Startseite Navigation Inhalt Kontakt Sitemap Suche

CEO Fraud

Beim sogen­n­anten «CEO Fraud» han­delt es sich um eine per­fide Betrugs­ma­sche. Hierbei werden Mit­ar­bei­tende eines Unter­neh­mens mit direkter Zah­lungs­er­mäch­ti­gung, per E-Mail von einer vor­ge­setzten Person ange­wiesen, eine Zah­lung an eine bestimmte Adresse sofort aus­zu­lösen. In Wahr­heit ist der Absender jedoch vor­ge­täuscht – dahinter ver­birgt sich ein Betrüger.

Wich­tigste Merk­punkte für Mitarbeitende:

  • Geben Sie bei unge­wöhn­li­chen oder zwei­fel­haften Kon­takt­auf­nahmen keine Infor­ma­tion preis und befolgen Sie keine Anwei­sungen, auch wenn Sie unter Druck gesetzt werden.
  • Lassen Sie sich solche Zah­lungs­auf­for­de­rungen vor der Aus­füh­rung von der vor­ge­setzten Person über einen anderen Kanal direkt bestä­tigen (per­sön­lich oder per Telefon).
  • Achten Sie auf allen­falls feh­lende oder nicht kor­rekte Sicher­heits­ele­mente wie E-Mail-Signa­turen.

Wich­tigste Merk­punkte für Unternehmen:

  • Sen­si­bi­li­sieren Sie Ihre Mit­ar­bei­tenden bezüg­lich dieser Betrugsart.
  • Kon­trol­lieren Sie, welche Infor­ma­tionen über Ihr Unter­nehmen online zugäng­lich sind und schränken Sie diese wo mög­lich und sinn­voll ein.
  • Defi­nieren und imple­men­tieren Sie einen Zah­lungs­frei­ga­be­pro­zess mit­tels Vier­au­gen­prinzip mit Kollektivunterschrift.
  • Melden Sie solche Betrugs­ver­suche umge­hend der Polizei.
  • Prüfen Sie die Ver­wen­dung von erwei­terten Sicher­heits­ele­menten wie E-Mail-Signa­turen in kri­ti­schen Geschäfts­pro­zessen (Zah­lungs­pro­zess).

Sicheres Ver­halten der Mitarbeitenden

Wenn eine vor­ge­setzte Person Sie per E-Mail zur Aus­lö­sung einer sofor­tigen Zah­lung auf­for­dert, die nicht ange­kün­digt bezie­hungs­weise vorher nicht bekannt war, ist erhöhte Vor­sicht ange­bracht. In sol­chen unge­wöhn­li­chen Fällen ist es ratsam, die Legi­ti­mität des Auf­trags genauer abzu­klären, z. B. indem Sie all­fällig vor­han­dene Sicher­heits­ele­mente wie E-Mail-Signa­turen (digi­tale Unter­schrift) prüfen. In jedem Fall sollten Sie die vor­ge­setzte Person direkt (per­sön­lich oder zumin­dest per Telefon) kon­tak­tieren und abklären, ob die Zah­lung tat­säch­lich aus­ge­führt werden soll.

Treffen Sie als Unter­nehmen Vorkehrungen

Mit­ar­bei­tenden-Sen­si­bi­li­sie­rung

Der Ver­sand sol­cher betrü­ge­ri­schen E-Mails lässt sich mit tech­ni­schen Mass­nahmen etwas ein­dämmen, jedoch nie ganz ver­hin­dern. Die Betrüger wech­seln ständig ihre Adresse und ver­schleiern damit ihre Iden­tität und Her­kunft. Zudem gelingt es ihnen mit­unter auch, das echte E-Mail-Konto der vor­ge­setzten Person für ihre Zwecke zu missbrauchen.

Die wich­tigste Mass­nahme zur Vor­beu­gung ist des­halb die Sen­si­bi­li­sie­rung der Mit­ar­bei­tenden in den von diesem Betrug am stärksten betrof­fenen Abtei­lungen, wie z.B. der Finanzbuchhaltung.

Online-Infor­ma­tionen

Zum Starten eines «CEO Frauds» benö­tigt der Angreifer als Erstes ent­spre­chende Aus­künfte über die Firma und deren Mit­ar­bei­tenden. Oft geben die Fir­men­web­site oder das Han­dels­re­gister bereits genü­gend Infor­ma­tionen preis. Aus­serdem sind soziale Netz­werke (wie z.B. Lin­kedIn oder Xing) für Betrüger inter­es­sant, weil dort Infor­ma­tionen über geschäft­liche Bezie­hungen oder die Iden­tität und Funk­tion von Mit­ar­bei­tenden zu finden sind. Kon­trol­lieren Sie des­halb, welche Infor­ma­tionen über Ihre Firma und Ihre Mit­ar­bei­tenden online zugäng­lich sind und schränken Sie diese soweit mög­lich ein.

Zah­lungs­frei­ga­be­pro­zess

Der eigent­liche Betrug pas­siert durch die Über­wei­sung der Zah­lung. In der Regel erfolgt diese auf ein aus­län­di­sches Bank­konto, von wel­chem das Geld dann schnell auf andere Konten wei­ter­ge­leitet wird. Um solche fälsch­li­chen Zah­lungen zu ver­hin­dern, emp­fiehlt es sich, einen strikten Zah­lungs­frei­ga­be­pro­zess mit Kon­troll­punkten zu eta­blieren – am besten mit­tels des Vier­au­gen­prin­zips mit Kol­lek­tiv­un­ter­schrift. So ist die Chance wesent­lich grösser, dass min­des­tens eine der beiden frei­ge­benden Per­sonen den Betrug erkennt und dadurch ver­hin­dern kann.

Ver­wen­dung von E-Mail-Signaturen

Der «CEO Fraud» mani­pu­liert den Zah­lung­pro­zess, indem er den legi­timen Absender des Zah­lungs­auf­trags vor­täuscht (soge­nanntes E-Mail-Spoofing).

Die ein­fachste Vari­ante davon ist das Fäl­schen der E-Mail-Absen­der­adresse. Davor bietet eine E-Mail-Signatur (digi­tale Unter­schrift), welche nur vom echten Absender kor­rekt ange­bracht werden kann, einen guten Schutz. Aller­dings ist dieses Ver­fahren relativ auf­wändig zu imple­men­tieren und bedingt zudem, dass die Signatur beim Emp­fänger ent­spre­chend über­prüft wird.

Gra­vie­render ist der Miss­brauch des echten (gehackten) E-Mail-Kontos des Absen­ders, z.B. infolge eines vor­gängig erfolg­reich durch­ge­führten Phis­hing-Angriffs. Hierbei kann sogar die E-Mail-Signatur miss­braucht werden. In diesem Fall helfen ein strikter Zah­lungs­frei­ga­be­pro­zess und die Sen­si­bi­li­sie­rung aller invol­vierten Personen.

Bei der Betrugs­ma­sche «CEO Fraud» (auch CEO Betrug oder Chef Betrug genannt) geben sich Angreifer als CEO (Chef) eines Unter­neh­mens aus und weisen Mit­ar­bei­tende mit Zah­lungs­er­mäch­ti­gung an, kurz­fristig die Über­wei­sung einer grös­seren Geld­summe auszulösen.

«CEO» steht für Chief Exe­cu­tive Officer und bedeutet sinn­ge­mäss Geschäfts­führer, «Fraud» ist das eng­li­sche Wort für Betrug.

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen