I. Bedeutung und typischer Ablauf

Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Dank frei verfügbaren Daten auf den Homepages oder Karriereportalen nutzen Cyberkriminelle zunehmend soziale Manipulation, um an die gewünschten Daten zu gelangen.

Was ist jedoch überhaupt unter dem Begriff „CEO-Fraud“, auch Chef-Trick genannt, zu verstehen? Hierbei handelt es sich um eine Internet-Betrugsmasche (Fraud), bei welcher die Täter eine falsche Identität, beispielsweise die des Geschäftsführers (CEO), verwenden, um Unternehmensmitarbeiter zur Preisgabe von Informationen zu verleiten und insbesondere dahingehend zu manipulieren, Finanztransaktionen zu Gunsten der Täter vorzunehmen. Durch die Vorspiegelung falscher Tatsachen versuchen die Täter, den jeweiligen Mitarbeiter dazu zu bringen, einen hohen Betrag auf Konten in asiatische oder osteuropäische Staaten zu überweisen. Klassische Beispiele sind die Behauptung, die Kontoverbindung habe sich geändert und das Geld des Firmenkontos müsse nun auf das neue Konto transferiert werden oder der Täter gibt sich als Systemadministrator aus und behauptet, infolge eines Systemfehlers das Passwort des Mitarbeiters zu benötigen. Auch die Vorspiegelung der Täter, man sei Anwalt der für das Unternehmen tätigen Kanzlei, ist eine denkbare Vorgehensweise - die möglichen Szenarien sind hierbei schier endlos.

Die Kontaktaufnahme erfolgt dabei in der Regel per Telefon oder E-Mail. Insbesondere bei letzterem Mittel sind dank der heutigen technischen Möglichkeiten die Unterschiede zwischen der originalen Mail-Adresse samt Signatur und Firmenlogo und der Fälschung kaum zu erkennen. Zum einen wird von Laien oft unterschätzt, wie einfach solche Fälschungen möglich sind, und zum anderen, wie gut die Täter vorbereitet sind. Dank wochenlanger Recherche ist es den Tätern möglich, sich umfassend über die internen Abläufe sowie die Zielpersonen zu informieren. Die jeweiligen Informationen, insbesondere Kontaktdaten, gewinnen die Täter dabei in der Regel durch frei zugängliche Informationen auf der Website der Unternehmen oder den entsprechenden Handelsregistereinträgen. Aber auch Karriereseiten wie LinkedIn sind eine gern genutzte Quelle, besonders im Hinblick auf Identitätsdiebstahl. Durch solch ein perfides wie geniales Vorgehen fällt die Masche in der Regel erst auf, wenn es bereits zu spät ist.

Dieses Phänomen ist jedoch keinesfalls neu. Bereits in den 1960er Jahren nutzte der weltweit bekannte Trickbetrüger Frank Abagnale die Manipulationsmethoden des Social Engineering. Was bereits damals funktionierte, ist nun dank Digitalisierung und globaler Vernetzung noch einfacher geworden.

Insbesondere jetzt in Zeiten von Covid-19 ist das Thema wieder brandaktuell. Denn das überwiegende Arbeiten im Home Office erfordert per se eine erhebliche Umstellung der im Büro etablierten Vorgänge und Abläufe, ganz abgesehen von IT-Sicherheitsaspekten, welche aus Praktikabilitätsgründen leider oft außer Acht gelassen werden.

II. Ausmaß

Erstmals warnte das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 vor dem damals noch recht unbekannten Phänomen des Enkeltricks 2.0 (siehe u.a. den jährlichen Bericht von 2016, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2016.html)

Für die Jahre 2016 und 2017 wird der bundesweite Schaden auf rund 55 Mio. Euro geschätzt, so die repräsentative Studie „Wirtschaftsschutz in der digitalen Welt“ des Digitalverbands Bitkom. Laut einer Studie der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers aus dem Jahr 2020 (PwC’s „Global Economic Crime and Fraud Survey 2020“, abrufbar unter www.pwc.de/de/consulting/forensic-services/wirtschaftskriminalitaet-ein-niemals-endender-kampf.pdf) waren zwischen den Jahren 2018 und 2020 weltweit fast die Hälfte der Unternehmen bereits von etwaigen Cyber-/Wirtschaftsdelikten betroffen - geschätzter Schaden: 42 Mrd. US-Dollar.

Waren ursprünglich nur Großkonzerne im Visier der Täter, sind in den letzten Jahren überwiegend umsatzstarke kleine und mittelständische Unternehmen betroffen. Im Gegensatz zu den Big Playern verfügen kleinere Unternehmen häufig nicht über entsprechende Compliance-Systeme und anderweitige Schutzmechanismen. So wie der MDAX-notierte Nürnberger Automobilzulieferer Leoni: Dieser wurde im Sommer 2016 Opfer des Chef-Tricks – und fiel auf die Masche der Betrüger rein. Insgesamt 40 Mio. Euro wurden auf 50 Konten in China und Hongkong transferiert. Die Täter gingen derart geschickt vor, dass dies erst nach 3 Wochen auffiel. Sie gaben sich als hochrangige Manager aus und wiesen per Mail die Überweisungen an, meist ein einstelliger Millionenbetrag.

III. Abhilfe?

Doch wie erkennt man einen solchen Betrugsversuch? Und wie kann man sich und das Unternehmen davor schützen, Opfer einer solchen Straftat zu werden?

Sensibilisierung der Mitarbeiter
Der größte Unsicherheitsfaktor ist der Mensch. Durch die täuschend echt wirkenden E-Mails fällt ein betrügerisches Vorhaben auf den ersten Blick kaum auf. Auch die Tatsache, dass Identitäten von real existierenden Mitarbeitern verwendet werden, erschwert das Erkennen eines solchen Straftatversuchs enorm. Zudem werden die Opfer in der Regel zusätzlich unter Zeitdruck gesetzt und/oder zur Verschwiegenheit aufgefordert mit Behauptungen wie, es handele sich um ein vertrauliches Projekt. Diese Praktiken zielen auf die Ausnutzung menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen oder Respekt vor Autoritäten.Hierdurch wird schnell ein Einfallstor für die kriminellen Machenschaften der Täter geschaffen. Fällt der Betrug auf, ist es meist bereits zu spät. Der effektivste Weg ist damit die Sensibilisierung der Mitarbeiter. Es gilt, den Mitarbeitern ein gewisses Gefahrenbewusstsein zu vermitteln. Kritisches Hinterfragen bei ungewöhnlichen Vorgängen ist nämlich die beste Prävention, um betrügerisches Handeln rechtzeitig zu entlarven.
Spezielle Schulungen der Mitarbeiter sind damit unerlässlich, um ein entsprechendes Bewusstsein für derartige Betrugsmaschen zu schaffen. Hierbei kommt es auf jeden einzelnen Mitarbeiter an, unabhängig von der Hierarchieebene im Unternehmen. Die Mitarbeiter müssen geschult werden, auch auf vermeintliche Kleinigkeiten zu achten, beispielsweise die genaue Absenderadresse. Zudem ist deutlich hervorzuheben, dass solche Betrugstaten oft über Wochen vorbereitet werden und bereits mit dem Ausspionieren beginnen.
Technische und organisatorische Vorkehrungen
Neben Mitarbeiterschulungen ist auch IT-Sicherheit eine wichtige Komponente beim Schutz vor Straftaten. Zunächst ist eine umfassende Analyse der internen Abstimmungs- sowie Zahlungsprozesse erforderlich, um mögliche Schwachstellen zu erkennen und anschließend zu beheben. Auch unter datenschutzrechtlichen Aspekten ist eine Prüfung der Unternehmensabläufe unerlässlich, um ein DSGVO-konformes Compliance-System zu entwickeln. Denn der resultierende Schaden infolge eines CEO-Fraud ist meist nicht nur finanzieller Natur - oft erhalten die Täter auch Zugang zu Mitarbeiter- oder Kundendaten, welche als personenbezogene Daten dem besonderen Schutz der DSGVO unterliegen. In diesem Zusammenhang ist auf die Folgen einer solchen Datenpanne hinzuweisen, nämlich die Pflicht, diese bei der jeweils zuständigen Aufsichtsbehörde zu melden sowie die Gefahr, ggf. mit einem empfindlichen Bußgeld sanktioniert zu werden.Im zweiten Schritt sollten interne Kontrollmaßnahmen, die Beteiligung von mindestens zwei Mitarbeitern an wichtigen Entscheidungen sowie klare Abwesenheitsregelungen entwickelt werden - denn je klarer die Vorgaben sind, umso geringer ist die Wahrscheinlichkeit, dass die Täter mit ihrer Betrugsmasche erfolgreich sind. Für Transaktionen ab einer gewissen Summe ist die Festlegung eines Freigabekonzepts in Form einer Zwei-Faktor-Authentifizierung ratsam, beispielsweise über die Mail mit der Zahlungsanweisung hinaus ein Anruf beim CEO.
Schließlich sollte die öffentliche Preisgabe von Informationen über das Unternehmen sorgfältig bedacht werden, sowohl seitens des Unternehmens als auch der einzelnen Mitarbeiter. Je weniger Informationen öffentlich verfügbar sind, umso unattraktiver ist das jeweilige Unternehmen für die Betrüger. Es gilt somit, sich auf das Notwendigste zu beschränken, um es den Tätern möglichst schwer zu machen, an die erforderlichen Daten zu gelangen.

IV. Fazit

Da die Täter im Bereich des Social Engineering auf die menschliche Schwäche der Unternehmensmitarbeiter setzen, sollte die Sensibilisierung und Schulung der Mitarbeiter oberste Priorität haben.

Hierfür bedarf es jedoch auch einer entsprechenden Unternehmenskultur. Denn nicht nur ein funktionierendes Compliance-System ist essentiell, sondern auch ein offener Umgang mit den Mitarbeitern und Kollegen. Rückfragen sollten nicht zu einem Schamgefühl des jeweiligen fragenden Mitarbeiters führen, sondern ernst genommen werden. Auch bei Fehlalarm sollte die Wachsamkeit des Kollegen geschätzt und auch so kommuniziert werden. Denn nur bei einem solchen Arbeitsklima, wenn Mitarbeiter sich auch trauen, ihre Zweifel auch an richtiger Stelle zu kommunizieren, können Straftaten wie die des CEO-Fraud verhindert und Risiken minimiert werden.

Hilfreiche Tipps zum Schutz gegen CEO Fraud

I. Bedeutung und typischer Ablauf

Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Dank frei verfügbaren Daten auf den Homepages oder Karriereportalen nutzen Cyberkriminelle zunehmend soziale Manipulation, um an die gewünschten Daten zu gelangen.

Was ist jedoch überhaupt unter dem Begriff „CEO-Fraud“, auch Chef-Trick genannt, zu verstehen? Hierbei handelt es sich um eine Internet-Betrugsmasche (Fraud), bei welcher die Täter eine falsche Identität, beispielsweise die des Geschäftsführers (CEO), verwenden, um Unternehmensmitarbeiter zur Preisgabe von Informationen zu verleiten und insbesondere dahingehend zu manipulieren, Finanztransaktionen zu Gunsten der Täter vorzunehmen. Durch die Vorspiegelung falscher Tatsachen versuchen die Täter, den jeweiligen Mitarbeiter dazu zu bringen, einen hohen Betrag auf Konten in asiatische oder osteuropäische Staaten zu überweisen. Klassische Beispiele sind die Behauptung, die Kontoverbindung habe sich geändert und das Geld des Firmenkontos müsse nun auf das neue Konto transferiert werden oder der Täter gibt sich als Systemadministrator aus und behauptet, infolge eines Systemfehlers das Passwort des Mitarbeiters zu benötigen. Auch die Vorspiegelung der Täter, man sei Anwalt der für das Unternehmen tätigen Kanzlei, ist eine denkbare Vorgehensweise - die möglichen Szenarien sind hierbei schier endlos.

Die Kontaktaufnahme erfolgt dabei in der Regel per Telefon oder E-Mail. Insbesondere bei letzterem Mittel sind dank der heutigen technischen Möglichkeiten die Unterschiede zwischen der originalen Mail-Adresse samt Signatur und Firmenlogo und der Fälschung kaum zu erkennen. Zum einen wird von Laien oft unterschätzt, wie einfach solche Fälschungen möglich sind, und zum anderen, wie gut die Täter vorbereitet sind. Dank wochenlanger Recherche ist es den Tätern möglich, sich umfassend über die internen Abläufe sowie die Zielpersonen zu informieren. Die jeweiligen Informationen, insbesondere Kontaktdaten, gewinnen die Täter dabei in der Regel durch frei zugängliche Informationen auf der Website der Unternehmen oder den entsprechenden Handelsregistereinträgen. Aber auch Karriereseiten wie LinkedIn sind eine gern genutzte Quelle, besonders im Hinblick auf Identitätsdiebstahl. Durch solch ein perfides wie geniales Vorgehen fällt die Masche in der Regel erst auf, wenn es bereits zu spät ist.

Dieses Phänomen ist jedoch keinesfalls neu. Bereits in den 1960er Jahren nutzte der weltweit bekannte Trickbetrüger Frank Abagnale die Manipulationsmethoden des Social Engineering. Was bereits damals funktionierte, ist nun dank Digitalisierung und globaler Vernetzung noch einfacher geworden.

Insbesondere jetzt in Zeiten von Covid-19 ist das Thema wieder brandaktuell. Denn das überwiegende Arbeiten im Home Office erfordert per se eine erhebliche Umstellung der im Büro etablierten Vorgänge und Abläufe, ganz abgesehen von IT-Sicherheitsaspekten, welche aus Praktikabilitätsgründen leider oft außer Acht gelassen werden.

II. Ausmaß

Erstmals warnte das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 vor dem damals noch recht unbekannten Phänomen des Enkeltricks 2.0 (siehe u.a. den jährlichen Bericht von 2016, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2016.html)

Für die Jahre 2016 und 2017 wird der bundesweite Schaden auf rund 55 Mio. Euro geschätzt, so die repräsentative Studie „Wirtschaftsschutz in der digitalen Welt“ des Digitalverbands Bitkom. Laut einer Studie der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers aus dem Jahr 2020 (PwC’s „Global Economic Crime and Fraud Survey 2020“, abrufbar unter www.pwc.de/de/consulting/forensic-services/wirtschaftskriminalitaet-ein-niemals-endender-kampf.pdf) waren zwischen den Jahren 2018 und 2020 weltweit fast die Hälfte der Unternehmen bereits von etwaigen Cyber-/Wirtschaftsdelikten betroffen - geschätzter Schaden: 42 Mrd. US-Dollar.

Waren ursprünglich nur Großkonzerne im Visier der Täter, sind in den letzten Jahren überwiegend umsatzstarke kleine und mittelständische Unternehmen betroffen. Im Gegensatz zu den Big Playern verfügen kleinere Unternehmen häufig nicht über entsprechende Compliance-Systeme und anderweitige Schutzmechanismen. So wie der MDAX-notierte Nürnberger Automobilzulieferer Leoni: Dieser wurde im Sommer 2016 Opfer des Chef-Tricks – und fiel auf die Masche der Betrüger rein. Insgesamt 40 Mio. Euro wurden auf 50 Konten in China und Hongkong transferiert. Die Täter gingen derart geschickt vor, dass dies erst nach 3 Wochen auffiel. Sie gaben sich als hochrangige Manager aus und wiesen per Mail die Überweisungen an, meist ein einstelliger Millionenbetrag.

III. Abhilfe?

Doch wie erkennt man einen solchen Betrugsversuch? Und wie kann man sich und das Unternehmen davor schützen, Opfer einer solchen Straftat zu werden?

Sensibilisierung der Mitarbeiter
Der größte Unsicherheitsfaktor ist der Mensch. Durch die täuschend echt wirkenden E-Mails fällt ein betrügerisches Vorhaben auf den ersten Blick kaum auf. Auch die Tatsache, dass Identitäten von real existierenden Mitarbeitern verwendet werden, erschwert das Erkennen eines solchen Straftatversuchs enorm. Zudem werden die Opfer in der Regel zusätzlich unter Zeitdruck gesetzt und/oder zur Verschwiegenheit aufgefordert mit Behauptungen wie, es handele sich um ein vertrauliches Projekt. Diese Praktiken zielen auf die Ausnutzung menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen oder Respekt vor Autoritäten.Hierdurch wird schnell ein Einfallstor für die kriminellen Machenschaften der Täter geschaffen. Fällt der Betrug auf, ist es meist bereits zu spät. Der effektivste Weg ist damit die Sensibilisierung der Mitarbeiter. Es gilt, den Mitarbeitern ein gewisses Gefahrenbewusstsein zu vermitteln. Kritisches Hinterfragen bei ungewöhnlichen Vorgängen ist nämlich die beste Prävention, um betrügerisches Handeln rechtzeitig zu entlarven.
Spezielle Schulungen der Mitarbeiter sind damit unerlässlich, um ein entsprechendes Bewusstsein für derartige Betrugsmaschen zu schaffen. Hierbei kommt es auf jeden einzelnen Mitarbeiter an, unabhängig von der Hierarchieebene im Unternehmen. Die Mitarbeiter müssen geschult werden, auch auf vermeintliche Kleinigkeiten zu achten, beispielsweise die genaue Absenderadresse. Zudem ist deutlich hervorzuheben, dass solche Betrugstaten oft über Wochen vorbereitet werden und bereits mit dem Ausspionieren beginnen.
Technische und organisatorische Vorkehrungen
Neben Mitarbeiterschulungen ist auch IT-Sicherheit eine wichtige Komponente beim Schutz vor Straftaten. Zunächst ist eine umfassende Analyse der internen Abstimmungs- sowie Zahlungsprozesse erforderlich, um mögliche Schwachstellen zu erkennen und anschließend zu beheben. Auch unter datenschutzrechtlichen Aspekten ist eine Prüfung der Unternehmensabläufe unerlässlich, um ein DSGVO-konformes Compliance-System zu entwickeln. Denn der resultierende Schaden infolge eines CEO-Fraud ist meist nicht nur finanzieller Natur - oft erhalten die Täter auch Zugang zu Mitarbeiter- oder Kundendaten, welche als personenbezogene Daten dem besonderen Schutz der DSGVO unterliegen. In diesem Zusammenhang ist auf die Folgen einer solchen Datenpanne hinzuweisen, nämlich die Pflicht, diese bei der jeweils zuständigen Aufsichtsbehörde zu melden sowie die Gefahr, ggf. mit einem empfindlichen Bußgeld sanktioniert zu werden.Im zweiten Schritt sollten interne Kontrollmaßnahmen, die Beteiligung von mindestens zwei Mitarbeitern an wichtigen Entscheidungen sowie klare Abwesenheitsregelungen entwickelt werden - denn je klarer die Vorgaben sind, umso geringer ist die Wahrscheinlichkeit, dass die Täter mit ihrer Betrugsmasche erfolgreich sind. Für Transaktionen ab einer gewissen Summe ist die Festlegung eines Freigabekonzepts in Form einer Zwei-Faktor-Authentifizierung ratsam, beispielsweise über die Mail mit der Zahlungsanweisung hinaus ein Anruf beim CEO.
Schließlich sollte die öffentliche Preisgabe von Informationen über das Unternehmen sorgfältig bedacht werden, sowohl seitens des Unternehmens als auch der einzelnen Mitarbeiter. Je weniger Informationen öffentlich verfügbar sind, umso unattraktiver ist das jeweilige Unternehmen für die Betrüger. Es gilt somit, sich auf das Notwendigste zu beschränken, um es den Tätern möglichst schwer zu machen, an die erforderlichen Daten zu gelangen.

IV. Fazit

Da die Täter im Bereich des Social Engineering auf die menschliche Schwäche der Unternehmensmitarbeiter setzen, sollte die Sensibilisierung und Schulung der Mitarbeiter oberste Priorität haben.

Hierfür bedarf es jedoch auch einer entsprechenden Unternehmenskultur. Denn nicht nur ein funktionierendes Compliance-System ist essentiell, sondern auch ein offener Umgang mit den Mitarbeitern und Kollegen. Rückfragen sollten nicht zu einem Schamgefühl des jeweiligen fragenden Mitarbeiters führen, sondern ernst genommen werden. Auch bei Fehlalarm sollte die Wachsamkeit des Kollegen geschätzt und auch so kommuniziert werden. Denn nur bei einem solchen Arbeitsklima, wenn Mitarbeiter sich auch trauen, ihre Zweifel auch an richtiger Stelle zu kommunizieren, können Straftaten wie die des CEO-Fraud verhindert und Risiken minimiert werden.