Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Dank frei verfügbaren Daten auf den Homepages oder Karriereportalen nutzen Cyberkriminelle zunehmend soziale Manipulation, um an die gewünschten Daten zu gelangen.
Was ist jedoch überhaupt unter dem Begriff „CEO-Fraud“, auch Chef-Trick genannt, zu verstehen? Hierbei handelt es sich um eine Internet-Betrugsmasche (Fraud), bei welcher die Täter eine falsche Identität, beispielsweise die des Geschäftsführers (CEO), verwenden, um Unternehmensmitarbeiter zur Preisgabe von Informationen zu verleiten und insbesondere dahingehend zu manipulieren, Finanztransaktionen zu Gunsten der Täter vorzunehmen. Durch die Vorspiegelung falscher Tatsachen versuchen die Täter, den jeweiligen Mitarbeiter dazu zu bringen, einen hohen Betrag auf Konten in asiatische oder osteuropäische Staaten zu überweisen. Klassische Beispiele sind die Behauptung, die Kontoverbindung habe sich geändert und das Geld des Firmenkontos müsse nun auf das neue Konto transferiert werden oder der Täter gibt sich als Systemadministrator aus und behauptet, infolge eines Systemfehlers das Passwort des Mitarbeiters zu benötigen. Auch die Vorspiegelung der Täter, man sei Anwalt der für das Unternehmen tätigen Kanzlei, ist eine denkbare Vorgehensweise - die möglichen Szenarien sind hierbei schier endlos.
Die Kontaktaufnahme erfolgt dabei in der Regel per Telefon oder E-Mail. Insbesondere bei letzterem Mittel sind dank der heutigen technischen Möglichkeiten die Unterschiede zwischen der originalen Mail-Adresse samt Signatur und Firmenlogo und der Fälschung kaum zu erkennen. Zum einen wird von Laien oft unterschätzt, wie einfach solche Fälschungen möglich sind, und zum anderen, wie gut die Täter vorbereitet sind. Dank wochenlanger Recherche ist es den Tätern möglich, sich umfassend über die internen Abläufe sowie die Zielpersonen zu informieren. Die jeweiligen Informationen, insbesondere Kontaktdaten, gewinnen die Täter dabei in der Regel durch frei zugängliche Informationen auf der Website der Unternehmen oder den entsprechenden Handelsregistereinträgen. Aber auch Karriereseiten wie LinkedIn sind eine gern genutzte Quelle, besonders im Hinblick auf Identitätsdiebstahl. Durch solch ein perfides wie geniales Vorgehen fällt die Masche in der Regel erst auf, wenn es bereits zu spät ist.
Dieses Phänomen ist jedoch keinesfalls neu. Bereits in den 1960er Jahren nutzte der weltweit bekannte Trickbetrüger Frank Abagnale die Manipulationsmethoden des Social Engineering. Was bereits damals funktionierte, ist nun dank Digitalisierung und globaler Vernetzung noch einfacher geworden.
Insbesondere jetzt in Zeiten von Covid-19 ist das Thema wieder brandaktuell. Denn das überwiegende Arbeiten im Home Office erfordert per se eine erhebliche Umstellung der im Büro etablierten Vorgänge und Abläufe, ganz abgesehen von IT-Sicherheitsaspekten, welche aus Praktikabilitätsgründen leider oft außer Acht gelassen werden.
Erstmals warnte das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 vor dem damals noch recht unbekannten Phänomen des Enkeltricks 2.0 (siehe u.a. den jährlichen Bericht von 2016, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2016.html)
Für die Jahre 2016 und 2017 wird der bundesweite Schaden auf rund 55 Mio. Euro geschätzt, so die repräsentative Studie „Wirtschaftsschutz in der digitalen Welt“ des Digitalverbands Bitkom. Laut einer Studie der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers aus dem Jahr 2020 (PwC’s „Global Economic Crime and Fraud Survey 2020“, abrufbar unter www.pwc.de/de/consulting/forensic-services/wirtschaftskriminalitaet-ein-niemals-endender-kampf.pdf) waren zwischen den Jahren 2018 und 2020 weltweit fast die Hälfte der Unternehmen bereits von etwaigen Cyber-/Wirtschaftsdelikten betroffen - geschätzter Schaden: 42 Mrd. US-Dollar.
Waren ursprünglich nur Großkonzerne im Visier der Täter, sind in den letzten Jahren überwiegend umsatzstarke kleine und mittelständische Unternehmen betroffen. Im Gegensatz zu den Big Playern verfügen kleinere Unternehmen häufig nicht über entsprechende Compliance-Systeme und anderweitige Schutzmechanismen. So wie der MDAX-notierte Nürnberger Automobilzulieferer Leoni: Dieser wurde im Sommer 2016 Opfer des Chef-Tricks – und fiel auf die Masche der Betrüger rein. Insgesamt 40 Mio. Euro wurden auf 50 Konten in China und Hongkong transferiert. Die Täter gingen derart geschickt vor, dass dies erst nach 3 Wochen auffiel. Sie gaben sich als hochrangige Manager aus und wiesen per Mail die Überweisungen an, meist ein einstelliger Millionenbetrag.
Doch wie erkennt man einen solchen Betrugsversuch? Und wie kann man sich und das Unternehmen davor schützen, Opfer einer solchen Straftat zu werden?
Da die Täter im Bereich des Social Engineering auf die menschliche Schwäche der Unternehmensmitarbeiter setzen, sollte die Sensibilisierung und Schulung der Mitarbeiter oberste Priorität haben.
Hierfür bedarf es jedoch auch einer entsprechenden Unternehmenskultur. Denn nicht nur ein funktionierendes Compliance-System ist essentiell, sondern auch ein offener Umgang mit den Mitarbeitern und Kollegen. Rückfragen sollten nicht zu einem Schamgefühl des jeweiligen fragenden Mitarbeiters führen, sondern ernst genommen werden. Auch bei Fehlalarm sollte die Wachsamkeit des Kollegen geschätzt und auch so kommuniziert werden. Denn nur bei einem solchen Arbeitsklima, wenn Mitarbeiter sich auch trauen, ihre Zweifel auch an richtiger Stelle zu kommunizieren, können Straftaten wie die des CEO-Fraud verhindert und Risiken minimiert werden.