CEO-Betrug
Author
Maren Keller, Mi, 16. Dez. 2020
in IT-Sicherheit

CEO-Betrug

Welche Gefahren drohen und wie schützen sich Betriebe?

Wissen Sie, was ein CEO-Betrug ist? Ein alternativer Begriff lautet CEO-Fraud. Worum geht es dabei? was macht die Angriffe so gefährlich? Und wie können Sie sich, Ihre Mitarbeiter und Ihre Firma schützen?

Auf all diese Fragen haben wir die Antworten für Sie.

Was ist ein CEO-Betrug?

Ein CEO-Betrug richtet sich immer gegen die Mitarbeiter der Finanz- oder Buchhaltungsabteilung eines Unternehmens. Die Angreifer geben sich als Firmenchef aus und versuchen so, an Geld zu gelangen. Wie? Meistens per E-Mail.

In einer Spear-Phishing-E-Mail (also einer individuell gestalteten Phishing-E-Mail) geben sich die Kriminellen als Chef aus. Der fingierte Chef versucht per E-Mail den Empfänger davon zu überzeugen, dass eine dringende Überweisung für eine wichtige geschäftliche Vereinbarung getätigt werden muss. Nach Möglichkeit sofort.

Stellen Sie sich vor, Sie bekommen als Mitarbeiter der Buchhaltung eine augenscheinliche E-Mail vom Chef, der um eine spezielle und vor allem schnelle Überweisung bittet. Sagen Sie da „Nein“ oder führen Sie den Auftrag aus? Genau da liegt das Problem. Sie müssen erkennen, ob die E-Mail wirklich von Ihrem Chef kommt oder ob es sich um den sogenannten CEO-Betrug handelt.

Übrigens: Wie Phishing genau funktioniert, erklärt Ihnen unser Ratgeber Was ist Phishing?. Gerade in Zeiten, in denen viel im Home Office gearbeitet wird und oftmals der persönliche Kontakt zu Kollegen und Vorgesetzten fehlt, haben Angreifer ein relativ leichtes Spiel.

Darstellung eines Kriminellen vor einem Laptop, im Hintergrund ein Computer-Tower mit fliegenden Geldscheinen. Bild: Pixabay

Beim CEO-Betrug versuchen Kriminelle, per Phishing Geld aus Unternehmen zu ziehen. Bild: Pixabay

CEO-Fraud – wie können Sie sich schützen?

Auch wenn es schwer vorstellbar ist, dass irgendwer auf diese Masche hereinfällt – tatsächlich wird der CEO-Betrug, oder auch CEO-Fraud genannt, immer beliebter und gleichzeitig erfolgreicher angewendet. Ziel sind in erster Linie Unternehmen, in denen eine autoritär Führungsstruktur vorhanden ist, wo Mitarbeiter keinerlei Mitsprache haben und Widerspruch nicht erwünscht ist.

Wenn der Chef augenscheinlich ein Geldsumme auf Konto XY überwiesen haben möchte, zweifelt der Angestellte in autoritär geführten Firmen den Wunsch nicht oder nur in Ausnahmefällen an. Dass die Konten, auf die das Geld überwiesen werden soll, häufig im Ausland sitzen, verwundert die Mitarbeiter vielleicht, aber aufgrund der Firmenstruktur findet keine kritische Nachfrage statt.

Zudem setzen die kriminellen Absender die E-Mailempfänger unter Druck, beschwören die Geheimhaltung und die zügige Bearbeitung. Das Geld, das der Angestellte gutgläubig überweist, landet auf dem Konto der Kriminellen und ist für die Firma verloren.

CEO-Betrug: die Folgen

Die Folgen vom CEO-Betrug sind fatal. In der kanadischen Stadt Ottawa erhielt die Stadtkämmerin eine E-Mail mit der Aufforderung, 100.000 kanadische Dollar zu überweisen, was sie tat. Als eine weitere E-Mail mit der Aufforderung, 150.000 Dollar zu überweisen, einging, stand glücklicherweise der augenscheinliche Absender neben ihr. Nur so konnte sie den Betrug erkennen.

Nach Schätzungen des FBI entstand US-Unternehmen allein in den Jahren 2016 bis 2019 ein finanzieller Schaden in Höhe von rund 26 Milliarden US-Dollar. Und die Dunkelziffer dürfte deutlich höher liegen, da viele Unternehmen aus Imagegründen nicht darüber berichten.

Doch woher haben die kriminellen Geldeintreiber soviel Wissen über die Firmen, dass gefälschte E-Mails den Mitarbeitern nicht auffallen? Die Kriminellen recherchieren im Vorfeld und nutzen dazu sämtliche Informationen, die sie im World Wide Web über die anvisierte Firma finden können.

CEO-Betrug - Darstellung: Mann mit Angel fischt im Laptop, vor dem jemand sitzt. Bild: Pixabay

Per Phishing versuchen Cyberkriminelle, an Geld aus Unternehmen zu kommen. Bild: Pixabay

Die Tricks der Cyberkriminellen

Bevor die CEO-Betrüger einen Angriff starten, informieren sie sich gründlich über das Unternehmen. Die Namen der entsprechenden Personen sind im Internet schnell gefunden und die E-Mail-Adressen durch das Weglassen eines Buchstabens schnell gefälscht.

Alternativ setzen die Kriminellen auf E-Mail-Spoofing. Dabei wird die korrekte E-Mail-Adresse des Absenders angezeigt, eine andere verbirgt sich aber dahinter. Die Beantwortung der E-Mail per Antworten-Button landet in jedem Fall beim Betrüger.

Zudem bauen die Kriminellen Druck auf und bewegen die Opfer zu schnellem Handeln. Und wer möchte schon gern seinen Chef enttäuschen, wenn er um einen so wichtigen und dringenden Auftrag bittet? Hier nutzen die Kriminellen das sogenannte Social Engineering. Das bedeutet, die Betrüger manipulieren ihre Opfer gezielt, um ein gewünschtes Verhalten zu erreichen – beim CEO-Fraud die Überweisung einer hohen Geldsumme.

Wie können Sie Ihre Firma vor CEO-Fraud schützen?

Wie sieht der wirksamste Schutz vor dem so genannten CEO-Fraud aus? Leider wirkt ein klassischer Virenschutz bei dieser Art des Betruges nicht. Deshalb ist der allerwichtigste Schutz das Aufstellen klarer Regeln für finanzielle Transaktionen, die manipulationssicher sind. Eine Möglichkeit ist beispielsweise, dass Überweisungen ab einer Summe X immer von zwei autorisierten Personen freigegeben werden müssen.

Und natürlich ist auch wichtig, dass Mitarbeiter regelmäßig auf mögliche Gefahren hingewiesen und besonders für das Thema Phishing sensibilisiert werden. Schulungen sind das A und O. Wenn Sie hierbei Hilfe benötigen, wenden Sie sich gern an Ihren PC-SPEZIALIST vor Ort. Mit unseren Services für Firmen bieten wir Ihnen den besten Schutz vor sämtlichen Gefahren, die beim Arbeiten mit PC und Co. lauern.

Und mit unserem IT-Basisschutz sorgen wir für Rechtskonformität nach DSGVO und für den reibungslosen Betrieb Ihrer IT. Nehmen Sie Kontakt zu uns auf und informieren Sie sich über unsere breites Portfolio an IT-Services für Firmen.

_______________________________________________

Weiterführende Links: FBI, WeliveSecurity/ESET, Wikipedia

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.