CEO Fraud – Informationssicherheitsexperten geben 3 Tipps zur Abwehr
Volljurist und Compliance-Experte
August 30, 2024
8 min
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
CEO Fraud ist eine Betrugsmethode, bei dem Täter sich als Führungskräfte ausgeben, um Mitarbeiter zu Finanztransaktionen zu verleiten.
Cyberkriminelle nutzen oft öffentlich zugängliche Informationen für ihre Täuschungsversuche.
Mitarbeitersensibilisierung und Schulungen können helfen, CEO Fraud zu erkennen und zu verhindern.
Technische und organisatorische Maßnahmen können das Risiko von CEO Fraud minimieren.
CEO Fraud
Der CEO Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: den Menschen.
In diesem Artikel lesen Sie:
- wie Betrüger CEOs attackieren
- welche Schäden durch CEO Fraud entstehen können
- wie Sie CEO Fraud erkennen
- was Sie gegen CEO Fraud tun können
Der typische Ablauf
Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Dank frei verfügbaren Daten auf den Homepages oder Karriereportalen nutzen Cyberkriminelle zunehmend soziale Manipulation, um an die gewünschten Daten zu gelangen.
Was ist überhaupt unter dem Begriff „CEO Fraud“, auch Chef-Trick genannt, zu verstehen? Hierbei handelt es sich um eine Internet-Betrugsmasche (Fraud), bei welcher die Täter eine falsche Identität, beispielsweise die des Geschäftsführers (CEO), verwenden, um Unternehmensmitarbeiter zur Preisgabe von Informationen zu verleiten und insbesondere dahin gehend zu manipulieren, Finanztransaktionen zugunsten der Täter vorzunehmen.
Durch die Vorspiegelung falscher Tatsachen versuchen die Täter, den jeweiligen Mitarbeiter dazu zu bringen, einen hohen Betrag auf Konten in asiatische oder osteuropäische Staaten zu überweisen. Klassische Beispiele sind die Behauptung, die Kontoverbindung habe sich geändert und das Geld des Firmenkontos müsse nun auf das neue Konto transferiert werden oder der Täter gibt sich als Systemadministrator aus und behauptet, infolge eines Systemfehlers das Passwort des Mitarbeiters zu benötigen.
Auch die Vorspiegelung der Täter, man sei Anwalt der für das Unternehmen tätigen Kanzlei, ist eine denkbare Vorgehensweise – die möglichen Szenarien sind hierbei schier endlos.
So wanzen sich Betrüger an CEOs ran
Die Kontaktaufnahme erfolgt dabei in der Regel per Telefon oder E-Mail. Insbesondere bei letzterem Mittel sind dank der heutigen technischen Möglichkeiten die Unterschiede zwischen der originalen E-Mail-Adresse samt Signatur und Firmenlogo und der Fälschung kaum zu erkennen. Zum einen wird von Laien oft unterschätzt, wie einfach solche Fälschungen möglich sind, und zum anderen, wie gut die Täter vorbereitet sind.
Dank wochenlanger Recherche ist es den Tätern möglich, sich umfassend über die internen Abläufe sowie die Zielpersonen zu informieren. Die jeweiligen Informationen, speziell Kontaktdaten, gewinnen die Täter dabei in der Regel durch frei zugängliche Informationen auf der Website der Unternehmen oder den entsprechenden Handelsregistereinträgen. Aber auch Karriereseiten wie LinkedIn sind eine gern genutzte Quelle, besonders im Hinblick auf Identitätsdiebstahl. Durch solch ein perfides wie geniales Vorgehen fällt die Masche in der Regel erst auf, wenn es bereits zu spät ist.
Dieses Phänomen ist jedoch keinesfalls neu. Bereits in den 1960er-Jahren nutzte der weltweit bekannte Trickbetrüger Frank Abagnale die Manipulationsmethoden des Social Engineering. Was bereits damals funktionierte, ist nun dank Digitalisierung und globaler Vernetzung noch einfacher geworden.
Insbesondere seit den Zeiten von Covid-19 ist das Thema wieder brandaktuell. Denn das überwiegende Arbeiten im Homeoffice erfordert per se eine erhebliche Umstellung der im Büro etablierten Vorgänge und Abläufe, ganz abgesehen von IT-Sicherheitsaspekten, welche aus Praktikabilitätsgründen leider oft außer Acht gelassen werden.
Das Ausmaß von CEO Fraud
Erstmals warnte das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 vor dem damals noch recht unbekannten Phänomen des Enkeltricks 2.0 (siehe unter anderem den jährlichen Bericht von 2016, hier abrufbar).
Für die Jahre 2016 und 2017 wird der bundesweite Schaden auf rund 55 Mio. Euro geschätzt, so die repräsentative Studie „Wirtschaftsschutz in der digitalen Welt“ des Digitalverbands Bitkom. Laut einer Studie der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers aus dem Jahr 2020 (PwC’s „Global Economic Crime and Fraud Survey 2020“, abrufbar hier) waren zwischen den Jahren 2018 und 2020 weltweit fast die Hälfte der Unternehmen bereits von etwaigen Cyber-/Wirtschaftsdelikten betroffen – geschätzter Schaden: 42 Mrd. US-Dollar.
Auch der Mittelstand im Visier
Waren ursprünglich nur Großkonzerne im Visier der Täter, sind in den letzten Jahren überwiegend umsatzstarke kleine und mittelständische Unternehmen betroffen. Im Gegensatz zu den Big Playern verfügen kleinere Unternehmen häufig nicht über entsprechende Compliance-Systeme und anderweitige Schutzmechanismen.
So wie der MDAX-notierte Nürnberger Automobilzulieferer Leoni: Dieser wurde im Sommer 2016 Opfer des Chef-Tricks – und fiel auf die Masche der Betrüger rein. Insgesamt 40 Mio. Euro wurden auf 50 Konten in China und Hongkong transferiert. Die Täter gingen derart geschickt vor, dass dies erst nach drei Wochen auffiel. Sie gaben sich als hochrangige Manager aus und wiesen per Mail die Überweisungen an, meist ein einstelliger Millionenbetrag.
Wie erkennen Sie CEO Fraud? 3 Tipps der SECJUR-Informationssicherheitsspezialisten
Doch wie erkennen Sie einen solchen Betrugsversuch? Und wie können Sie sich und das Unternehmen davor schützen, Opfer einer solchen Straftat zu werden?
Sensibilisierung der Mitarbeitenden
Der größte Unsicherheitsfaktor ist der Mensch. Durch die täuschend echt wirkenden E-Mails fällt ein betrügerisches Vorhaben auf den ersten Blick kaum auf. Auch die Tatsache, dass Identitäten von real existierenden Mitarbeitern verwendet werden, erschwert das Erkennen eines solchen Straftatversuchs enorm. Zudem werden die Opfer in der Regel zusätzlich unter Zeitdruck gesetzt und/oder zur Verschwiegenheit aufgefordert, mit Behauptungen wie: Es handele sich um ein vertrauliches Projekt.
Diese Praktiken zielen auf die Ausnutzung menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen oder Respekt vor Autoritäten. Hierdurch wird schnell ein Einfallstor für die kriminellen Machenschaften der Täter geschaffen. Fällt der Betrug auf, ist es meist bereits zu spät. Der effektivste Weg ist damit die Sensibilisierung der Mitarbeitenden. Es gilt, den Mitarbeitern ein gewisses Gefahrenbewusstsein zu vermitteln. Kritisches Hinterfragen bei ungewöhnlichen Vorgängen ist nämlich die beste Prävention, um betrügerisches Handeln rechtzeitig zu entlarven.
Spezielle Schulungen der Mitarbeitenden sind damit unerlässlich, um ein entsprechendes Bewusstsein für derartige Betrugsmaschen zu schaffen. Hierbei kommt es auf jeden einzelnen Mitarbeiter an, unabhängig von der Hierarchieebene im Unternehmen. Die Mitarbeitenden müssen geschult werden, auch auf vermeintliche Kleinigkeiten zu achten, etwa die genaue Absenderadresse. Zudem ist deutlich hervorzuheben, dass solche Betrugstaten oft über Wochen vorbereitet werden und bereits mit dem Ausspionieren beginnen.
Technische und organisatorische Vorkehrungen treffen
Neben Mitarbeiterschulungen ist auch IT-Sicherheit eine wichtige Komponente beim Schutz vor Straftaten. Zunächst ist eine umfassende Analyse der internen Abstimmungs- sowie Zahlungsprozesse erforderlich, um mögliche Schwachstellen zu erkennen und anschließend zu beheben. Auch unter datenschutzrechtlichen Aspekten ist eine Prüfung der Unternehmensabläufe unerlässlich, um ein DSGVO-konformes Compliance-System zu entwickeln.
Denn der resultierende Schaden infolge eines CEO Fraud ist meist nicht nur finanzieller Natur – oft erhalten die Täter auch Zugang zu Mitarbeiter- oder Kundendaten, welche als personenbezogene Daten dem besonderen Schutz der DSGVO unterliegen. In diesem Zusammenhang ist auf die Folgen einer solchen Datenpanne hinzuweisen, nämlich die Pflicht, diese bei der jeweils zuständigen Aufsichtsbehörde zu melden sowie die Gefahr, gegebenenfalls mit einem empfindlichen Bußgeld sanktioniert zu werden.
Im zweiten Schritt sollten interne Kontrollmaßnahmen, die Beteiligung von mindestens zwei Mitarbeitern an wichtigen Entscheidungen sowie klare Abwesenheitsregelungen entwickelt werden – denn je klarer die Vorgaben sind, umso geringer ist die Wahrscheinlichkeit, dass die Täter mit ihrer Betrugsmasche erfolgreich sind. Für Transaktionen ab einer gewissen Summe ist die Festlegung eines Freigabekonzepts in Form einer Zwei-Faktor-Authentifizierung ratsam, beispielsweise über die Mail mit der Zahlungsanweisung hinaus ein Anruf beim CEO.
Im Zweifel: Sichtbarkeit reduzieren
Schließlich sollte die öffentliche Preisgabe von Informationen über das Unternehmen sorgfältig bedacht werden, sowohl seitens des Unternehmens als auch der einzelnen Mitarbeiter. Je weniger Informationen öffentlich verfügbar sind, umso unattraktiver ist das jeweilige Unternehmen für die Betrüger. Es gilt somit, sich auf das Notwendigste zu beschränken, um es den Tätern möglichst schwer zu machen, an die erforderlichen Daten zu gelangen.
Fazit der SECJUR-Experten
Da die Täter im Bereich des Social Engineering auf die menschliche Schwäche der Unternehmensmitarbeiter setzen, sollte die Sensibilisierung und Schulung der Mitarbeiter oberste Priorität haben.
Hierfür bedarf es jedoch auch einer entsprechenden Unternehmenskultur. Nicht nur ein funktionierendes Compliance-System ist essenziell, sondern auch ein offener Umgang mit den Mitarbeitenden und Kollegen. Rückfragen sollten nicht zu einem Schamgefühl des jeweiligen fragenden Mitarbeiters führen, sondern ernst genommen werden. Auch bei Fehlalarm sollte die Wachsamkeit des Kollegen geschätzt und auch so kommuniziert werden. Denn nur bei einem solchen Arbeitsklima, wenn Mitarbeitende sich auch trauen, ihre Zweifel auch an richtiger Stelle zu kommunizieren, können Straftaten wie die des CEO Fraud verhindert und Risiken minimiert werden.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office