Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

CEO Fraud: Wenn der (vermeintliche) Chef Geld verlangt

Der CEO Fraud hat sich bei Cyber-Kriminellen als beliebtes Mittel bewährt, um an das Geld von Unternehmen zu gelangen. Teils belaufen sich die Schäden dabei auf Millionenhöhe.


Sobald eine E-Mail mit einem Auftrag vom Chef ins Postfach trudelt, ist bei vielen die Aufregung groß – immerhin will man sich beim Vorgesetzten ja von seiner besten Seite zeigen. Doch genau diese Zielstrebigkeit versuchen sich heute immer mehr Cyber-Kriminelle zunutze zu machen – und zwar mittels CEO Fraud (frei übersetzt: Chefbetrug). Denn mit der Betrugsmasche wird bezweckt, einen zu Finanztransaktionen berechtigten Unternehmensmitarbeiter zur Überweisung von Geld zu bewegen, indem man ihm die Identität einer Person aus der Führungsebene, zum Beispiel des Geschäftsführers oder eines Vorstandsmitglieds, vorgaukelt.

Bis Juni 2018, so das IT-Security-Unternehmen KnowBe4, sollen bereits mehr als 22.000 Unternehmen weltweit CEO Fraud zum Opfer gefallen sein. Der entstandene Schaden: Über drei Milliarden US-Dollar. Dass die Gefahr von CEO Fraud aber auch in Deutschland präsent ist, fand im Februar 2018 eine Studie des Wirtschaftsprüfungs- und Beratungsunternehmens PwC heraus: Laut den Ergebnissen verzeichneten 40 % aller befragten deutschen Unternehmen innerhalb von 24 Monaten mindestens einen CEO Fraud, 5 % dieser Versuche waren dabei sogar von Erfolg gekrönt.

Typische Vorgehensweise bei einem CEO Fraud

Aber wie kann es sein, dass auch heute noch Menschen auf einen CEO Fraud hereinfallen? Die Ursache liegt vermutlich in der Organisiertheit der Betrüger. Denn ein erfolgreicher CEO Fraud ist in der Regel mit jeder Menge Vorarbeit verbunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Vorgehensweise der Cyber-Kriminellen in vier Phasen unterteilt:

Quelle: BSI

Phase 1: Zielauswahl

In der ersten Phase gilt es, ein passendes Ziel zu finden. Hierfür erstellen die Betrüger oftmals eine Liste mit potenziellen Opfern für ihren CEO Fraud und wählen ihr Ziel anhand von Basisinformationen, wie dem Unternehmenssitz oder der Adresse, aus.

Phase 2: Umfeldanalyse

Sobald das Wunschziel auserkoren wurde, geht es für die Cyber-Kriminellen daran, tiefergehende Informationen über das Unternehmen bzw. dessen Mitarbeiter zu gewinnen. Es werden Antworten auf Fragen wie etwa “Wie ist die Unternehmensstruktur?”, “Wer ist Geschäftspartner?” oder “Welche Ansprechpartner gibt es?” gesucht. Gleichzeitig findet in Phase 2 aber auch bereits die Auswahl des CEO-Fraud-Angriffsszenarios statt.

Phase 3: Angriffsvorbereitung

Die dritte Phase widmet sich voll und ganz der Vorbereitung des CEO Frauds. Häufig kontaktieren die Betrüger das betreffende Unternehmen telefonisch, um sich so bereits gewonnene Informationen bestätigen zu lassen. In einzelnen Fällen kommt es vor dem eigentlichen Angriff sogar zum Versuch, vorab eine Beziehung zum Opfer aufzubauen. Die Festlegung des Zeitraums sowie der Betrugssumme bildet einen weiteren wichtigen Bestandteil der Angriffsvorbereitung. In Phase 3 geht es aber auch nochmal um die Einholung von Informationen, in diesem Fall aktuelle. Denn mit Informationen, wie der Abwesenheit des Führungspersonal, lässt sich der CEO Fraud besser planen und durchführen.

Phase 4: Angriffsphase

Wurden alle Vorkehrungen getroffen, kommt es zum CEO Fraud. In einer scheinbar echten E-Mail des Chefs wird der Empfänger meist mit einer Stresssituation konfrontiert. Zum Beispiel soll schnell ein hoher Geldbetrag überwiesen werden, um ein vermeintliches Geschäft im Ausland abschließen zu können. Entsprechende Instruktionen werden gleich mitgeliefert. Mit Hilfe der vorab gesammelten Informationen wird vermieden, dass der Mitarbeiter Verdacht schöpft. Gelegentlich fassen die Betrüger sogar bei ihrem Opfer nach, ob die Überweisung getätigt wurde.

CEO Fraud in der Praxis

Genug zur Theorie, kommen wir jetzt zur Praxis. In den vergangenen Jahren gab es schon viele CEO-Fraud-Versuche, die man als Beispiel heranziehen könnte. Dass nicht nur Großkonzerne, sondern auch Mittelständler Ziel eines CEO Frauds werden können, verdeutlicht ein Bericht des Handelsblatt:

Es war der 21. Oktober 2016 als die Buchhalterin eines mittelständischen Unternehmens aus Baden-Württemberg eine E-Mail ihres vermeintlichen Chefs zugeschickt bekam. Seine Bitte: Die Buchhalterin solle bitte für eine Firmenübernahme unter Einhaltung vollster Diskretion 1,7 Millionen Euro an ein Konto in China überweisen – und so tat sie es auch. Trotz Warnzeichen, wie einer abweichenden E-Mail-Adresse, hatte die Buchhalterin den CEO Fraud nicht als solchen erkannt. Und auch die Bank winkte die Transaktion ohn Zögern durch. Da der baden-württembergische Mittelständler die ergaunerten 1,7 Millionen Euro – wenig verwundernswert – nie wieder sah, klagte er später erfolgreich gegen das ausführende Kreditinstitut.

Tipps zum Schutz vor CEO Fraud

Aber gibt es überhaupt Möglichkeiten, sich aktiv vor CEO Frauds zu schützen? Ja, gibt es – sogar von offizieller Stelle. Das deutsche Bundeskriminalamt (BKA) zählt in seiner Themenbroschüre hilfreiche Maßnahmen auf:

  • Unternehmen sollen zum Beispiel darauf achten, welche Informationen Sie über sich bzw. Ihre Mitarbeiter wo und an wen preisgeben.
  • Auch die Einführung von Abwesenheitsregelungen und internen Kontrollmechanismen wird empfohlen.
  • Außerdem sind Unternehmen gefragt, ihre Mitarbeiter weitreichend über die Gefahr von CEO Fraud zu informieren.
  • Im Falle ungewöhnlicher Zahlungsanweisungen schlägt das BKA vor, immer den Absender der E-Mail genau zu überprüfen, die erhaltene Zahlungsaufforderung verifizieren zu lassen und mit dem Vorgesetzten bzw. der Geschäftsleitung Kontakt aufzunehmen.
  • Des Weiteren wird dazu geraten, sich bei Fragen und/oder Auffälligkeiten an die Polizei oder das Landeskriminalamt zu wenden.

Also, bei der nächsten E-Mail vom Chef lieber zweimal hinschauen und im Zweifelsfall nachhaken. Als Unternehmen sollten Sie bekanntlich ja sowieso alles daran setzen, Cyber Security in Ihrer Unternehmenskultur und somit auch in den Köpfen Ihrer Mitarbeiter zu verankern.

Was den Schutz vor CEO Fraud betrifft, möchten wir an dieser Stelle aber noch auf eine spezielle Möglichkeit hinweisen, die bislang unerwähnt blieb: die digitale Signatur. Mit Hilfe eines S/MIME-Zertifikats kann der Absender E-Mails nämlich ohne großen Aufwand digital signieren und sich so beim Empfänger als “echter” Absender – in unserem Fall Chef – authentifizieren.

Mehr zu S/MIME 


InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Seit Einführung der ersten new gTLDs konnten schon sechs neue Domain-Endungen die Millionengrenze bei den Registrierungszahlen überschreiten....

Wenn von Digitalisierung die Rede ist, fällt auch häufig schnell der Begriff Cloud. Denn längst ist Cloud Computing keine Randerscheinung mehr,...

Der Faktor Mensch gilt als schwächstes Glied in der Sicherheitskette von Unternehmen. Diese Tatsache machen sich heute nicht wenige Cyber-Kriminelle...

Backlinks sind für die Qualität der eigenen Website und das Google-Ranking im Regelfall positiv. Handelt es sich jedoch um Spam-Backlinks, kann die...