CEO-Fraud – Gefahr für Unternehmen durch drastisch zunehmende Betrugsmasche unter Ausnutzung der Digitalisierung

CEO Fraud ist eine Form des Betrugs (engl.: Fraud), bei der Mitarbeiter von Unternehmen unter Verwendung falscher Identitäten manipuliert werden, um Geld auf ein bestimmtes Konto zu überweisen. Häufig geben sich Täter als Geschäftsführer (engl.: Chief Executive Officer - CEO) aus und veranlassen den Mitarbeiter zum Transfer eines größeren Geldbetrags ins Ausland, nicht selten nach China.

Die Täter nutzen vielfältige Informationen, die Unternehmen unter anderem im Handelsregister, auf der Webseite, in Broschüren oder ganz einfach auf Visitenkarten veröffentlichen bzw. mitteilen. Darüber hinaus werden Social Media Daten von Mitarbeitern aufgegriffen, welche häufig deren Verantwortlichkeiten und Positionen verraten. Die Täter arbeiten quasi als Profiler und führen Informationen zusammen, die es ihnen ermöglichen, in der Gesamtschau den Eindruck zu erwecken, die angeblichen Chef-Anweisungen seien vertrauenswürdig.

Im konkreten Fall hatte der Abteilungsleiter Finanz- und Rechnungswesen eines mittelständischen Unternehmens folgende E-Mail erhalten:

Von: [E-Mail-Adresse des Geschäftsführers]
Gesendet: Donnerstag, 2. November 2017 11:16
An: [nur intern bekannte E-Mail-Adresse des Leiter für Finanzen und Rechnungswesen]
Betreff: Wichtig

Hallo Herr [Name],

ich möchte Sie persönlich beauftragen, die Bearbeitung einer vertraulichen Finanztransaktion zu übernehmen. Ich bin davon überzeugt, dass Sie die durch uns in dieser Angelegenheit beauftragten Rechtsanwälte der Kanzlei Lovells, insbesondere Hr. Dr. Schmidt nach Kräften unterstützen.

Hat Hr. Dr. Schmidt Sie bereits kontaktiert?

Mit freundlichen Grüßen

[Name des Geschäftsführers]

Nur wenig später rief ein Herr auf der direkten Durchwahl des Abteilungsleiters Finanz- und Rechnungswesen mit unterdrückter Nummer an, der sich tatsächlich als Dr. Schmidt von den Rechtsanwälten Lovells ausgab und sich auf die E-Mail bezog. Er erzählte eine Geschichte, die Unternehmensdetailkenntnisse offenbarte und drängte den Abteilungsleiter, eine Überweisung auf ein konkretes Konto zu tätigen. Der Anrufer kannte nicht nur die Durchwahl, sondern auch die Funktion des Abteilungsleiters sowie die Tatsache, dass dieser Handlungsvollmacht hatte und Überweisungen vornehmen durfte. Im konkreten Fall blieb der Versuch erfolglos.

Vielfach lassen sich Mitarbeiter jedoch durch die vom Täter sorgsam recherchierten Detailkenntnisse blenden. Die Kriminellen legen dabei ihr Augenmerk häufig auf Angaben zu Geschäftspartnern. Dabei ist die E-Mail-Erreichbarkeit ein zentraler Punkt für ein Profiling. Soziale Netzwerke, in denen Mitarbeiter ihre Funktion und Tätigkeit, gerne auch einmal die aktuelle Projekttätigkeit sowie sonstige persönliche Details (Hobbies, Musikvorlieben etc.) öffentlich preisgeben, sind Kerninformationen zur Suggestion von Vertrauenswürdigkeit.

Neben öffentlich zugänglichen Angaben nutzen die Täter auch durch Social Engineering in Erfahrung gebrachte Daten. Ein Markenzeichen des CEO Frauds ist der Zeitdruck, der auf ausführende Mitarbeiter ausgeübt wird, üblicher Weise unter Verweis auf absolute Geheimhaltung.

Die Schäden für betroffene Unternehmen betragen laut Auskunft des Bundeskriminalamts (Stand 16. Mai 2017) in Deutschland mehrere Millionen Euro.

In Zeiten der Digitalisierung sind Unternehmensdaten in vielfältiger Form online abrufbar. Längst haben Profiler diese Vorzüge erkannt und Informationen so gefiltert, dass selbst vertrauten Mitarbeitern die Authentizität einer Handlungsanweisung des Chefs (z. B. per E-Mail) plausibel erscheint. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt aus diesem Grunde, öffentliche Angabe von Kontaktdaten des Unternehmens auf allgemeine Kontaktadressen zu beschränken.

Ob die so auferlegte Zurückhaltung der Präsenz in digitalen Medien mit der von Unternehmen erwünschten Digitalisierungsoffensive immer in Einklang zu bringen ist, mag man hinterfragen. Eine aussagekräftige Präsenz von Mitarbeitern in Social Media Portalen wie LinkedIn und XING dürfte dann jedenfalls schwierig werden.

Mindestens jedoch sollten Unternehmen folgende Handlungsempfehlungen beachten:

• Regelmäßige Schulung der Mitarbeiter des Unternehmens zur Sensibilisierung für CEO Fraud-Risiken und andere Risiken betreffend Datensicherheit in der Informationstechnik
• Beschreibung von Prozessen und Kontrollmechanismen zur Vorgehensweise bei ungewöhnlichen Zahlungsanweisungen
• Überprüfung der Authentizität der Absenderadresse und der Plausibilität des Inhalts der E-Mail
• Verifizierung von Zahlungsaufforderungen oder Überweisungsanweisungen durch Rückruf oder schriftliche Rückfrage beim Vorgesetzten
• Dokumentation des Vorfalls
• Information der Geschäftsleitung oder des Vorgesetzten