Betrüger sind mit "CEO-Fraud" immer wieder erfolgreich

So schützen Sie sich gegen die "Chef-Masche"

Dr. Frank Hülsberg Dr. Frank Hülsberg

Aktuelle Fälle aus der Presse zeigen einmal mehr: Trotz zahlreicher Warnungen der Polizei, des Bundeskriminalamtes und der Branchenverbände ist die Anfälligkeit für die als CEO-Fraud bekannte Betrugsmasche durchaus als reales und bedeutsames Risiko einzustufen. Der finanzielle Schaden kann das betroffene Unternehmen unter Umständen in Liquiditätsprobleme bringen oder einen unerwünschten Kursverlust verursachen. Der mögliche damit einhergehende Reputationsverlust lässt sich wie so oft nicht in Geldbeträgen beziffern. Durch CEO-Fraud konnten Kriminelle bisher viele Millionen Euro erbeuten.

Hintergründe der Betrugsmasche

Unter "Fake President Fraud" bzw. "CEO-Fraud" ist eine Betrugsmasche zu verstehen, die unter Vortäuschung falscher Dokumente und Identitäten mittels Telefon/Fax oder E-Mail Kommunikation Mitarbeiter mit Handlungsberechtigungen im Unternehmen veranlasst, Firmengelder auf Konten im Ausland zu überweisen. In den meisten bekannten Fällen ist das Ziel der Cyberkriminellen/Betrüger das Finanzwesen und die in diesem Bereich handelnden Personen in leitender Funktion. Dem eigentlichen Angriff gehen Spähaktivitäten voraus, die das Ziel haben, möglichst viele Informationen über die Organisation, Firmenstruktur und die handelnden Personen zu erlangen. Hier werden sowohl Methoden und Werkzeuge von Cyberkriminellen genutzt wie auch die klassische Informationsbeschaffung durch Ausspähung von Mitarbeitern mit dem „Social Engineering“, also die Informationsgewinnung über Hintergrundrecherche, Telefonanrufe, Kontaktversuche in sozialen Medien wie Xing, LinkedIn oder Facebook. Die Ermittlung der Urheber sowie die Rückabwicklung von Geldtransfers erweisen sich in der Praxis als äußerst schwierig. Ein solcher Betrug ist schwer zu erkennen aber mit dem richtigen Training dennoch vermeidbar.

Was sind typische Charakteristika bzw. Warnhinweise für CEO-Fraud?

  • Der Kontakt erfolgt meist über verschleierte Telefonnummern oder verfälschte E-Mails
  • Die manipulierten Absenderadressen suggerieren dem kontaktieren Mitarbeiter dass es sich um Organe (Vorstand, Geschäftsführer, Inhaber) des Unternehmens mit besonderen Befugnissen handelt
  • Die gefälschten eMails entsprechen perfekt dem Look & Feel im Unternehmen (Signatur, Logo etc.) und Sprache und Schreibstil passen zum vermeintlichen Absender
  • Cyberkriminelle/Betrüger kennen die Organisation und die Firmenstruktur sowie die handelnden Personen im Finanzbereich gut daher werden vor allem Mitarbeiter mit Handlungsberechtigung angesprochen
  • Von dem kontaktierten Mitarbeiter wird absolute Verschwiegenheit gefordert, unter anderem auch die Verlagerung der weiteren Kommunikation über andere Kommunikationskanäle wie private E-Mail Adressen oder Chats
  • Es wird erheblicher Druck auf die Mitarbeiter aufgebaut die geforderten Geldtransfers schnell abzuwickeln („Übernahme“ oder „Deal“ droht sonst zu platzen etc.). Der Geldtransfer soll auf ein bis dato unbekanntes Auslandskonto erfolgen
  • Rückfragen werden generell nicht gewünscht. Werden dennoch Rückfragen der Mitarbeiter erlaubt teilen die Betrüger hierfür nicht bekannte Telefonnummern mit unter dem Hinweis „nur“ diese Rufnummer für Rückfragen zu nutzen

So wappnen Sie sich gegen CEO-Fraud

-Sensibilisierung/Awareness: Erhöhen sie durch besondere Schulungsmaßnahmen die Sensibilisierung und Wachsamkeit Ihrer Mitarbeiter in den Bereichen (Finanzen, CEO Office) die Ziel solcher Betrugsfälle sind. Simulieren Sie mit Ihren Mitarbeitern vergleichbare Situationen um deren Resilienz gegenüber solchen Stresssituationen zu erhöhen und alternative Handlungsoptionen aufzuzeigen.

-Vorsehen interner Warnsysteme: Installieren Sie „neue“ Warnsysteme für auffällige Vorgänge und bekannt gewordene Betrugsfälle, die auch Ihr Unternehmen treffen können. Zahlungssysteme sollten Warnhinweise erzeugen bevor es zum eigentlichen Geldtransfer kommt. Nehmen Sie hierzu auch Kontakt mit Ihren Banken auf und erörtern Sie der Bank interne Schutzmechanismen zur Erkennung bzw. Abwehr derartiger Betrugsversuchen (beispielsweise fordert Ihre Bank eine zweite Authentifizierung oder eine verbale Autorisierung vor dem auslösen des Geldtransfers).

-Identitätscheck: Lassen Sie sich nicht unter Druck setzen, sondern prüfen Sie zuerst die Identität des Absenders. Als Quelle bietet sich das Intranet sowie das interne Telefonverzeichnis oder die Kontaktdatenbank an. Kontaktieren Sie den Absender nur über diese bekannten Kontaktdaten. E-Mail Adressen sollten auf Ihre Schreibweise genau angeschaut werden. Sehr oft handelt es sich um „Fake-Adressen“ deren Erkennung nur durch eine genaue Betrachtung der Syntax möglich ist.

-Transparente und klare Regelwerke: Es sollten Höchstgrenzen für Überweisungen und Geldtransfers festgelegt werden. Die Umsetzung klarer interner Kontrollmechanismen (wie die Einhaltung des Vier-Augen-Prinzip) sollte gewährleistet sein. Weiterhin wird empfohlen, feste interne Vorgehensweisen für derartige Entscheidungen (etwa hohe Geldtransfers auf Auslandskonten; Nutzung von unbekannten Konten für Geldtransfers) zu treffen.

-Datensicherheit: Besonders wichtig ist es die Kommunikation vertraulicher Unterlagen und Vorgänge verschlüsselt abzuwickeln (Stichwort E-Mail Verschlüsselung). Die Preisgabe zu vieler Interna (persönliche Details, detaillierte Beschreibungen zum Aufgabenfeld) in Sozialen Medien sollte vermieden werden. Bestätigen Sie keine Kontaktanfrage von Personen die Sie nicht kennen!

 

Unsere Lösungen

  • Sie wollen mehr Wissen wie Sie sich gegenüber diesen und vergleichbaren Betrugsfällen wappnen können?
  • Sie benötigen Unterstützung zur Sensibilisierung Ihrer Mitarbeiter?
  • Sie wollen Ihre internes Risikomanagement und Kontrollsystem hinsichtlich der Gefahren zur Cyberkriminalität erweitern?

 

Wir beantworten Ihren Fragen rund um das Thema „President Fraud“/“CEO-Fraud“ und Cyberkriminalität