Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aus aktuellem Anlass vor einem akuten Risiko durch die Betrugsmasche CEO Fraud. Bei Ermittlungen gegen organisierte Kriminalität kamen Behörden demnach in den Besitz einer Liste mit rund 5000 potentiellen Zielpersonen. Das BSI informiert deshalb die Betroffenen über besondere Gefährdung und gibt allgemeine Handlungsempfehlungen.
Bei CEO-Betrug handelt es sich um eine Variante von Social Engineering. Sie zielt vor allem auf Mitarbeiter im Finanzwesen, die auch größere Überweisungen auf fremde Konten durchführen können. Die Täter geben sich dabei als Führungskraft im eigenen Unternehmen, beispielsweise als Geschäftsführer (CEO) aus – und weisen die Zahlungsberechtigten telefonisch oder per E-Mail zum Transfer eines hohen Geldbetrags auf ein ausländisches Konto an. Das Opfer wird typischerweise unter Zeitdruck gesetzt und zur Verschwiegenheit verpflichtet, da es sich um ein dringendes Geheimprojekt handle. Dabei kann eine Unternehmensübernahme oder eine geänderte Kontoverbindung vorgetäuscht werden, um eine Überweisung nach China, Hongkong oder osteuropäische Länder zu fordern.
Laut Bundeskriminalamt konnten Täter auf diese Weise in den letzten Monaten mehrere Millionen Euro einstreichen, was für die betroffenen Unternehmen und getäuschten Mitarbeiter teilweise gravierende Folgen hatte. Auch das FBI berichtete im letzten Jahr vom Betrug mit falschen CEO-Mails als einem weltweiten Milliardengeschäft. Kriminelle forderten demnach mit dieser Masche insgesamt 3,1 Milliarden Dollar – und rund eine Milliarde Dollar wurde tatsächlich auf Betrügerkonten überwiesen.
„CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen“, lässt sich BSI-Präsident Arne Schönbohm zitieren . „Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten.“ Um ähnliche Betrugsversuche in Zukunft zu verhindern, sollten außerdem alle Mitarbeiter, die zur Durchführung von Zahlungen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden.
Im Visier der Angreifer stehen vor allem die Mitarbeiter im Finanz- und Rechnungswesen mittlerer bis großer Unternehmen. Das Risiko von CEO-Betrug erhöht sich, wenn in Medien von geplanten Investitionen und Übernahmen des Unternehmens berichtet wurde. Die Täter fallen durch gut durchgeführte Recherchen auf. Sie formulieren die Mails mit gefälschten Absendern meist fehlerfrei und tätigen Anrufe in üblicher Geschäftssprache.
An die Kontaktdaten von Zielpersonen und vorgetäuschten Absendern kommen Kriminelle oft durch öffentlich verfügbare Informationen auf der unternehmenseigenen Website, in Sozialen Netzen oder Karriereportalen. Das BSI empfiehlt deshalb Unternehmen, öffentliche Kontaktdaten auf allgemeine Kontaktadressen zu beschränken. Kontrollmechanismen sollten vor der Durchführung ungewöhnlicher Zahlungsanweisungen greifen. Weitere Informationen und Handlungsempfehlungen zum Schutz vor der Betrugsmasche gibt das BKA in einem Flyer Warnhinweis CEO Fraud (PDF).