BSI warnt vor CEO Fraud
Einträgliche Betrugsmasche spielt den Chef
Die Betrugsmasche »CEO Fraud« ist brandgefährlich, obwohl es sie bereits seit längerem gibt. Aktuell warnt das BSI vor einer neuen Welle. Auch hier versuchen Onlinekriminelle Mitarbeiter in der Buchhaltung von Unternehmen zur Überweisung hoher Geldbeträge zu bewegen, indem sie als Bevollmächtigte des Chefs ausgeben.
Die Betrugsmasche »CEO Fraud« nimmt Entscheider ins Visier: Kriminelle geben sich hierbei als Bevollmächtigte des Top-Managements aus und versuchen Entscheider in Unternehmen dazu zu bewegen, hohe Geldbeträge zu überweisen. Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität waren die Behörden in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen für diese Masche gelangt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung und betont ausdrücklich die Gefahr, die von CEO Fraud ausgeht.
»CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten«, sagt BSI-Präsident Arne Schönbohm. Er rät dringend dazu, alle Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hinzuweisen und zu sensibilisieren, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten.
Beim CEO Fraud adressieren die Kriminellen vor allem Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. In diesem Zusammenhang wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.
Opfer-Unternehmen zu auskunftsfreudig
Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender erhalten die Kriminellen häufig über öffentlich verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in sozialen Netzwerken oder in Handelsregistereinträgen. Alternativ werden die Informationen durch direkte Anrufe im Unternehmen beschafft.
Das BSI empfiehlt Unternehmen daher dringend, die öffentliche Angabe von Kontaktdaten des Unternehmens auf allgemeine Kontaktadressen zu beschränken. Zudem sollten Unternehmen ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen. Darüber hinaus ist es sinnvoll, Kontrollmechanismen einzuführen, die bei ungewöhnlichen Zahlungsanweisungen vor Veranlassung der Zahlung greifen. Dazu zählen beispielsweise die Verifizierung der Absenderadresse, die Überprüfung der Plausibilität des Inhalts der E-Mail und die Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber. Beim Vermeiden von Betrugsschäden kann es außerdem helfen, wenn die Geschäftsleitung oder der Vorgesetzte in einem solchen Fall informiert werden muss.
Lesen Sie mehr zum Thema
