Bonn, 10. Juli 2017. Mittels einer Betrugsmasche namens "CEO Fraud" versuchen kriminelle Täter
derzeit, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag
des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen.
Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für
Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung
und weist auf die Risiken des CEO Fraud hin.
"CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als
nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten
Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte
zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei
der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu
Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert
werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten," erklärt
BSI-Präsident Arne Schönbohm.
Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert,
die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter
werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen
Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto
auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur
Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt
handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in
Millionenhöhe entstanden.
Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich
verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in Sozialen
Netzwerken, in Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die
Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im
Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu
überweisen.
Handlungsempfehlungen des BSI:
- Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine
Kontaktadressen beschränken
- Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung
sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
- Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen
greifen
a) Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
b) Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim
vermeintlichen Auftraggeber
c) Information der Geschäftsleitung oder des Vorgesetzten