CEO Fraud
11.04.2017

CEO-Fraud

Miese Masche mit Millionenschaden

Seit einiger Zeit gehen deutsche Unternehmen immer wieder Trickbetrügern auf den Leim. In gefälschten E-Mails geben sich Cyber-Kriminelle als Chef aus und bewegen Finanzverantwortliche dazu, millionenschwere Überweisungen auszuführen. Ein unbedachter Datenumgang im Netz eröffnet Betrügern Tür und Tor. Wie sich Unternehmen vor einem CEO-Fraud schützen können und welche Maßnahmen die HVB ergreift, um einer Schädigung ihrer Kunden vorzubeugen.

Ein hinterlegter Jobtitel bei Xing, Organigramm oder Kontakte auf der Firmen-Homepage und die Darstellung der Konzernstrategie im aktuellen Pressebericht: Mit etwas Muße und Kombinationsgeschick kann man im Netz jede Menge über Unternehmen und ihre Strukturen erfahren. Zum Beispiel, ob die Firma in jüngster Zeit eine Übernahme plant oder wer im Konzern eigentlich das Sagen hat. Welche Mitarbeiter Führungspositionen bekleiden oder welche Person finanzielle Transaktionen ausführen kann. Frei zugängliche Interna – für Cyber-Kriminelle ein Geschenk! Für ihre Attacken müssen sie sich nicht einmal aufwändig in IT-Systeme hacken – die Informationen gibt’s frei Haus und völlig legal. „Soziale Netzwerke zum Beispiel sind für Betrüger wahre Daten-Goldgruben, denn immer wieder geben Mitarbeiter dort unbedacht Informationen über sich selbst, ihren Arbeitgeber und sogar über etablierte Unternehmensprozesse preis“, sagt Thomas Tögel, Leiter der Abteilung Grundsatzfragen Betrugsprävention bei der HypoVereinsbank in München. „Unternehmen stehen dieser Problematik im Prinzip machtlos gegenüber. Kein Sicherheitssystem der Welt kann Daten schützen, die freiwillig herausgegeben werden.“

Falscher Chef mit geheimem Coup

Genau an dieser ‘menschlichen Sicherheitslücke‘ setzt auch eine aktuelle Betrugsmasche an, die in letzter Zeit immer wieder für Schlagzeilen sorgt. Bei einem „CEO-Fraud“ machen sich Betrüger nämlich solche Informationen zunutze, um an die Gelder von Firmen zu gelangen. Ihre Vorgehensweise ist dabei ebenso perfide wie effektiv: Als „falscher Chef“ („Fake-President“)  bewegen sie ein ausspioniertes Opfer – meist einen Finanzverantwortlichen – dazu, stattliche Überweisungen auszuführen.

„Die Täter nutzen gezielt die Abwesenheit der Geschäftsführung aus, um ihr Opfer mit gefälschten E-Mail-Absenderangaben in die Irre zu führen.“
Marcus Reffgen, verantwortlich für operationelle Risiken im Bereich Unternehmer Bank bei der HVB

Die Masche ist immer die gleiche: „In einer Fake-E-Mail berichtet der vermeintliche Chef von einem höchst vertraulichen, aber weichenstellenden Projekt, mit der Bitte, möglichst schnell und ‘geräuschlos‘ einen hohen Betrag ins Ausland zu transferieren“, so Reffgen. Der Mitarbeiter fühlt sich ob des Vertrauens geschmeichelt, gleichzeitig steht er gewaltig unter Druck. Ohne weitere Prüfung führt er die Überweisung zügig aus und Millionenbeträge verschwinden auf Nimmerwiedersehen auf einem dubiosen Bankkonto.

Social Engineering: Die Psychotricks der Betrüger

Die Gefügigkeit ihrer Opfer ergaunern sich die Täter mittels Manipulation: „Menschliche Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit, Angst oder Respekt vor Autoritäten werden gezielt ausgenutzt“, mahnt Fraud-Experte Tögel. „Durch das Vorgaukeln stimmiger Insiderinformationen, etwa im Zusammenhang mit einem Firmenkauf, gelingt es ihnen relativ leicht, das Vertrauen des Mitarbeiters zu erlangen.“ Bis der Betrugsfall erkannt wird, ist es dann oftmals schon zu spät, um den Schaden noch abzuwenden. Dennoch sollte sich das betroffene Unternehmen umgehend an Polizei und Bankberater wenden. „Die Bank wird versuchen, die Zahlungen zu stoppen oder ihren Rückruf zu initiieren. Ob unsere Initiative erfolgreich ist, hängt allerdings sehr stark von der Kooperationsbereitschaft der Empfängerbank ab“, so Tögel. Deshalb sei es umso wichtiger, Unternehmensstandards zu entwickeln, damit es gar nicht erst soweit komme. „Zum Beispiel sollten klare Abwesenheitsregelungen und interne Kontrollmechanismen eingeführt werden. Auch das Vier-Augen-Prinzip (gegebenenfalls abhängig von der Höhe der Transaktion) ist eine wirksame Methode.“ „Auch eine gesunde Portion Skepsis ist durchaus angebracht“, ergänzt Reffgen. „Mitarbeiter sollten Ungewöhnliches hinterfragen und Bedenken offen ansprechen.“

„Sensibilisieren, aufklären und schulen!“

Neben der Einführung von Kontrollmechanismen empfiehlt der Fraud-Experte: „Sensibilisieren, aufklären und schulen!“ Aus diesem Grund hat die HVB eine aktuelle Kampagne an den Start gebracht, in der sie ihre Kunden und Mitarbeiter rund um das Thema CEO-Fraud informiert. „Für die Prävention ist es entscheidend, das Bewusstsein aller Beteiligten zu schärfen, dass jedes Unternehmen Ziel eines solchen Angriffes sein kann. Das gilt übrigens für Mitarbeiter und Management in gleicher Weise“, so Tögel.

Nur in der Auseinandersetzung mit dem Betrugsmuster lassen sich wirksame Präventionsmaßnahmen definieren.“
Thomas Tögel, Leiter der Abteilung Grundsatzfragen Betrugsprävention bei der HVB

Für die Praxis bedeutet das etwa, Mitarbeiter zu einem bedachten Umgang mit Daten zu animieren. „Leitende Angestellte sollten beispielsweise in sozialen Netzwerken sehr restriktiv mit Informationen umgehen“, betont Reffgen. „Zusätzlich sollten Mitarbeiter des Unternehmens sensibilisiert werden, keine  Durchwahl-Nummern oder E-Mail Adressen der Geschäftsführung, leitender Angestellter oder Zahlungsberechtigter leichtfertig preis zu geben.

Flexible Banking-Lösung als Präventionsbaustein

Das Problem für die Bank sei leider, das sie den Betrug nicht erkennen könne, da dieser im Unternehmen der Kunden stattfinde, erklärt Reffgen. „Was wir aber tun können: Firmenkunden solche Banking-Lösungen bereitstellen, die höchstmögliche Sicherheitsstandards erfüllen“, so Reffgen. „Die browserbasierte Lösung UC eBanking global zum Beispiel kann beim Thema CEO-Fraud einen wertvollen Baustein für die Prävention liefern“, erklärt auch Sandro Süchting, fachlicher Koordinator von UC eBanking global. „Als Ergänzung zum bestehenden Electronic-Banking-Zugang haben wir eine mobile App für iPhone und iPad entwickelt. Damit ist es möglich, den Stand von Zahlungen jederzeit zu verfolgen, sich von unterwegs einen Überblick über die Liquidität zu verschaffen und wichtige Transaktionen mit einer verteilten elektronischen Unterschrift von mehreren Parteien zu legitimieren.“

Weitere Informationen zu dem Thema finden Sie auf unserer Website sowie in unserem Handout, das Sie hier herunterladen können:

Fraud & Security Handout für Unternehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

back to top