Die Melde- und Analysestelle Informationssicherung MELANI berichtet: Bei der Cyberkriminalität ist der CEO-Betrug oder CEO-Fraud eine besonders beliebte und für die Kriminellen leider allzu oft auch erfolgreiche Gattung. Fragt sich: Was ist der CEO-Betrug und welche Präventivmassnahmen gibt es dagegen?

Das ist der CEO-Betrug oder CEO-Fraud

Von CEO-Betrug oder CEO-Fraud ist die Rede, wenn Täter im Namen des Unternehmenschefs die Buchhaltung oder den Finanzdienst anweisen, eine Zahlung auf ein meist ausländisches Konto der Cyberkriminellen vorzunehmen. Die Anweisung erfolgt überwiegend von einer gefälschten E-Mail-Adresse aus. Es werden aber auch Fälle beobachtet, in denen von einem kompromittierten echten E-Mail-Konto aus operiert wird. Die Begründungen für die Zahlung sind unterschiedlich, aber meist geht es um eine angeblich dringende und äusserst heikle Zahlung. Ein Berater oder eine falsche oder kompromittierte Anwaltskanzlei sind ebenfalls oft Teil des Szenarios. Die Angreifer wissen genau, wie sie mit einer angeblich dringenden Situation Druck auf den betreffenden Mitarbeiter oder die betreffende Mitarbeiterin ausüben müssen, damit er oder sie die Zahlung sofort vornimmt und dabei allfällige Prozessvorgaben umgeht. Mit dieser Betrugsform gehen deshalb oft erhebliche Summen verloren.

So kommen die Täter an die Informationen

Für das Beschaffen von Erstinformationen über das Unternehmen sind die sozialen Netzwerke eine Goldmine. LinkedIn ist für Betrüger besonders interessant, weil dort Informationen über geschäftliche Beziehungen oder die Identität und Funktion von Mitarbeitenden zu finden sind. Auch das Handelsregister oder die Webseite des Unternehmens können nützliche Informationen liefern. Sind die benötigten Informationen nicht online verfügbar, kontaktieren die Betrüger direkt das Unternehmen, um an Informationen heranzukommen. Es gibt auch Fälle, wo Anfragen im Namen öffentlicher Verwaltungen verschickt werden, um an entsprechende Unternehmensinformationen zu kommen. Zu den gesuchten Daten gehören vor allem die Mailadressen der Mitarbeitenden in der Buchhaltung, die am Ende die Zahlungen vornehmen sollen.

Gezielte E-Mails mit plausiblen Angaben

Mit den sorgfältig recherchierten Informationen werden gezielte E-Mails mit hochplausiblen Angaben verschickt. Für den Versand von E-Mails, die auf den ersten Blick täuschend echt scheinen, verwenden die Kriminellen vor allem unternehmensähnliche Domainnamen. Mit E-Mail-Adressen von diesen Domains wollen die Betrüger den Empfängern vortäuschen, es mit dem echten Unternehmen zu tun zu haben.

Sensibilisierung aller Mitarbeitenden

Zugegeben: Der Versand solcher CEO-Betrugs-E-Mails kann kaum verhindert werden. Die Betrüger verschleiern ihre Identität und Herkunft und können bei Bedarf jederzeit die Adresse wechseln. Die wichtigste Empfehlung zur Vorbeugung ist deshalb die Sensibilisierung aller Mitarbeitenden für diese Betrugsart. Besonders gut zu instruieren sind natürlich die Mitarbeitenden der üblicherweise für diesen Betrug benötigten Dienste wie Buchhaltung oder Finanzabteilung.

Die Grundregel

Als Grundregel ist Folgendes zu beachten: Bei ungewöhnlichen oder zweifelhaften Kontaktaufnahmen keine Information herausgeben und keine Anweisungen befolgen, auch wenn man unter Druck gesetzt wird. Alle Unternehmen sollten überdies kontrollieren, welche Informationen über das eigene Unternehmen online zugänglich sind. Womöglich sind diese Informationen zu beschränken. Es sollten des Weiteren Prozesse definiert werden, die alle jederzeit zu befolgen haben. Bei Überweisungen wird beispielsweise ein Vieraugenprinzip mit Kollektivunterschrift empfohlen.