CEO-Fraud: Die unterschätzte Gefahr – wie sich Unternehmen vor Betrügern schützen können

CEO-Fraud, auch bekannt als „Business Email Compromise“ (BEC), ist eine Form des Social Engineering, bei der Kriminelle versuchen, durch die Imitation von CEOs oder anderen Führungskräften eines Unternehmens, finanzielle Transaktionen zu veranlassen. Die Kriminellen verwenden dabei oft gefälschte E-Mails oder andere elektronische Kommunikationsmittel, um Mitarbeiter dazu zu bringen, Geldüberweisungen oder sensible Informationen preiszugeben.

Die Auswirkungen von CEO-Frauds können verheerend sein. Finanzielle Verluste sind offensichtlich, wenn Unternehmen dazu verleitet werden, beträchtliche Geldsummen zu überweisen. Darüber hinaus kann der Verlust sensibler Unternehmensdaten zu langfristigen Schäden führen, darunter Reputationseinbußen und rechtliche Konsequenzen.

Der Fall aus Hongkong verdeutlicht den Aufwand, den Kriminelle betreiben, um den Betrug durchzuführen. So soll das Vorgehen akribisch geplant worden sein und die Zielperson des angegriffenen Unternehmens mit gefälschten E-Mail-Verläufen und einer fingierten Videokonferenz mit KI-generierten Stimmen dazu bewegt worden sein, mehrere Überweisungen an die Betrüger zu tätigen.

Der typische Ablauf eines CEO-Frauds lässt sich in vier Phasen unterteilen:

Informationsbeschaffung

Ziel der Informationsbeschaffung ist das Ermitteln von Informationen über das Unternehmen und Schlüssel­personen wie Führungskräfte und die Identifikation von Mitarbeitern in der Finanzabteilung, die autorisiert sind, Zahlungen durchzuführen. 

Im Zeitalter von Social Media fällt es den Betrügern leicht, Informationen über das Unternehmen, deren Geschäfts­partner, Mitarbeitende und aktuelle Geschäftsvorkommnisse zu recherchieren. Social Media Inhalte sind insbesondere deshalb interessant für Betrüger, weil sie einen tieferen Einblick in die Unternehmenskultur und Beziehungen zwischen verschiedenen Mitarbeitenden bieten als klassische Informationsquellen wie Firmenwebseiten und Handelsregistereinträge. Das ist wichtig, weil es den Betrügern hilft, Führungskräfte und Geschäftsvorfälle authentisch zu imitieren.

Die Vorbereitung des Betrugs umfasst auch, in Erfahrung zu bringen, wann notwendige Ansprechpartner für eine Rückversicherung innerhalb des Unternehmens nicht verfügbar sind.

Die gesammelten Informationen werden dazu genutzt, die Zielperson in der Finanzabteilung davon zu überzeugen, eine Überweisung an den Betrüger auszuführen.

Die häufigste Methode ist das Versenden gefälschter E-Mails, die vorgeben, von der Geschäftsführung zu stammen. Die Absendeadresse der E-Mail lässt sich häufig leicht manipulieren, indem bereits das Austauschen einzelner ähnlich aussehender Buchstabe wie „l“ (kleines „L“) und „I“ (großes „i“) ausreicht. In einigen Fällen wird aber auch das tatsächliche E-Mail-Konto eines Mitarbeitenden gehackt und für den Betrug genutzt. 

In anderen Fällen rufen Betrüger Mitarbeiter an und geben sich als Führungskräfte aus, um direkte Anweisungen zu geben. Diese Methode wird oft als „Vishing“ bezeichnet, eine Kombination aus „Voice“ und „Phishing“.

Die sich weiterentwickelnde Technik macht es immer herausfordernder, einen Betrug zu entdecken. So werden mit sogenannten Deepfakes auch Stimmen und Videokonferenzen imitierbar.

Um die Zielperson dazu zu bringen, schnell zu handeln, ohne gründlich nachzudenken, setzt der Betrüger eine Reihe von Taktiken ein, um die Zielperson unter Stress zu setzen. 

Dies geschieht, indem die Anfrage als äußerst dringend dargestellt wird und ein sofortiges Handeln erforderlich scheint, um zum Beispiel eine vermeintliche Krise oder einen drohenden finanziellen Verlust abzuwenden. Häufig wird dabei eine Situation orchestriert, in der der imitierte CEO oder leitende Angestellte nicht persönlich verfügbar ist.

Möglicherweise spielen die Betrüger auf das Mitgefühl oder den Wunsch nach Anerkennung ihrer Zielperson an. Sie könnten beispielsweise vorgeben, sich in einer persönlichen Notlage zu befinden und dringend finanzielle Hilfe zu benötigen, um Mitgefühl zu erwecken und die Zielperson dazu zu bringen, schnell zu handeln, um zu helfen.

Auch kann mit schwerwiegenden Folgen gedroht werden, wenn die Anfrage nicht umgehend erfüllt wird. Der Betrüger kann behaupten, dass die Nichtbefolgung seiner Anweisungen zu rechtlichen oder finanziellen Problemen für das Unternehmen führen könnte, oder könnte sogar mit persönlichen Konsequenzen für den Mitarbeiter drohen.

Sobald eine Zahlung durchgeführt wurde, ist es äußerst schwierig, das Geld wiederzuerlangen. CEO-Fraud-Angriffe werden oft von Tätern durchgeführt, die sich außerhalb der Gerichtsbarkeit des betroffenen Unternehmens befinden. Das Geld kann schnell über internationale Grenzen hinweg transferiert werden, was es äußerst kompliziert macht, die Täter zu identifizieren und rechtlich gegen sie vorzugehen.

Die Täter verwenden oft anonyme Online-Konten oder gefälschte Identitäten, um ihre Spuren zu verschleiern. Sie nutzen möglicherweise auch Kryptowährungen oder andere anonyme Zahlungsmethoden, um das Geld zu transferieren.

Obwohl einige Banken und Zahlungsdienstleister Maßnahmen ergreifen können, um betrügerische Trans­aktionen zu blockieren oder zurückzurufen, ist die Zusammenarbeit zwischen verschiedenen Banken und Ländern oft unzureichend. Selbst wenn das betroffene Unternehmen die Bank schnell über den Betrug informiert, ist es möglicherweise bereits zu spät, um die Transaktion zu stoppen oder das Geld zurück­zu­er­halten.

Insgesamt macht die Kombination aus internationaler Dimension, Anonymität der Täter, schneller Weiterleitung des gestohlenen Geldes und mangelnder Kooperation der Banken es äußerst schwierig, das Geld zurück­zu­erlangen, nachdem eine Zahlung im Rahmen von CEO-Fraud durchgeführt wurde.

Für Unternehmen, die Opfer eines CEO-Frauds geworden sind, ist es wichtig, schnell zu handeln, um die Chance auf eine Rückbuchung der Zahlung zu erhöhen und das Risiko weiterer Schäden zu minimieren.

Die Bank sollte unverzüglich über den Betrug informiert werden, insbesondere wenn die Zahlung noch nicht auf das Empfängerkonto gebucht wurde. Nur in diesem Fall besteht die Möglichkeit, dass die Zahlung zurück­ge­bucht wird. Unter Umständen kann die Bank auch bei bereits gebuchten Zahlungen versuchen, das Geld wiederzuerlangen, insbesondere wenn es noch nicht vom Empfänger abgehoben wurde.

Selbst wenn der Betrugsversuch abgewendet wurde, ist es wichtig, der Bank die Bankverbindung des Empfängers mitzuteilen. Dies kann bei weiteren Ermittlungen und Maßnahmen gegen den Betrüger hilfreich sein.

Um sich vor CEO-Fraud zu schützen, müssen Unternehmen proaktiv sein und robuste Sicherheitsmaßnahmen implementieren. Durch eine Kombination von Schulungen, Technologien und prozessualen Kontrollen können Unternehmen ihre Widerstandsfähigkeit gegen diese raffinierten Betrugsversuche stärken und ihre finanzielle Integrität schützen. 

Wichtige Maßnahmen sind:

CEO-Fraud bleibt eine ernsthafte Bedrohung für Unternehmen weltweit. Die raffinierten Taktiken und die fortschrittliche Technologie, die von den Betrügern eingesetzt werden, erfordern eine ständige Wachsamkeit und eine proaktive Herangehensweise an die Sicherheit. Durch Schulungen, Aufklärung und die Im­ple­men­tie­rung strenger interner Kontrollen können Unternehmen ihre Mitarbeiter besser auf potenzielle Betrugsversuche vorbereiten und die Risiken von CEO-Fraud minimieren. Es liegt an jedem Unternehmen, sich gegen diese Bedrohung zu schützen und sicherzustellen, dass das Vertrauen seiner Mitarbeiter und Kunden gewahrt bleibt.