CEO-Fraud: Die unterschätzte Gefahr – wie sich Unternehmen vor Betrügern schützen können

PrintMailRate-it

veröffentlicht am 22. Februar 2024 | Lesedauer ca. 4 Minuten

 

Betrüger in Hongkong haben mit dem sogenannten CEO-Fraud mehr als 23 Millionen Euro erbeutet. Bei dem CEO-Fraud geben sich Kriminelle als hochrangige Manager oder Geschäftspartner aus, um hohe Geldtransfers zu initiieren. Das Vorgehen mithilfe einer fingierten Video-Konferenz („Deepfake“) beweist einmal mehr, mit welcher Rafinesse die Täter vorgehen. Dennoch wiegen sich gerade Mittelständler in falscher Sicherheit, da sie das ausgeklügelte Vorgehen der Betrüger unterschätzen. 

 


 

CEO-Fraud, auch bekannt als „Business Email Compromise“ (BEC), ist eine Form des Social Engineering, bei der Kriminelle versuchen, durch die Imitation von CEOs oder anderen Führungskräften eines Unternehmens, finanzielle Transaktionen zu veranlassen. Die Kriminellen verwenden dabei oft gefälschte E-Mails oder andere elektronische Kommunikationsmittel, um Mitarbeiter dazu zu bringen, Geldüberweisungen oder sensible Informationen preiszugeben.

Die Auswirkungen von CEO-Frauds können verheerend sein. Finanzielle Verluste sind offensichtlich, wenn Unternehmen dazu verleitet werden, beträchtliche Geldsummen zu überweisen. Darüber hinaus kann der Verlust sensibler Unternehmensdaten zu langfristigen Schäden führen, darunter Reputationseinbußen und rechtliche Konsequenzen.

Der Fall aus Hongkong verdeutlicht den Aufwand, den Kriminelle betreiben, um den Betrug durchzuführen. So soll das Vorgehen akribisch geplant worden sein und die Zielperson des angegriffenen Unternehmens mit gefälschten E-Mail-Verläufen und einer fingierten Videokonferenz mit KI-generierten Stimmen dazu bewegt worden sein, mehrere Überweisungen an die Betrüger zu tätigen.

Ablauf eines CEO-Frauds

Der typische Ablauf eines CEO-Frauds lässt sich in vier Phasen unterteilen:

Informationsbeschaffung
Ziel der Informationsbeschaffung ist das Ermitteln von Informationen über das Unternehmen und Schlüssel­personen wie Führungskräfte und die Identifikation von Mitarbeitern in der Finanzabteilung, die autorisiert sind, Zahlungen durchzuführen. 

Im Zeitalter von Social Media fällt es den Betrügern leicht, Informationen über das Unternehmen, deren Geschäfts­partner, Mitarbeitende und aktuelle Geschäftsvorkommnisse zu recherchieren. Social Media Inhalte sind insbesondere deshalb interessant für Betrüger, weil sie einen tieferen Einblick in die Unternehmenskultur und Beziehungen zwischen verschiedenen Mitarbeitenden bieten als klassische Informationsquellen wie Firmenwebseiten und Handelsregistereinträge. Das ist wichtig, weil es den Betrügern hilft, Führungskräfte und Geschäftsvorfälle authentisch zu imitieren.

Die Vorbereitung des Betrugs umfasst auch, in Erfahrung zu bringen, wann notwendige Ansprechpartner für eine Rückversicherung innerhalb des Unternehmens nicht verfügbar sind.

Kontaktherstellung

Die gesammelten Informationen werden dazu genutzt, die Zielperson in der Finanzabteilung davon zu überzeugen, eine Überweisung an den Betrüger auszuführen.

Die häufigste Methode ist das Versenden gefälschter E-Mails, die vorgeben, von der Geschäftsführung zu stammen. Die Absendeadresse der E-Mail lässt sich häufig leicht manipulieren, indem bereits das Austauschen einzelner ähnlich aussehender Buchstabe wie „l“ (kleines „L“) und „I“ (großes „i“) ausreicht. In einigen Fällen wird aber auch das tatsächliche E-Mail-Konto eines Mitarbeitenden gehackt und für den Betrug genutzt. 

In anderen Fällen rufen Betrüger Mitarbeiter an und geben sich als Führungskräfte aus, um direkte Anweisungen zu geben. Diese Methode wird oft als „Vishing“ bezeichnet, eine Kombination aus „Voice“ und „Phishing“.

Die sich weiterentwickelnde Technik macht es immer herausfordernder, einen Betrug zu entdecken. So werden mit sogenannten Deepfakes auch Stimmen und Videokonferenzen imitierbar.

Ausübung von Druck

Um die Zielperson dazu zu bringen, schnell zu handeln, ohne gründlich nachzudenken, setzt der Betrüger eine Reihe von Taktiken ein, um die Zielperson unter Stress zu setzen. 

Dies geschieht, indem die Anfrage als äußerst dringend dargestellt wird und ein sofortiges Handeln erforderlich scheint, um zum Beispiel eine vermeintliche Krise oder einen drohenden finanziellen Verlust abzuwenden. Häufig wird dabei eine Situation orchestriert, in der der imitierte CEO oder leitende Angestellte nicht persönlich verfügbar ist.

Möglicherweise spielen die Betrüger auf das Mitgefühl oder den Wunsch nach Anerkennung ihrer Zielperson an. Sie könnten beispielsweise vorgeben, sich in einer persönlichen Notlage zu befinden und dringend finanzielle Hilfe zu benötigen, um Mitgefühl zu erwecken und die Zielperson dazu zu bringen, schnell zu handeln, um zu helfen.

Auch kann mit schwerwiegenden Folgen gedroht werden, wenn die Anfrage nicht umgehend erfüllt wird. Der Betrüger kann behaupten, dass die Nichtbefolgung seiner Anweisungen zu rechtlichen oder finanziellen Problemen für das Unternehmen führen könnte, oder könnte sogar mit persönlichen Konsequenzen für den Mitarbeiter drohen.

Zahlung

Sobald eine Zahlung durchgeführt wurde, ist es äußerst schwierig, das Geld wiederzuerlangen. CEO-Fraud-Angriffe werden oft von Tätern durchgeführt, die sich außerhalb der Gerichtsbarkeit des betroffenen Unternehmens befinden. Das Geld kann schnell über internationale Grenzen hinweg transferiert werden, was es äußerst kompliziert macht, die Täter zu identifizieren und rechtlich gegen sie vorzugehen.

Die Täter verwenden oft anonyme Online-Konten oder gefälschte Identitäten, um ihre Spuren zu verschleiern. Sie nutzen möglicherweise auch Kryptowährungen oder andere anonyme Zahlungsmethoden, um das Geld zu transferieren.

Obwohl einige Banken und Zahlungsdienstleister Maßnahmen ergreifen können, um betrügerische Trans­aktionen zu blockieren oder zurückzurufen, ist die Zusammenarbeit zwischen verschiedenen Banken und Ländern oft unzureichend. Selbst wenn das betroffene Unternehmen die Bank schnell über den Betrug informiert, ist es möglicherweise bereits zu spät, um die Transaktion zu stoppen oder das Geld zurück­zu­er­halten.

Insgesamt macht die Kombination aus internationaler Dimension, Anonymität der Täter, schneller Weiterleitung des gestohlenen Geldes und mangelnder Kooperation der Banken es äußerst schwierig, das Geld zurück­zu­erlangen, nachdem eine Zahlung im Rahmen von CEO-Fraud durchgeführt wurde.

Sofortmaßnahmen

Für Unternehmen, die Opfer eines CEO-Frauds geworden sind, ist es wichtig, schnell zu handeln, um die Chance auf eine Rückbuchung der Zahlung zu erhöhen und das Risiko weiterer Schäden zu minimieren.

Die Bank sollte unverzüglich über den Betrug informiert werden, insbesondere wenn die Zahlung noch nicht auf das Empfängerkonto gebucht wurde. Nur in diesem Fall besteht die Möglichkeit, dass die Zahlung zurück­ge­bucht wird. Unter Umständen kann die Bank auch bei bereits gebuchten Zahlungen versuchen, das Geld wiederzuerlangen, insbesondere wenn es noch nicht vom Empfänger abgehoben wurde.

Selbst wenn der Betrugsversuch abgewendet wurde, ist es wichtig, der Bank die Bankverbindung des Empfängers mitzuteilen. Dies kann bei weiteren Ermittlungen und Maßnahmen gegen den Betrüger hilfreich sein.

Präventive Maßnahmen

Um sich vor CEO-Fraud zu schützen, müssen Unternehmen proaktiv sein und robuste Sicherheitsmaßnahmen implementieren. Durch eine Kombination von Schulungen, Technologien und prozessualen Kontrollen können Unternehmen ihre Widerstandsfähigkeit gegen diese raffinierten Betrugsversuche stärken und ihre finanzielle Integrität schützen. 

Wichtige Maßnahmen sind:
  • Sicherheitsbewusstsein schaffen: Mitarbeitende müssen regelmäßig in Bezug auf die Risiken von CEO-Fraud geschult werden. Sie sollten lernen, verdächtige Anfragen zu erkennen und zu melden, insbesondere wenn es um finanzielle Transaktionen oder die Weitergabe vertraulicher Informationen geht. Zum Sicherheits­bewusst­sein gehört auch, sich darüber im Klaren zu sein, welche Informationen über das eigene Unternehmen und Schlüsselpersonen öffentlich verfügbar sind.
  • Mehrfache Überprüfung: Finanzielle Transaktionen oder sensible Informationen sollten stets einer mindestens zweifachen Überprüfung unterliegen, insbesondere wenn sie ungewöhnlich erscheinen oder von einer hochrangigen Führungskraft angefordert werden.
  • Authentifizierungsmethoden stärken: Unternehmen sollten strenge Authentifizierungsmethoden implementieren, um sicherzustellen, dass E-Mails und Anrufe von hochrangigen Führungskräften tatsächlich legitim sind. Dies kann die Verwendung von Passwortmanagern, Multi-Faktor-Authentifizierung und sicheren Kommunikationskanälen umfassen. Unternehmen sollten ihre IT-Sicherheitsinfrastruktur regelmäßig überprüfen und aktualisieren, um gegen neue Bedrohungen gewappnet zu sein.
  • Überwachung und Meldesysteme: Es ist wichtig, Überwachungssysteme einzurichten, die verdächtige Aktivitäten erkennen und Alarme auslösen können, wenn ungewöhnliche Transaktionen oder Anfragen auftreten.

CEO-Fraud bleibt eine ernsthafte Bedrohung für Unternehmen weltweit. Die raffinierten Taktiken und die fortschrittliche Technologie, die von den Betrügern eingesetzt werden, erfordern eine ständige Wachsamkeit und eine proaktive Herangehensweise an die Sicherheit. Durch Schulungen, Aufklärung und die Im­ple­men­tie­rung strenger interner Kontrollen können Unternehmen ihre Mitarbeiter besser auf potenzielle Betrugsversuche vorbereiten und die Risiken von CEO-Fraud minimieren. Es liegt an jedem Unternehmen, sich gegen diese Bedrohung zu schützen und sicherzustellen, dass das Vertrauen seiner Mitarbeiter und Kunden gewahrt bleibt.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu