06645 99991-0 [email protected]

ONE4 IT - News

Aktuelle Meldungen und Informationen

CEO-Fraud – Unternehmen in Gefahr

CEO-Fraud ist ein hinterlistiger Betrug. Kriminelle geben sich als Führungskräfte eines Unternehmens aus, um Mitarbeiter zu Geldtransfers zu verleiten. Immer wieder führt die Masche zum Erfolg.

Wir erklären die Funktionsweise solcher Angriffe und welche Sicherheitsmaßnahmen Unternehmen ergreifen sollten, um sich effektiv zu schützen.

Cybercrime: Schäden in den Milliarden

Cyber-Angriffe haben sich in den letzten Jahren massiv erhöht und immer größere wirtschaftliche Schäden hinterlassen. Laut der Bitkom-Studie “Wirtschaftsschutz 2024” lag der Schaden an deutschen Unternehmen im Jahr 2023 bei 267 Milliarden Euro – ein enormer Anstieg gegenüber 206 Milliarden Euro im Vorjahr. Fast jedes Unternehmen ist betroffen: 81 Prozent aller Unternehmen waren Opfer von Datendiebstahl, Industriespionage oder Sabotage. Ein Drittel der Unternehmen ist der Meinung, dass sie Cyberangriffen ausgesetzt sind.

Die digitalen Angriffe werden immer raffinierter, mit Ransomware, Phishing und Passwort Diebstahl als bewährte Methoden. Aber auch analoge Angriffe wie Diebstahl von physischen Dokumenten und das Abhören von Bsprechungen haben deutlich zugenommen. Cybercrime wird immer vielseitiger.

CEO-Fraud gilt als besonders tückisch. Dieser Betrug hat ein enormes Schadenspotenzial und macht aufgrund der fast filmreifen Umsetzung immer wieder Schlagzeilen.

Zu sehen ist der Oberkörper einer Frau in Anzug stehend vor ihrem Laptop auf dem Tisch. Es geht um CEO-Fraud. Bild: Pexels/MART PRODUCTION

Der CEO Fraud ist ein gefährlicher Betrug: Kriminelle sind hier als CEO. Bild: Pexels/MART PRODUKTION

Was ist CEO-Fraud?

CEO-Fraud, auch bekannt als Business Email Compromise (BEC) oder auch als “Chef-Masche“, ist ein perfider Betrug, bei dem Kriminelle sich als Geschäftsführer oder Geschäftsführer eines Unternehmens ausgeben (Chief Executive Officer = CEO). Für solche Angriffe können aber auch andere Führungskräfte missbraucht werden. Ziel ist es, Mitarbeiter – oft aus Buchhaltung oder Finanzen – so zu täuschen und zu manipulieren, dass sie große Geldmengen auf betrügerische Konten übertragen. Ziel ist somit die Kommandostruktur innerhalb eines Unternehmens.

Diese Form des Angriffs ist eine Variante des sogenannten Social-Engineerings, bei der menschliche Schwächen durch gezielte Täuschung ausgenutzt werden. Die Täter sind sehr clever. Sie sammeln öffentlich zugängliche Informationen über das Unternehmen, die Struktur und Mitarbeiter, beispielsweise aus sozialen Netzwerken oder der Unternehmenswebsite, um ihre E-Mails mit zahlreichen Details zu versorgen und den Eindruck zu vermitteln, dass die Bestellung direkt vom CEO kommen würde. Um die Täuschung besonders glaubwürdig zu machen, verwenden die Täter oft gefälschte E-Mail-Adressen, die auf den ersten Blick legitim erscheinen.

CEO-Betrug: So gehen die Angreifer vor

Die Verbrecher hinter einem Angriff mittels CEO-Fraud arbeiten extrem systematisch und verwenden verschiedene Methoden, um ihr Ziel zu erreichen. Ihr Verfahren kann in mehreren Schritten zusammengefasst werden – hier unsere Übersicht:

  • Informationsbeschaffung: Zunächst sammeln die Täter so viele Informationen wie möglich über das Unternehmen. Dazu gehören Informationen über die Unternehmensstruktur, Führungskräfte und Mitarbeiter, die in sozialen Netzwerken, in öffentlichen Datenbanken (z.B. Handelsregister), in Wirtschaftsberichten, in Werbebroschüren oder auf Unternehmenswebseiten zu finden sind. Die Angreifer interessieren sich insbesondere für E-Mail-Adressen, Geschäftspartner und geplante Investitionen.
  • Fake-Identität: Mit den gesammelten Informationen erstellen die Kriminellen gefälschte E-Mail-Adressen, die ähnlich aussehen wie die realen Adressen der Führungskräfte. Häufig nutzen Unternehmen feste Systeme für den E-Mail-Versand, die von den Angreifern nur geringfügig geändert werden. Manchmal verwenden sie auch abgefangene oder kompromittierte E-Mail-Konten, um die Legitimität noch weiter zu erhöhen.
  • Kontaktaufnahme: Sobald genügend Informationen vorliegen, kontaktieren die Täter per E-Mail oder Telefon den für Zahlungsanweisungen zuständigen Mitarbeiter. Buchhalter oder Mitarbeiter in der Finanzabteilung sind oft die Zielperson. Die Verbrecher schaffen ein Gefühl der Dringlichkeit, indem sie behaupten, dass es sich um eine eilige, vertrauliche Transaktion handelt, die schnell und unauffällig durchgeführt werden muss. Aufgrund dieses psychischen Drucks zögern die Mitarbeiter oft nicht lange und übertragen die angeforderten Mittel.
  • Verschleierung: Die Transfers gehen in der Regel auf ausländische Konten, oft in Ländern wie China oder Russland, was die Spur des Geldes erschwert und es schwer macht die Täter zu erfassen.

Die geschickte Kombination dieser Methoden ermöglicht es den Tätern oft, selbst erfahrene Mitarbeiter zu täuschen. Der entstandene Schaden kann für Unternehmen verheerend sein und im schlimmsten Fall die gesamte Existenz gefährden.

Zu sehen ist eine Frau am SChreibtisch mit Laptop und zahllosen Unterlagen. CEO-Fraud setzt auf Druck. Bild: Pexels/Mizuno K

Mitarbeiter werden unter dem Vorwand von Zeitnot unter Druck auf die Frau des CEO gesetzt. Bild: Pexels/Mizuno K

Diese Tipps schützen vor CEO Fraud!

Unternehmen können sich durch gezielte Maßnahmen effektiv vor CEO Fraud schützen. Diese Sicherheitsmaßnahmen helfen, Betrugsversuche frühzeitig zu erkennen und zu verhindern. Hier sind unsere Tipps:

  • Gehen Sie sorgfältig mit öffentlichen Informationen um!
    Stellen Sie sicher, dass keine Informationen über das Unternehmen und seine Mitarbeiter öffentlich zugänglich sind. Insbesondere können Informationen auf der Firmenwebsite, auf sozialen Netzwerken oder in Werbematerialien von Kriminellen für Betrugsversuche verwendet werden.
  • Kümmern Sie sich um klare Arbeitszeit- und Abwesenheitsregelungen!
    Stellen Sie sicher, dass Abwesenheitszeiten und Vertretungsregelungen im Unternehmen eindeutig definiert sind. Dies verhindert, dass Kriminelle das Fehlen von Führungskräften verwenden, um unberechtigte Zahlungsanweisungen durchzusetzen.
  • Nutzen Sie Kontrollmechanismen!
    Finanztransaktionen sollten durch interne Kontrollmechanismen gesichert werden. Bei ungewöhnlichen Zahlungsanweisungen ist es von entscheidender Bedeutung, die E-Mail-Adressen genau zu überprüfen und die Echtheit der Zahlungsanforderung über Rückruf oder schriftliche Fragen zu überprüfen.
  • Sensibilisieren Sie Ihre Mitarbeiter!
    Sie sollten Ihre Mitarbeiter regelmäßig auf aktuelle Betrügereien ausbilden und somit auch auf das Risiko von CEO Fraud hinweisen. Mitarbeiter sollten lernen, E-Mails, insbesondere die Absenderadresse, sorgfältig zu überprüfen, um kleinere Abweichungen zu identifizieren. Auch bei ungewöhnlichen Untersuchungen gibt es immer Übereinstimmung mit Vorgesetzten.
  • Reagieren Sie so schnell wie möglich!
    Wenn es Anzeichen von Betrug gibt, wenden Sie sich bitte sofort an die Polizei oder das zuständige nationale Strafamt. Schnelle Interventionen können oft große finanzielle Verluste verhindern und den Tätern helfen, möglicherweise sogar das Handwerk zu legen.

Durch die Umsetzung dieser Tipps können Unternehmen das Risiko eines CEO-Fraud-Angriffs deutlich reduzieren. Aber: Die genannten Schutzmaßnahmen sind nur ein Auszug aus allen Möglichkeiten, mit denen Unternehmen Cyberkriminalität begegnen.

Zu sehen sind die Hände einer Frau mit einem Taschenrechner, im Hintergrund ein Laptop. Vielleicht ist sie das Ziel von CEO-Fraud. Bild: Pexels/Mikhail Nilov

Mitarbeiter im Rechnungswesen gehören zu den typischen Zielen der CEO-Frau. Bild: Pexels/Mikhail Nilov

IT-Dienstleister schützen vor Angriffen!

Um effektiv gegen Cyberkriminalität im Allgemeinen und insbesondere den gefährlichen Chef-Betrug geschützt zu sein, können Unternehmen auf die Unterstützung spezialisierter IT-Dienstleister zählen. Auch wir, die one4 IT GmbH, bieten als IT-Systemhaus maßgeschneiderte Sicherheitslösungen zur Verteidigung von CEO-Fraud und anderen Cyber-Angriffen. Die Implementierung moderner Sicherheitstechnologien und der Einsatz fortschrittlicher Authentifizierungsmechanismen reduziert das Risiko solcher Betrugsversuche deutlich.

Neben dem technischen Schutz ist das Bewusstsein der Mitarbeiter entscheidend. Wirr bieten daher auch Schulungen zum Sicherheitsbewusstsein und trainieren regelmäßig Ihre Mitarbeiter auf aktuelle Cyber-Bedrohungen. Unternehmen können so sicherstellen, dass ihre Mitarbeiter gut vorbereitet sind und auch schnell komplexe Betrugsversuche wie CEO Frauds identifizieren. Die Gefahr, finanzielle Schäden durch den Chef-Betrug zu erleiden, ist niedriger, wenn Ihr Unternehmen einen starken Partner an Ihrer Seite hat, und Ihr Unternehmen optimal geschützt ist!

Weitere Informationen:
Bundesamt für Verfassungsschutz, Polizei NRW, golem, SZ, it-daily, heise
Für eine bessere Lesbarkeit verwenden wir die männliche Form im Text. Allerdings sind alle Geschlechter und Geschlechtsidentität immer gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network

 

KATEGORIEN