Was bedeutet CEO Fraud?

, ,
scam 4126798 640 1

Ein CEO Fraud ist eine Art von Betrug, der in der Manipulation eines entsprechend befugten Mitarbeiters zur Ausführung einer großen Überweisung besteht. Diese Überweisung wird durch eine gefälschte Anweisung ausgelöst, die vom CEO (engl. Chief Executive Officer; dt: Geschäftsführer oder Vorstand) zu stammen scheint. Das von den Betrügern angegebene Zielkonto für diese Überweisung befindet sich üblicherweise nicht in Reichweite des Rechtssystems am Unternehmenssitz also in der Regel im Ausland.

Wie läuft ein CEO Fraud ab?

Voraussetzung für den Erfolg durch einen Betrug dieses Typs ist die Abwesenheit des CEO des Zielunternehmens. Eine entsprechend ausgewählte Person im Unternehmen erhält von den Tätern einen gefälschten Auftrag, die Überweisung einer großen Summe auf ein ausländisches Bankkonto zu veranlassen. Der Auftrag kann per E-Mail, per Brief oder auch per Telefonanruf übermittelt werden.

Die Nachricht mit diesem Auftrag enthält oft weitere Details, die den Erfolg durch diesen Betrug wahrscheinlicher machen sollen. Als Begründung kommt in Frage, dass der CEO sich in Verhandlungen betreffend die Übernahme eines Unternehmens befindet. Dieser Umstand legt schon selbst eine Dringlichkeit nahe. Für diese Übernahme wird strikte Geheimhaltung gefordert, weswegen der entsprechende Mitarbeiter keine anderen Personen informieren darf, die eventuell Verdacht schöpfen könnten. Auch die Kontaktaufnahme mit dem CEO etwa per Mobiltelefon kann vor diesem Hintergrund untersagt werden, weil auf diese Weise die Verhandlungspartner von dieser Überweisung Kenntnis erhalten könnten und das die Verhandlungsposition des CEO schwächen würde.

Voraussetzungen und Vorbereitungen für einen Betrug vom Typ CEO Fraud

Die Kommunikation der Täter mit den ausgesuchten Opfern muss für einen erfolgreichen CEO Fraud einwandfrei sein. Es müssen die Namen aller Beteiligten den Tätern bekannt sein und auch ihre übliche Art zu kommunizieren. Das ist ein großer Unterschied zu anderen Modellen, bei denen eine große Zahl von E-Mails mit dem Ziel versandt wird, nur einige besonders leichtgläubige Opfer für einen Betrug zu ködern.

road sign 464653 640

Des Weiteren müssen die Täter natürlich herausfinden, welche Personen im Unternehmen überhaupt für eine große Überweisung zeichnungsberechtigt sind. Zumindest sehr nützlich ist eine realistische Einschätzung, welche dieser Personen sich besonders leicht unter psychischen Druck setzen lassen. Diese Informationen sind zu einem gewissen Teil öffentlich zugänglich. Fast immer werden aber entweder technische Angriffe auf die Systeme des Unternehmens oder Methoden des Social Engineering zum Einsatz kommen müssen. Beides sind klassische Methoden von kriminellen Hackern, deren Ziel erfolgreiche Computerkriminalität in allen Ausprägungen ist.

Mehr zum Thema:
Was ist ein Hypervisor?

Unter Social Engineering versteht man Angriffe auf menschliche Schwächen. Als einfaches Beispiel könnten die Täter über Social Media ein persönliches Interesse einer Zielperson identifizieren. Diese Person wird dann viel wahrscheinlicher auf eine E-Mail reagieren, in der es um diesen Fachbereich geht. So wird ein Vertrauen über ein angeblich gemeinsames Interesse aufgebaut, das sich dann für mehr Offenheit ausnützen lässt, als die Zielperson üblicherweise einem Fremden entgegenbringen würde.

Für einen Betrug in der Form eines CEO Frauds ist Social Engineering sogar verhältnismäßig einfach, denn viele Details über die Kommunikation im Unternehmen und auch Hinweise auf die Stressresistenz einer Person ergeben sich ganz von selbst aus einem harmlosen Austausch von Nachrichten. Die Zielperson muss nicht einmal zu einem für sie selbst erkennbaren Vertrauensbruch gebracht werden.

Welche Folgen hat ein CEO Fraud?

Wird die von den Tätern angestrebte und mit einer Fälschung in Auftrag gegebene Überweisung durchgeführt, ist das Geld in fast allen Fällen verloren. Von den für einen solchen Betrug eingesetzten Konten ist eine einmal überwiesene Summe kaum wieder zurückzuerhalten.

Viele Firmen entscheiden sich nach einem Schaden durch einen CEO Fraud nicht für eine Veröffentlichung. Die Wahrscheinlichkeit ist sehr gering, der Täter habhaft zu werden und in jedem Fall ist mit einem Imageschaden für das Unternehmen zu rechnen.

Einige Beispiele sind öffentlich bekannt. Das österreichische Unternehmen der Luftfahrtindustrie FACC AG wurde im Jahr 2016 um eine Summe von 50 Millionen Euro durch einen CEO Fraud geschädigt.

fraud prevention 3188092 640

Wie können Sie sich gegen einen CEO Fraud wehren?

Die Abwehr gegen diese Form von Betrug besteht fast nur aus vorbereitenden Maßnahmen. Eine erfolgte Überweisung ist kaum mehr rückgängig zu machen. Das würde auch ein Problem für das Bankensystem darstellen und nicht für Ihre Informationssicherheit.

Die ersten zwei Schritte betreffen eine gut funktionierende IT-Sicherheit, was gegen alle Arten von Cyberangriffen wichtig ist. Diese Maßnahmen betreffen eine gute technische Absicherung der Systeme in Ihrem Unternehmen. Neben anderen Vorteilen machen Sie es dann den Tätern schwerer, an die für einen erfolgreichen CEO Fraud notwendigen Informationen zu kommen. Diese Sicherheitsmaßnahmen sollten sich aber auch auf eine Vorbereitung Ihrer Mitarbeiter auf Spear-Phishing erstrecken, das auf einen einzelnen Mitarbeiter individuell zugeschnitten wird. Des weiteren sollten Kommunikationskanäle festgelegt und eventuell ein 4-Augen-Prinzip für größere Überweisungen eingeführt werden.

Mehr zum Thema:
Was ist ISO 27001? Ein Leitfaden.

Trotzdem wird es sich nicht ganz vermeiden lassen, dass Täter an die Informationen für einen möglichen CEO Fraud kommen können.