltene Bilder, Anhänge, Links.

5. Sollten Sie doch einmal persönliche Daten offengelegt haben, verlieren Sie keine Zeit! Sperren Sie sofort Ihre Karte(n) und das Online-Banking! Rund um die Uhr beim Sperr-Notruf 116 116 oder direkt bei Ihrem Kreditinstitut.

Halten Sie sich und andere über Betrugsmaschen informiert. Sie finden jederzeit aktuelle Betrugswarnungen sowie etliche hilfreiche Leitfäden zum Herunterladen auf der Webseite der Verbraucherzentrale.

 

_Quellen:

_{https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html}

_{https://www.verbraucherzentrale.de/aktuelle-meldungen/digitale-welt/achtung-phishing-betrug-mit-energiepauschale-und-foerderprogrammen-76907}

_{https://live.vodafone.de/regional/badenwuerttemberg/betrug-trickbetrueger-bringen-firma-um-100-000-euro/11998070}

_{https://www.spiegel.de/wirtschaft/ceo-fraud-in-erfurt-falsche-chefs-erbeuten-ueber-zwei-millionen-euro-a-ce4b26a6-b974-4b65-811a-6284d6ea7869}

_{https://www.sueddeutsche.de/muenchen/landkreismuenchen/landkreis-muenchen-ceo-fraud-betrueger-firma-ueberweisung-1.5714562}