Achtung vor CEO-Fraud

Vor neuer Betrugsmasche ist Vorsicht geboten

Beim CEO-Fraud geben sich Kriminelle u.a. als Geschäftsführer (CEO) des angegriffenen Unternehmens aus und weisen einen Mitarbeiter des Unternehmens an, einen größeren Geldbetrag ins Ausland zu überweisen.

Es werden dabei Informationen genutzt, die Unternehmen in Wirtschaftsberichten, im Handelsregister, auf der Homepage oder in Broschüren veröffentlicht haben. Auch wird versucht, über geschicktes Ausfragen (sog. Social Engineering) von anderen Mitarbeitern an Informationen zu gelangen. Dabei liegt der Fokus in erster Linie auf den Angaben zu Geschäftspartnern und ggf. Ausführungen zu zukünftigen Investitionen. Bei den Mitarbeitern werden zusätzlich soziale Netzwerke ausspioniert, um an persönliche Informationen zu gelangen, die Auskunft über die Funktion und die Tätigkeit des Mitarbeiters im Unternehmen geben.

Wurden ausreichende Informationen gesammelt, erfolgt die Kontaktaufnahme mit dem ausspionierten Mitarbeiter und die Täter geben sich als hochrangige Angestellte, Geschäftsführer oder -partner der Firma aus.

In diesem Zusammenhang veranlassen diese z.B. den Mitarbeiter mit Hinweis auf eine angebliche Firmenübernahme oder eine neue Bankverbindung eine Überweisung eines hohen Betrages in den asiatischen Raum oder nach Osteuropa durchzuführen. Dabei werden in erster Linie E-Mail oder das Telefon genutzt.

Angelehnt an die Empfehlungen des Bundeskriminalamtes (BKA) sollte folgendes beachtet werden:

  • Bedenken Sie, welche Informationen Sie im Internet von Ihrem Unternehmen veröffentlichen
  • Sensibilisieren Sie Ihre Mitarbeiter, welche Daten diese über sich, Ihr Unternehmen und über deren Tätigkeiten und Funktionen in Ihrer Firma publizieren
  • Informieren Sie Ihre Mitarbeiter über die Form dieser Bedrohungsmöglichkeit
  • Definieren Sie eindeutige Vertretungsregelungen und Kontrollmechanismen
  • Bei außergewöhnlichen Anweisungen zur Zahlung eines Geldbetrages sollten zusätzlich folgende interne Kontrollmechanismen installiert werden:
    • Pflicht zur Information des Mitarbeiters an die Geschäftsleitung
    • Pflicht zur Verifizierung der Zahlungsanforderung durch telefonischen Rückruf bzw. schriftlich
    • Pflicht zur Überprüfung der eingegangenen E-Mail auf den Schreibstil und auf die korrekte Absenderadresse
pfeil nach oben