Mit simplen aber wirksamen Betrugsmaschen ergaunern Kriminelle jährlich Beträge in Milliardenhöhe. Unternehmen aus aller Welt sind betroffen, der Schaden ist meist riesig und die Aussicht auf Aufklärung gering. In diesem Beitrag stellen wir zwei dieser Maschen, nämlich CEO-Fraud und Fake Payments, vor und befassen uns mit Maßnahmen zur Absicherung.

Was ist ein CEO Fraud und wie läuft er ab?

CEO Fraud bedeutet übersetzt so viel wie Betrugsmasche des Vorstands / Geschäftsführers. Sie ist unter weiteren Namen, wie Fake President Fraud und Bogus Boss E-Mail, bekannt.

Im Kern basiert die Masche auf einer Variante des Identitätsdiebstahls. Betrüger geben sich gegenüber Angestellten (oft Buchhalter oder Manager aus der Finanzabteilung) als Geschäftsführer oder eine andere hochrangige Führungskraft aus. Durch autoritäres Verhalten und dem Aufbau von Zeitdruck wird versucht, die Opfer zu einer Geldüberweisung zu bewegen.

Die Gelder fließen üblicherweise auf Konten im Ausland (vor allem Asien), was eine Weiterverfolgung des Geldflusses und Enttarnung der Hintermänner im Regelfall unmöglich macht. In anderen Worten: Ist der von den Kriminellen angeforderte Betrag erst einmal überwiesen, gilt das Geld als verloren.

Auf Kleingeld sind die Ganoven übrigens nicht aus. Es wird versucht, die Opfer um größtmögliche Beträge zu erleichtern. Betroffene Unternehmen halten die Vorkommnisse oft geheim, weil sie angekratztes Image befürchten. Andererseits muss der Schaden manchmal öffentlich gemacht werden, z.B. gegenüber Aktionären. Einer der spektakulärsten Vorgänge dieser Art ereignete sich 2016, als ein deutscher Automobilzulieferer um 40 Mio. Euro betrogen wurde.

Weshalb Mitarbeiter auf die Masche hereinfallen

Zahlreiche Manager vertreten die Meinung, in ihrem Unternehmen könne so etwas nicht passieren. Allerdings wird unterschätzt, wie gründlich sich die Angreifer vorbereiten. Sie betreiben intensive Recherche und bedienen sich illegaler Methoden, um Informationen über ihre Opfer zu beschaffen.

Gründlich vorbereitet befinden sie sich in der Lage, ihre Opfer wirksam zu täuschen. Ganz egal ob der Informationsaustausch per E-Mail oder am Telefon erfolgt, die Anweisungen sind mit entscheidenden Details gespickt, weshalb bei Mitarbeitern nicht so schnell Zweifel aufkommt.

Was hat es mit der Fake Payments Betrugsmasche auf sich?

Das Ziel ist bei dieser Masche dasselbe, das Opfer soll einen möglichst hohen Betrag überweisen. Im Gegensatz zum CEO-Fraud wird die Überweisung jedoch nicht von einer Führungskraft in Auftrag gegeben. Stattdessen arbeiten die Kriminellen mit fingierten Rechnungen.

Hierfür betreiben sie ebenfalls Recherche, indem sie u.a. ermitteln, wem die gefälschte Rechnung zuzustellen ist, damit möglichst keine umfassende Überprüfung, sondern eine zeitnahe Überweisung des Rechnungsbetrags erfolgt. Darüber hinaus wird recherchiert, welche Produkte oder Leistungen abgerechnet werden können, damit das Opfer keinen Verdacht schöpft.

Aus Sicht der Angreifer ist es entscheidend, dass das Rechnungsdokument so echt wie möglich erscheint, ebenso wie die aufgeführte Forderung. Ein Krimineller aus Litauen verstand sich hierauf bestens. Im Jahr 2019 wurde er zu einer mehrjährigen Haftstrafe verurteilt, nachdem ihn das FBI ermittelt hatte. Sowohl Facebook als auch Google hatte er mit gefälschten Rechnungen (für angeblich gelieferte Hardware) hinter das Licht geführt und in Summe 122 Mio. US-Dollar erbeutet.

Wer befindet sich im Visier der Kriminellen?

Bis vor einigen Jahren standen vor allem Konzerne im Fokus der Betrüger. Dies lag nicht zuletzt daran, dass in diesem Umfeld die Aussicht besteht, besonders große Beträge zu erbeuten. Allerdings zeichnet sich ein Wandel ab. Zunehmend mehr Kriminelle konzentrieren sich auf Unternehmen aus dem Mittelstand sowie auf finanzkräftige Kleinunternehmen.

Für diese Entwicklung zeigen sich unter anderem Maßnahmen aus dem Feld des Datenschutzes verantwortlich. Große Unternehmen sind dem KMU Umfeld in Sachen Datenschutz und Datensicherheit meist weit voraus. Dies betrifft nicht nur technische Maßnahmen, sondern auch die Schulung von Mitarbeitern – denn diese sind die eigentliche Schwachstelle, auf die die Angreifer bei CEO-Fraud und Fake Payments abzielen.

Worin besteht der Zusammenhang mit dem Datenschutz?

Die Angreifer haben nur Erfolg, wenn ihnen entscheidende Daten zur Verfügung stehen. Je mehr sie über ihre Opfer wissen, desto mehr Vertrauen können sie gewinnen. So ist es für die Kriminellen beispielsweise vorteilhaft, wenn sie beim telefonischen Informationsaustausch mit Wissen über Dinge aufwarten, über die nur Insider informiert sein können. So schöpfen ihre Opfer den geringsten Verdacht.

An solche Daten können die Angreifer auf unterschiedlichem Wege gelangen. Im Kern bedienen sie sich drei verschiedenen Methoden.

Sammeln öffentlicher Daten: Über Unternehmenswebseiten, Social Media Kanäle (einschließlich der Profile von Mitarbeitern) und Pressemitteilungen lassen sich oft Informationen gewinnen, die in Summe ein detailliertes Bild abgeben.

Hacking: Sollte es Angreifern gelingen, sich Zugriff auf die IT-Systeme ihrer Opfer zu verschaffen, stehen ihnen unzählige Informationen zur Verfügung. Damit fällt es besonders leicht, wie ein Insider zu erscheinen.

Social Engineering: Fachmännisch abgesicherte IT-Systeme sind schwer zu hacken. Deshalb rufen Kriminelle ihre Opfer zunehmend häufiger per Telefon an und bringen die benötigen Informationen unter Vortäuschung falscher Tatsachen in Erfahrung (Social Engineering).

Tipps zum Schutz vor Angriffen

  • Die wichtigste Form der Absicherung besteht darin, Mitarbeiter ausreichend zu sensibilisieren. Je besser die Mitarbeiter über Gefahren informiert sind, desto eher können sie diese erkennen.
  • Ein weiterer Punkt ist die Öffentlichkeitsarbeit. Unternehmen sollten genau festlegen, welche Informationen publik gemacht werden. Je mehr Informationen zurückgehalten werden, desto schwerer fällt es den Angreifern, tiefe Einblicke zu gewinnen.
  • Zur Vorbeugung ungewollter Überweisungen sind entsprechende Kontrollmechanismen einzuführen. Solch ein Mechanismus kann z.B. darin bestehen, dass Überweisungen ab einer bestimmten Größenordnung nur nach dem Vier-Augen-Prinzip getätigt werden dürfen.
  • E-Mails sollten auf ihre Richtigkeit überprüft werden. Dies gilt nicht nur für den Inhalt, sondern auch die Herkunft. Womöglich existieren geringfügige Abweichungen in der E-Mailadresse, wodurch sich Angreifer enttarnen lassen.
  • Falls Mitarbeiter einen Verdacht hegen, sollte dieser gemeldet werden. So ist es möglich, suspekten Vorgängen nachzugehen und schnell Klarheit zu schaffen.

Unterstützung bei Datenschutz und Datensicherheit

Sie möchten Datenschutz und Sicherheit in Ihrem Unternehmen verbessern? Gerne unterstützen wir Sie hierbei, unsere Spezialisten erarbeiten maßgeschneiderte Lösungen, die eine hohe Sicherheit bei ausgeprägter Praxisnähe versprechen. Nutzen Sie unsere kostenlose Erstberatung.