-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

BSI warnt Unternehmen gezielt vor akutem Risiko durch “CEO Fraud”

-Produktempfehlung: Kaspersky lab-

Bei der Chef-Masche werden überweisungsberechtigte Mitarbeiter des Unternehmens in der Buchhaltung oder Finanzabteilung per E-Mail oder Telefon gebeten, eine größere fünf bis achtstellige Summe, typischerweise für eine Unternehmensübernahme oder eine Investition, ins Ausland zu überweisen. Die Täter gehen zur Betrugsvorbereitung akribisch vor. Informationen zu Firmen werden auf deren Homepage, in öffentlich zugänglichen Medien, in Wirtschaftsberichten, im Handelsregister oder in Werbebroschüren recherchiert. Soziale Netzwerke (Facebook, XING etc.) werden nach Informationen zu Firmen und Mitarbeitern durchforstet.

Mittels einer Betrugsmasche namens „CEO Fraud“ versuchen kriminelle Täter derzeit, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese, vermeintlich im Auftrag des Top-Managements, Überweisungen von hohen Geldbeträgen veranlassen. Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung und weist auf die Risiken des CEO Fraud hin.

CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten, erklärt BSI-Präsident Arne Schönbohm.

Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen.

Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.

Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in Sozialen Netzwerken, in Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu überweisen.

Handlungsempfehlungen des BSI:

  • Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken
  • Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
  • Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen
  • Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
  • Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber
  • Information der Geschäftsleitung oder des Vorgesetzten

Weitere Tipps des Landeskriminalamts Rheinland-Pfalz

  1. Überprüfen der E-Mails auf Absenderadresse und korrekte Schreibweise.
  2. Verifizieren Sie Zahlungsaufforderungen unbedingt über Rückruf oder schriftliche Rückfrage beim genannten Auftraggeber. Verwenden Sie bei der Beantwortung/Rückfrage und Überprüfung aber nicht die angegebene Telefonnummer oder E-Mail-Adresse des Absenders, sondern entnehmen Sie diese Ihrem internen Kommunikationsplan.
  3. Halten Sie Rücksprache mit der Geschäftsleitung oder dem Vorgesetzten.
  4. Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich sind, bzw. wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren.
  5. Legen Sie klare Verhaltensregeln und interne Kontrollmechanismen für Ihre Finanzabteilung und Buchhaltung fest.
  6. Sensibilisieren Sie Ihre Mitarbeiter hinsichtlich dieses Betrugsphänomens.
  7. Lassen Sie sich aufgrund der vorgegebenen Dringlichkeit nicht unter Druck setzen.
  8. Wenden Sie sich bei Auffälligkeiten an ihre örtliche Polizeidienststelle

Quellen: BSI, Landeskriminalamt Rheinland-Pfalz