2022 / Awareness / Betrugsmasche

CEO-Fraud in Deutschland: Warum die Betrugsmasche auch Ihr Unternehmen treffen kann

Veröffentlicht am

Der CEO-Fraud ist eine Bedrohung für KMUs und Konzerne. Das Wort “Fraud” ist Englisch und bedeutet übersetzt nichts anderes als Betrug. CEO-Fraud oder im Deutschen auch ganz einfach Chef-Betrug, ist eine Masche, die zuletzt immer größere Verbreitung gefunden hat. Im Kern geht es darum, den Chef eines Unternehmens geschickt zu manipulieren oder sich gar als dieser auszugeben, um so Zugang zu sensiblen Bereichen, Dateien oder Unternehmenswerten zu erhalten.

Zuletzt waren es vorwiegend die Deepfakes, die beim Thema CEO-Fraud eine tragende Rolle spielten. Angreifer wurden dabei immer dreister, Betrüger immer skrupelloser und so ist CEO-Fraud mittlerweile ein ernst zu nehmendes und realistisches Sicherheitsrisiko für Unternehmen geworden. Mit der Hilfe von Call-ID-Spoofing wird er Betrug fast perfekt.

Wie Angreifer dabei vorgehen, welche Maschen es im Detail gibt, wie groß die Gefahr wirklich ist und wie Sie den CEO-Fraud in Ihrem Unternehmen effektiv verhindern können, darum geht es in unserem heutigen Beitrag.

Die reale Gefahr von CEO-Fraud in Deutschland

Zunächst einmal ist CEO-Fraud nichts, was nur im Krimi am Abend vorkommt. Schon vor vielen Jahren warnte die Polizei in NRW beispielsweise davor, dass die Fälle sich plötzlich verdoppelt hatten. Mehrere Millionen Euro ergaunerten die verschiedenen Betrüger mit der CEO-Fraud Masche und machten es Strafverfolgern zunehmend schwer.

Interessant dabei ist, dass die Polizei ebenso davor warnt, dass auch kleine und mittelständische Unternehmen zum Angriffsziel werden können. Waren es zunächst nur die ganz großen und oft international tätigen Firmen, sind es inzwischen gezielt auch Kleinunternehmer. Kein Wunder eigentlich, denn zu holen ist auch hier eine Menge, wobei das Risiko und die Sicherheitsbarrieren meist unweigerlich geringer als bei den Top-Konzernen ausfallen.

Weil kleine Unternehmen oft kein umfangreiches Compliance Management System besitzen und beim Thema Sicherheit gerne den ein oder anderen Euro Einsparungen, bilden sie sogar das ideale Angriffsziel für eine Strategie wie CEO-Fraud. Mit wenig Aufwand werden auf diese Weise große Summen abgezweigt. Weil das immer wieder funktioniert, steigen die Zahlen im Bereich CEO-Fraud und sorgen für immer mehr geschädigte Unternehmen und Unternehmer.

So funktioniert der Trick mittels CEO-Fraud in Unternehmen

Der Betrug selbst ist denkbar einfach und doch ziemlich ausgefeilt. CEO-Fraud kommt von CEO, also dem Chief Executive Officer. Das ist international gesehen gewissermaßen der Geschäftsführer. Mittels Social Engineering, also der Schwachstelle Mensch, soll hier Geld abgezweigt werden.

Betrüger sammeln zunächst einmal zahlreiche Informationen. Über das Unternehmen selbst, dessen Mitarbeiter und interne Abläufe und Prozesse, die in der Firma üblich sind. Wissen die Täter nahezu alles über das Tagesgeschäft, beginnt der eigentliche Betrug. Sie rufen als der vermeintliche Geschäftsführer in der Buchhaltung an, schicken entsprechend manipulierte E-Mails, Rechnungen oder nutzen sogar Deepfakes für gefälschte Videoanrufe.

Bei einem CEO-Fraud dreht es sich allgemein auch nicht immer um den namensgebenden CEO. Im Grunde kann jeder Entscheidungsträger ein Opfer von diesem Betrug werden. Es geht schließlich nur darum, sich als Vorgesetzter auszugeben, der eine entsprechende Befugnis und Position innehat, um Gelder zu überweisen oder Daten zu übermitteln. Das Prinzip der Masche ist somit ebenso einfach, wie auch wirkungsvoll.

Wie sie den Betrug erkennen und verhindern können

Es ist äußerst schwierig, eine Methode wie den CEO-Fraud zu verhindern. Betrüger fühlen sich lange Zeit in das Unternehmen ein, wissen, wie Mitarbeiter ticken, spielen die Rolle des Chefs meist sehr glaubwürdig und autoritär. Verhindern ist also gar nicht unbedingt das Ziel, sondern eher die Mitarbeiter für derartige Angriffe zu sensibilisieren.

Mitarbeiter sollten auch dem Chef mal widersprechen dürfen. Fühlen diese sich autoritär behandelt, werden sie auch im Falle von CEO-Fraud nicht zeitnah reagieren oder Ihre vermeintliche Anweisung bewusst missachten. Es ist aber bedeutungsvoll, dass Mitarbeiter in Bezug auf die Sicherheit sensibilisiert werden. E-Mails gilt es immer, nicht nur manchmal, genau zu prüfen. Anweisungen müssen hinterfragt und nicht gedankenlos ausgeführt werden. Speziell bei Finanztransaktionen sollte es in Ihrem Unternehmen zudem eine doppelte Sicherheitsebene, eine Art Netz geben, um sich vor böswilligen Betrügern zu schützen.

Dabei ist die Sensibilisierung der Mitarbeiter aber das A und O. Wenn jeder weiß, dass es derartige CEO-Fraud Angriffe geben kann, auch bei kleinen und mittelständischen Unternehmen, wird ein Bewusstsein dafür entstehen. Ein entsprechendes Compliance Management System wird außerdem dabei helfen, solche versteckten Betrügereien weitestgehend zu vermeiden. Aufmerksame und geschulte Mitarbeiter sind hier jedoch das beste, was einem Unternehmen zur Verfügung steht, um CEO-Fraud zu verhindern.

CEO-Fraud muss ernst genommen werden

Der Hauptgrund, warum Betrüger mit Maschen wie CEO-Fraud durchkommen, ist der, dass niemand mit solchen scheinheiligen Betrügereien rechnet. Genau da liegt das Problem. Mitarbeiter müssen wissen, dass so etwas real existiert und auch stattfindet, also nicht nur Teil eines Krimis im Abendprogramm ist. Die CEOs der Unternehmen aber ebenfalls.

Sicherheit kostet dabei nämlich immer Geld, erfordert oft externe Mitarbeiter, Weiterbildungen, Schulungen und ist zudem häufig kompliziert umzusetzen. Die E-Mail einfach zu beantworten ist immerhin einfacher, als deren Echtheit erst noch zu hinterfragen und zu prüfen, wer genau der Absender ist. Die Bitte vom Chef eine Überweisung zu tätigen, scheint meist sinnvoller, als ihn danach zu fragen, ob er sich verifizieren kann.

Doch genau das ist notwendig, um einen Betrug zu verhindern oder sogar zu vereiteln. CEO-Fraud ist in Deutschland zu einem ernsten Thema geworden und findet immer wieder statt. Lassen Sie es in Ihrem Unternehmen daher gar nicht erst so weit kommen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.