CEO Fraud – Angriffswelle nimmt nicht ab!

CEO Fraud – Angriffswelle nimmt nicht ab!

Erst kürzlich meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Tendenz hin zu gezielten CEO Frauds auf Unternehmen. Während die Schäden in Deutschland im Millionenbereich liegen und regelmäßig vom BKA neu beziffert werden, liegt das Ausmaß der internationalen Schäden deutlich höher.

 

Die Sicherheitsbehörden der USA gehen hier sogar von Schadenssummen im Milliardenbereich aus – und das allein durch CEO Fraud als verursachende Angriffsform. Bei dieser Methode geben sich die Cyber-Ganoven als leitende Angestellte oder Vorgesetzte aus und bringen Mitarbeiter dazu, hohe Summen ins Ausland zu transferieren.

 

Bei einem CEO Fraud handelt es sich um eine Masche im Bereich der Cyberkriminalität, die mittlerweile immer häufiger zum Einsatz kommt. So tauchte unlängst eine Liste auf, die aktuell knapp 5.000 Betroffene umfasst, die ins Visier von Cyberkriminellen geraten sind. Aus diesem Grund erfolgt derzeit eine allgemeine Benachrichtigung etwaiger Betroffener, in denen das BSI auf die Gefährdungslage sowie auf die von CEO Fraud ausgehenden Risiken aufmerksam macht.

 

CEO Fraud ist eine Form des Social Engineerings und ist derzeit bei Cyber-Kriminellen en vogue. Zu den besonders gefährdeten Personengruppen in einem Unternehmen zählen Mitarbeiter aus der Buchhaltung sowie jene, die im Auftrag der Geschäftsführung handeln dürfen. Gemeint sind Personengruppen, die z.B. durch eine Prokura dazu berechtigt sind, entsprechende Geldanweisungen vorzunehmen.

 

Diesen Umstand nutzen Angreifer häufig für sich aus. Dabei erfolgt die Kontaktaufnahme gezielt per E-Mail oder direkt über ein Telefonat. Die Angreifer haben diese Sonderrechte sowie die damit zusammenhängenden Hierarchien der Mitarbeiter vorab genau recherchiert.

 

Das Vorgehen der Täter bei einem CEO Fraud

In der Regel wählen die Angreifer über allgemein zugängliche Daten die Zielperson in einem Unternehmen aus. Dabei werden die Informationen über Unternehmensnetzwerke, Personensuchmaschinen, Karrierenetzwerke oder über die unternehmenseigene Homepage in Erfahrung gebracht.

 

Aber auch die persönliche oder telefonische Kontaktaufnahme gehört im Vorfeld zu den gängigen Vorgehensweisen von Cyberkriminellen. Diese personenbezogenen Daten dienen den Tätern als Ausgangsbasis für die weiteren Handlungsschritte. Somit sind die Angreifer in der Lage, E-Mails individuell auf die Zielperson abzustimmen und einen bestimmten Sprachstil zu wählen, der das Opfer letztlich überzeugen soll. Das Ziel ist die Anweisung einer bestimmten Geldsumme durch den Betroffenen.

 

Dabei wird das Zeitfenster bei einem CEO Fraud möglichst klein gehalten, sodass das Opfer in einem Unternehmen innerhalb weniger Sekunden oder Minuten zu einer Handlung genötigt wird. Der Täter baut auf geschickte Art und Weise Druck bei seinem Gegenüber auf. Beliebte Überweisungsziele sind dabei chinesische sowie osteuropäische Auslandskonten.

 

Als Grund für die Überweisung wird gerne einmal ein vermeintlicher Zukauf von einem neuen Unternehmen angeführt. Die Ausführungen des Täters wirken gegenüber dem betroffenen Mitarbeiter zumeist äußerst plausibel, sodass dieser ohne nachzudenken eine vom Täter geforderte Überweisung vornimmt.

 

Häufig merken die Betroffenen erst kurz danach, welch unbedachte Handlung sie vorgenommen haben. In einem solchen Fall wird angeraten, schnellstmöglich die Bank zu kontaktieren, um die Überweisung rückgängig zu machen. In einzelnen Fällen ist dies durchaus noch möglich. Daneben sollte der CEO Fraud umgehend zur Anzeige gebracht werden. Die weiteren Empfehlungen des BSI gehen dahingehend, dass Sie vorbeugende Schutzmaßnahmen empfehlen.

 

Präventivmaßnahmen bei CEO Fraud

 

Entsprechende Schutzmechanismen, die sich gegenüber CEO Fraud als sinnvoll herausgestellt haben, sind die nachfolgenden vier Handlungsempfehlungen:

 

1. Veröffentlichung von Mitarbeiterinformationen beschränken

Mittlerweile ist häufig zu beobachten, dass Mitarbeiter ihre Durchwahlnummern auf XING, LinkedIn oder anderen Karriere-Portalen publizieren. Gleiches gilt für personalisierte E-Mail-Adressen.

 

Unachtsamkeit herrscht häufig auch in Bezug auf die Veröffentlichung von Beiträgen auf dem Unternehmens-Blog oder in den sozialen Medien. Diese Informationen geben häufig Aufschluss darüber, an welchen Veranstaltungen Führungskräfte zu einem bestimmten Zeitpunkt teilnehmen. Hierbei handelt es sich um einen wertvollen Hinweis für Cyberkriminelle, die einen CEO Fraud planen.

 

2. Mechanismen zur Kontrolle unternehmensinterner Vorgänge

 

Hier wird Unternehmen empfohlen, auf entsprechende Schutzmaßnahmen zurückzugreifen. Das Vier-Augen-Prinzip ist dabei eine mögliche Kontrollinstanz. Gemeint ist die Gegenprüfung einer Zahlungsaufforderung durch eine zweite Person in Form eines weiteren Mitarbeiters im Unternehmen. Auch wenn bereits gesetzliche Vorgaben eine beleglose Überweisung in einem Unternehmen unmöglich erscheinen lassen, so muss immer wieder auf diesen Umstand hingewiesen werden. Eine einfache Regelung lautet hier: „Keine Überweisung ohne vorherigen Beleg“.

 

Was bedeutet das konkret? In der Praxis gilt, dass eine Zahlungsaufforderung ohne die Erfüllung kaufmännischer Voraussetzungen von der Buchhaltung nicht beglichen werden darf. Dies erfordert grundsätzlich eine konsequente Handlungsweise aller beteiligten Mitarbeiter. Diese Maßstäbe müssen auch gegenüber Vorgesetzten gelten. Eine E-Mail des Geschäftsführers mit der Bitte, eine Zahlung vorzunehmen, ist ohne Beleg nicht ausreichend. Generell müssen diese Regelungen auch gelten, wenn einzelne Mitarbeiter urlaubsbedingt abwesend sind.

 

3. Sensibilisierung der Mitarbeiter zur Vorbeugung eines CEO Frauds

Mitarbeiter müssen bereits im Vorfeld über die Gefahren von einem CEO Fraud aufgeklärt werden. Nur so haben Unternehmenszugehörige die Möglichkeit, gegenüber einem Angreifer selbstbewusst aufzutreten. Das Ziel einer jeden Geschäftsführung sollte es sein, bei Mitarbeitern in Zahlungsangelegenheiten eine kritische Grundhaltung zu etablieren, die das Unternehmen davor schützt, zum Ziel von einem CEO Fraud zu werden. Mitarbeiter dürfen Fragen stellen und diese sollten ebenfalls durch ein gesundes Maß an Skepsis gekennzeichnet sein.

 

4. Wachsamkeit in Bezug auf etwaige Abweichungen bei Transaktionsvorgängen

Wie sollen Mitarbeiter eines Unternehmens mit Abweichungen im Zahlungsverkehr umgehen? Prinzipiell steht zunächst einmal die Kontrolle der E-Mail-Adresse des Absenders im Vordergrund. Danach sollte neben der Orthographie des Inhalts auch immer die Echtheit der Zahlungsaufforderung geprüft werden.

 

Die Verifizierung kann durch eine schriftliche Nachfrage oder besser durch einen persönlichen Rückruf erfolgen. Im Zweifelsfall ist eine Rückfrage bei der Geschäftsführung die beste Lösung. Bestehen letztlich immer noch Zweifel an der Glaubhaftigkeit der Geldforderung, gibt es die Möglichkeit, sich an die zuständigen Polizeidienststellen zu wenden. Nur so können negative Konsequenzen abgewendet werden.

 

Welche Folgen entstehen bei einem erfolgreichen CEO Fraud?

Die ökonomischen Folgen, die durch einen CEO Fraud verursacht werden, sind je nach Höhe der überwiesenen Geldsumme und Größe des Unternehmens schwerwiegend und können in ganz drastischen Fällen ein Unternehmen sogar in die Insolvenz befördern.

 

Die Beteiligten – häufig Mitarbeiter – müssen ernsthafte rechtliche Folgen befürchten. Das kann harmlos mit einer Abmahnung beginnen und bis hin zu einer Entlassung gehen. Hierbei kann sich der Arbeitgeber auf einen außerordentlichen Kündigungsgrund berufen. Diesen Konsequenzen kann sich ein Mitarbeiter häufig nicht entziehen.

 

Sofern ein CEO Fraud erfolgreich durchgeführt wurde, sehen sich Unternehmen und Mitarbeiter den Folgen eines solchen Angriffs oft hilflos ausgesetzt, wobei die Auswirkungen zumeist nicht absehbar sind. Aus diesem Grund sollten Unternehmen – unabhängig von ihrer Größe – besonderen Wert auf präventive Schutzmaßnahmen legen, um dieser Angriffsform effektiv entgegentreten zu können

 

Weiterführende Informationen