CEO Fraud

Beim sogen­n­anten «CEO Fraud» han­delt es sich um eine per­fide Betrugs­ma­sche. Hierbei werden Mit­ar­bei­tende eines Unter­neh­mens mit direkter Zah­lungs­er­mäch­ti­gung, per E-Mail von einer vor­ge­setzten Person ange­wiesen, eine Zah­lung an eine bestimmte Adresse sofort aus­zu­lösen. In Wahr­heit ist der Absender jedoch vor­ge­täuscht – dahinter ver­birgt sich ein Betrüger.

Sicheres Ver­halten der Mitarbeitenden

Wenn eine vor­ge­setzte Person Sie per E-Mail zur Aus­lö­sung einer sofor­tigen Zah­lung auf­for­dert, die nicht ange­kün­digt bezie­hungs­weise vorher nicht bekannt war, ist erhöhte Vor­sicht ange­bracht. In sol­chen unge­wöhn­li­chen Fällen ist es ratsam, die Legi­ti­mität des Auf­trags genauer abzu­klären, z. B. indem Sie all­fällig vor­han­dene Sicher­heits­ele­mente wie E-Mail-Signa­turen (digi­tale Unter­schrift) prüfen. In jedem Fall sollten Sie die vor­ge­setzte Person direkt (per­sön­lich oder zumin­dest per Telefon) kon­tak­tieren und abklären, ob die Zah­lung tat­säch­lich aus­ge­führt werden soll.

Treffen Sie als Unter­nehmen Vorkehrungen

Mit­ar­bei­tenden-Sen­si­bi­li­sie­rung

Der Ver­sand sol­cher betrü­ge­ri­schen E-Mails lässt sich mit tech­ni­schen Mass­nahmen etwas ein­dämmen, jedoch nie ganz ver­hin­dern. Die Betrüger wech­seln ständig ihre Adresse und ver­schleiern damit ihre Iden­tität und Her­kunft. Zudem gelingt es ihnen mit­unter auch, das echte E-Mail-Konto der vor­ge­setzten Person für ihre Zwecke zu missbrauchen.

Die wich­tigste Mass­nahme zur Vor­beu­gung ist des­halb die Sen­si­bi­li­sie­rung der Mit­ar­bei­tenden in den von diesem Betrug am stärksten betrof­fenen Abtei­lungen, wie z.B. der Finanzbuchhaltung.

Online-Infor­ma­tionen

Zum Starten eines «CEO Frauds» benö­tigt der Angreifer als Erstes ent­spre­chende Aus­künfte über die Firma und deren Mit­ar­bei­tenden. Oft geben die Fir­men­web­site oder das Han­dels­re­gister bereits genü­gend Infor­ma­tionen preis. Aus­serdem sind soziale Netz­werke (wie z.B. Lin­kedIn oder Xing) für Betrüger inter­es­sant, weil dort Infor­ma­tionen über geschäft­liche Bezie­hungen oder die Iden­tität und Funk­tion von Mit­ar­bei­tenden zu finden sind. Kon­trol­lieren Sie des­halb, welche Infor­ma­tionen über Ihre Firma und Ihre Mit­ar­bei­tenden online zugäng­lich sind und schränken Sie diese soweit mög­lich ein.

Zah­lungs­frei­ga­be­pro­zess

Der eigent­liche Betrug pas­siert durch die Über­wei­sung der Zah­lung. In der Regel erfolgt diese auf ein aus­län­di­sches Bank­konto, von wel­chem das Geld dann schnell auf andere Konten wei­ter­ge­leitet wird. Um solche fälsch­li­chen Zah­lungen zu ver­hin­dern, emp­fiehlt es sich, einen strikten Zah­lungs­frei­ga­be­pro­zess mit Kon­troll­punkten zu eta­blieren – am besten mit­tels des Vier­au­gen­prin­zips mit Kol­lek­tiv­un­ter­schrift. So ist die Chance wesent­lich grösser, dass min­des­tens eine der beiden frei­ge­benden Per­sonen den Betrug erkennt und dadurch ver­hin­dern kann.

Ver­wen­dung von E-Mail-Signaturen

Der «CEO Fraud» mani­pu­liert den Zah­lung­pro­zess, indem er den legi­timen Absender des Zah­lungs­auf­trags vor­täuscht (soge­nanntes E-Mail-Spoofing).

Die ein­fachste Vari­ante davon ist das Fäl­schen der E-Mail-Absen­der­adresse. Davor bietet eine E-Mail-Signatur (digi­tale Unter­schrift), welche nur vom echten Absender kor­rekt ange­bracht werden kann, einen guten Schutz. Aller­dings ist dieses Ver­fahren relativ auf­wändig zu imple­men­tieren und bedingt zudem, dass die Signatur beim Emp­fänger ent­spre­chend über­prüft wird.

Gra­vie­render ist der Miss­brauch des echten (gehackten) E-Mail-Kontos des Absen­ders, z.B. infolge eines vor­gängig erfolg­reich durch­ge­führten Phis­hing-Angriffs. Hierbei kann sogar die E-Mail-Signatur miss­braucht werden. In diesem Fall helfen ein strikter Zah­lungs­frei­ga­be­pro­zess und die Sen­si­bi­li­sie­rung aller invol­vierten Personen.