header-placeholder


image header
image
cyber security 1805246 960 720

BSI warnt Unternehmen gezielt vor akutem Risiko durch CEO Fraud

Bonn, 10. Juli 2017. Mittels einer Betrugsmasche namens "CEO Fraud" versuchen kriminelle Täter 
derzeit, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag 
des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen. 

Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für 
Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung 
und weist auf die Risiken des CEO Fraud hin.

"CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als 
nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten 
Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte 
zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei 
der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu 
Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert 
werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten," erklärt 
BSI-Präsident Arne Schönbohm.

Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert, 
die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter 
werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen 
Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto 
auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur 
Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt 
handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in 
Millionenhöhe entstanden.

Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich 
verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in Sozialen 
Netzwerken, in Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die 
Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im 
Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu 
überweisen.

Handlungsempfehlungen des BSI:

- Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine 
Kontaktadressen beschränken

- Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung 
sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen

- Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen 
greifen

a) Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
b) Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim 
vermeintlichen Auftraggeber
c) Information der Geschäftsleitung oder des Vorgesetzten