Das Erschleichen von Zahlungsanweisungen durch Vorspiegelung der Identität von Leitungspersonen in Unternehmen (sog. CEO-Fraud) birgt das Risiko empfindlicher Vermögensschäden. Die Täter haben sich in den letzten Jahren zunehmend professionalisiert und nehmen verstärkt kleine und mittlere Unternehmen ins Visier. Unternehmen können das Risiko mit einem Strauß an Maßnahmen minimieren.

Was ist CEO-Fraud?

Der Begriff des CEO-Frauds bezeichnet ein Betrugsschema, bei dem unter Vorspiegelung der Identität des Geschäftsführers oder einer anderen Leitungsperson eine Anweisung zur Tätigung einer Zahlung an einen ahnungslosen Mitarbeiter ausgegeben wird. Die Vorgehensweise wurde in den letzten Jahren von spezialisierten Akteuren zunehmend professionalisiert, sodass ihr nach wie vor ein enormes Schädigungsrisiko für Unternehmen innewohnt.

Wie funktioniert CEO-Fraud?

Am Anfang des CEO-Frauds steht die Beschaffung von Informationen. Diese speist sich aus allgemein zugänglichen Quellen, aber auch aus Anrufen unter falschen Vorwänden und zuweilen auch aus Hackerangriffen. Die Informationen werden vornehmlich über die vorzuspiegelnde Person, die zu kontaktierende Person und die Firmenstrukturen gesammelt.

Anhand der gesammelten Informationen fertigen die Betrüger gefälschte E-Mails an. Die verwendeten E-Mail-Adressen weichen in der Regel nur sehr geringfügig von der der imitierten Person ab. Im schlechtesten Fall haben sich die Täter kurzfristig Zugang zum tatsächlichen E-Mail-Account verschafft.

Inhaltlich wird in den E-Mails in der Regel ein persönlicher Kontakt oder besondere Umstände vorgeschoben, die besondere Vertraulichkeit erfordern. Zur Untermauerung wird die Einschaltung von Rechtsanwälten vorgetäuscht und durch entsprechende Anrufe untermauert.

Flankierend wird auf den Mitarbeiter sowohl Druck ausgeübt als auch gleichzeitig seine Performance und Vertrauensseligkeit gelobt, um ihm zu schmeicheln. Auf diesem Wege wird der Mitarbeiter verleitet, kurzfristig und gegebenenfalls entgegen der geltenden Regeln zu handeln.

Hat das Betrugsschema Erfolg, werden die durch die Täuschung erschlichenen Gelder in der Regel durch ein vorbereitetes Netz von Konten in Länder geleitet, in denen eine Verfolgung, geschweige denn ein Zugriff auf die Gelder, aufgrund rechtlicher wie faktischer Gegebenheiten aussichtslos ist.

Kann mein Unternehmen Opfer von CEO-Fraud werden?

Aufgrund des Digitalisierungsvorsprungs von US-Firmen waren diese die ersten Opfer von CEO-Fraud-Attacken. Das Betrugsschema machte dort mit einem verursachten Schaden von 1,77 Mrd. US-Dollar im Jahr 2019 immer noch die Hälfte des durch Cybercrime entstandenen Gesamtschadens aus. Seit einigen Jahren ist das Phänomen in Europa restlos angekommen.

Hier passt sich das Betrugsphänomen den fortlaufenden Entwicklungen an. Während in früheren Phasen der Methode vor allem große Unternehmen und Konzerne Gegenstand von CEO-Fraud waren, sind diese mittlerweile sensibilisiert und verfügen schon aufgrund ihrer allgemeinen Relevanz über ausgeklügelte Compliance-Management-Systeme. Deshalb geraten nunmehr vornehmlich kleinere und mittlere Unternehmen ins Visier der Betrüger, die beim Thema Compliance oftmals Nachholbedarf haben.

Reicht der in meinem Unternehmen installierte Phishing-Schutz nicht aus, um es gegen CEO-Fraud zu schützen?

Neben der Auswahl ihrer Zielgruppe haben die hinter dem CEO-Fraud stehenden Kriminellen auch ihre Vorgehensweise verfeinert. Leicht zu identifizierende Standardtexte, die auch im Bereich des allgemeinen Phishings zum Einsatz kommen, werden zwar nach wie vor verwendet, gleichzeitig haben hochspezialisierte Akteure ihr Handwerk gezielter Angriffe perfektioniert. Sie leisten aufwendige Vorarbeiten, um die vorzuspiegelnde Identität, potentielle Ansprechpartner und Organisationsstrukturen des Zielunternehmens zu ermitteln und zu analysieren. Im Folgenden bringen die Täter sogenanntes Social Engineering zum Einsatz, bei dem etwa der sprachliche Duktus des Anweisenden haargenau imitiert wird, um die Glaubwürdigkeit zu steigern.

Was kann mein Unternehmen tun, um sich gegen CEO-Fraud zu schützen?

Entlang der Einzelschritte des Betrugsschemas sind entsprechende Vorkehrungen zu treffen:

Zunächst ist zu prüfen, welche internen Informationen über das eigene Unternehmen aus allgemein zugänglichen Quellen verfügbar sind, und dann kritisch zu evaluieren, ob die Veröffentlichung erforderlich ist oder ob diese ohne Gefährdung des Geschäftszwecks angepasst werden kann. Die ohnehin datenschutzrelevante Entsorgung von Dokumenten sollte unter diesem Gesichtspunkt gleichfalls auf den Prüfstand gestellt werden.

Von größter Wichtigkeit ist es, potentiell betroffene Mitarbeiter zu ermutigen, bei Zweifelsfällen zu reagieren. Die Führungskräfte, deren Identität potentiell imitiert werden könnte, sollten in einem persönlichen Kontakt klarstellen und bekräftigen, dass eine prüfende Nachfrage im Zweifelsfall keinesfalls als Autoritätszweifel oder Kleinigkeit aufgefasst werden wird und eine solche vielmehr ermutigen. Die Mitarbeiter sind indes darin zu schulen, verdächtige Anrufe zu erkennen, um diese im Zweifelsfall melden zu können und um folgend auf eine erhöhte Sensibilität in der Mitarbeiterschaft hinwirken zu können. Etwa erfolgen typischerweise Anrufe an den Empfang, in denen vorgegeben wird, dass eine beabsichtigte Zahlung an das Unternehmen zurückgewiesen worden und deshalb ein unmittelbarer Kontakt zu der Buchhaltung erforderlich sei.

Technische Maßnahmen zur Verhinderung von Phishing sowie Antiviren- und Firewall-Programme stehen in vielfältigen Ausführungen zur Verfügung und sollten verwendet und regelmäßig aktualisiert werden. Die Gewährleistung der Passwortsicherheit ist von größter Wichtigkeit, welche der Belegschaft entsprechend zu kommunizieren ist.

Ergänzend kann auf technischer Seite Sorge getragen werden, dass alle Internetdomains, die der Unternehmensdomain auch nur ähneln, durch das Unternehmen gesichert und gehalten werden. 

Die beschriebene Verfeinerung der Methoden der Betrüger kann jedoch nicht mehr durch rein technische Vorkehrungen aufgefangen werden. Diese können die Fraud-Compliance allenfalls erleichtern.

Geschäftspartner sollten darauf hingewiesen werden, dass bei der Bezahlung von Rechnungen gegebenenfalls eine Zweifaktorenauthentifizierung durchgeführt wird. Diese kann etwa durch einen Anruf bei einer hinterlegten Nummer oder eine Nachricht an eine separate Stelle bei dem Geschäftspartner erfolgen.

Welches Verhalten ist geboten, wenn es zu einem CEO-Fraud kommt?

Auch bei Berücksichtigung aller vorstehenden Maßnahmen kann der Erfolg eines CEO-Frauds nie mit Sicherheit ausgeschlossen werden. Der endgültige Abfluss des Geldes kann dann allenfalls durch eine möglichst schnelle und straffe Reaktion verhindert werden. Zu diesem Zweck ist ein Maßnahmenplan vorzuhalten und im Unternehmen bekannt zu machen. In dem Maßnahmenplan sind die weiteren Schritte im Einzelnen festzulegen und die damit verbundenen Verantwortlichkeiten zuzuweisen.

Gerne implementieren wir mit Ihnen und Ihrem Unternehmen gemeinsam eine spezifische CEO-Fraud-Compliance in Ihrem Compliance-Portfolio. Kleine Schritte können helfen, große Verluste zu verhindern.