Mittels einer Betrugsmasche namens bekannt als „CEO-Bertrug“ versuchen kriminelle Täter zur Zeit mal wieder verstärkt, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen. Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung und weist auf die Risiken des CEO Fraud hin.

EINTRÄGLICHES GESCHÄFT

BSI-Präsident Arne Schönbohm erklärt: „CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten.“

SCHÄDEN IN MILLIONENHÖHE

Beim CEO-Betrug werden insbesondere Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen kontaktiert, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter werden vermeintlich vom Vorstand, dem Geschäftsführer oder einer sonstigen Führungspersönlichkeit des eigenen Unternehmens entweder telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oftmals unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich angeblich um ein geheimes oder vertrauliches Projekt handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.

HANDLUNGSEMPFEHLUNGEN DES BSI

• Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken
• Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
• Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen
• Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
• Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber
• Information der Geschäftsleitung oder des Vorgesetzten

Mehr Informationen zum Thema CEO Fraud hat das BSI in seinen Lageberichten sowie das Bundeskriminalamt in einer Themenbroschüre zusammengefasst.