IT-Sicherheitstrends 2017, Teil 2: CEO-Fraud

Chef-Trick, CEO-Fraud

Von neuen Betrugsmaschen und wirksamen Gegenmaßnahmen

Die Anwendung des Chef-Tricks hat sich 2016 für Wirtschaftskriminelle gelohnt. Es wurden Millionenbeträge ergaunert. Dementsprechend gehen die Angriffe dieses Jahr weiter – mit neuen Vorgehensweisen und Varianten. Was auf Unternehmen zukommt und wie sie sich dagegen schützen können.

Es beginnt in der Regel mit einem Anruf oder einer E-Mail vom Chef. Der Empfänger, meist aus der Buchhaltung oder dem Rechnungswesen, erhält den Auftrag zum Transfer eines größeren Geldbetrags ins Ausland. Dahinter steht laut Auftraggeber eine wichtige geschäftliche Transaktion, zum Beispiel der Kauf von Firmenanteilen oder Immobilien. Alles ist top secret und brandeilig.

Die Crux an der Sache: Der Chef ist nicht der Chef, sondern ein Betrüger. Der Anruf ist fingiert bzw. die E-Mail gefälscht. Es handelt sich um den sogenannten Geschäftsführer-Trick, auch als CEO-Fraud, Chef-Masche oder Fake President bezeichnet. Unternehmen werden damit um Millionenbeträge erleichtert. So verzeichnete das Bundeskriminalamt von 2013 bis Ende 2016 mehr als 250 dieser Fälle, der Gesamtschaden belief sich auf über 110 Millionen Euro. Dies sind jedoch lediglich die offiziellen Zahlen, die Dunkelziffer liegt wohl deutlich höher.

Die Angriffswelle rollt weiter

2016 waren die Betrüger besonders aktiv. Laut FBI hat sich allein in den ersten vier Monaten des Jahres die Zahl der CEO-Frauds nahezu verdreifacht. Prominente Fälle in Europa waren der Autozulieferer Leoni und der österreichische Luftfahrtzulieferer FACC, die auf diesem Weg 40 bzw. 50 Millionen Euro verloren. Das Thema „CEO-Fraud“ bleibt Unternehmen leider auch weiterhin erhalten. eco – Verband der Internetwirtschaft e. V. zählt diese Art der Wirtschaftskriminalität zu den IT-Security-Trends 2017.

Die Täter gehen dabei immer professioneller vor. IT-Sicherheitsexperten warnen vor neuen Maschen und Betrugsvarianten:

  • Neuerdings landen verstärkt Rechnungen vermeintlicher Geschäftspartner im E-Mail-Postfach von Mitarbeitern der Finanzabteilungen. Auch hier geben sich die Absender durch gefälschte E-Mail-Adressen als Chef aus und weisen die Zahlung der angeblich noch offenen Beträge an.
  • Um Vertrauen aufzubauen und glaubwürdig zu wirken, gehen Betrüger mehrstufig vor. Der Mitarbeiter erhält über einen längeren Zeitraum immer wieder Anrufe und auch E-Mails vom vermeintlichen Geschäftsführer, bis hin zur Nachricht mit der Zahlungsanweisung. Teilweise werden für die Chef-Anrufe sogar Stimmimitatoren eingesetzt.
  • Die Täter legen immer detailliertere Profile des Unternehmens, des Chefs und der Zielpersonen des Angriffs an. Als Informationsquellen dienen u. a. Social-Media-Seiten und -Profile, Wirtschafts- und Finanzberichte oder auch andere Mitarbeiter. Durch das detaillierte Wissen können die Betrüger authentisch und überzeugend auftreten.
  • In letzter Zeit stehen besonders neue Mitarbeiter eines Unternehmens im Fokus der Kriminellen. Man geht davon aus, dass diese Personen mit internen Abläufen und Zuständigkeiten noch nicht so gut vertraut sind und die Betrüger daher leichteres Spiel haben.

Wettlauf mit der Zeit

Wurde der Chef-Trick erfolgreich angewandt, ist Schnelligkeit oberstes Gebot. Das Unternehmen sollte umgehend die Bank informieren sowie Anwälte und die Polizei einschalten. Beim Geldtransfer auf ein Konto, kann dieses eventuell noch gesperrt und der Betrag zurückgeleitet werden.

Weitaus besser ist es natürlich, wenn der Ernstfall gar nicht erst eintritt. Hierbei steht vor allem der Mensch im Mittelpunkt. Informationen und Trainings versetzen Mitarbeiter in die Lage, betrügerische Nachrichten zu erkennen und richtig darauf zu reagieren. Der vertrauliche Umgang mit sensiblen Informationen ist ebenfalls ein wichtiges Thema. Auskünfte zu internen Zuständigkeiten, Kontaktdaten und Abwesenheitszeiten von Führungspersonen ebenso wie zu geplanten Transaktionen sollten grundsätzlich nicht nach Außen weitergegeben werden.

Betrüger mit ihrer Masche gar nicht erst durchkommen lassen. Die Checkliste stellt dar, wie das gelingen kann:

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Haben Sie Fragen oder Anregungen?

Schreiben Sie uns an
info@weknowsecurity.de

Ähnliche Artikel