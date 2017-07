Sicherheitsmaßnahmen, damit kein Geld mit der CEO-Fraud-Masche verschwindet Bild: Haufe Online Redaktion

Das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik warnen vor neuen Betrugsversuchen mittels des sogenannten CEO-Fraud (Fraud engl.: Betrug). Hierbei werden Entscheidungsträger in Unternehmen mittels E-Mails so manipuliert, dass sie vermeintlich im Auftrag der Geschäftsführung größere Geldbeträge überweisen, die auf diese Weise auf den Konten der Betrüger landen.

Die Masche mit den CEO-Betrügereien ist zwar nicht mehr ganz neu, dennoch sind Internet-Kriminelle hiermit immer noch recht erfolgreich.

Schon viel Unternehmen Opfer von CEO-Fraud-Betrug

Betroffen sind weltweit bereits zahlreiche Unternehmen, von Großkonzernen bis hin zu Mittelständlern, aber auch andere Einrichtungen wurden bereits zum Opfer dieser Masche.

Spektakulär war etwa ein erfolgreicher Angriff auf den Auto-Zulieferer Leoni, bei dem im letzten Jahr angeblich ein Schaden in einem höheren zweistelligen Millionenbereich entstanden ist.

Warnung vor E-Mail-Adresse

Bei der jüngsten Welle dieser Betrügereien, kommunizieren die Täter über eine bestimmte E-Mail-Adresse, auf die das Bundeskriminalamt jetzt aufmerksam macht.

Die betrügerischen E-Mails sind dabei nach dem Muster „VornameCEO.NachnameCEO@ceopvtmail.com“ aufgebaut.

Mail geht auch an Berufs- und Wohlfahrtsverbände

In diesen E-Mails sollen die Empfänger unter der Vorspiegelung falscher Tatsachen dazu gebracht werden, hohe Geldzahlungen durchzuführen. Neben Unternehmen wurden auch Berufs- und Wohlfahrtsverbände sowie Stiftungen bereits zum Ziel dieser Betrugsversuche. Das BKA warnt daher ausdrücklich davor, auf diese Aufforderungen einzugehen. Allein in den letzten Monaten sollen die Betrüger mit dieser Masche rund 5,6 Millionen Euro erbeutet haben.

BSI-Empfehlungen CEO-Fraud-Betrugsversuchen

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor diesen Betrugsversuchen. In einer Pressemitteilung verweist man etwa auf eine Liste mit 5.000 potenziellen Zielpersonen, die im Zuge von Ermittlungsverfahren gegen die organisierte Kriminalität in die Hände der Behörden geraten sind.

Informationen aus Unternehmens-Webseiten

Das BSI weist darauf hin, dass die Betrüger für ihre Angriffe oftmals auf öffentlich zugängliche Informationsquellen zurückgreifen. So nutzen sie etwa Informationen, die auf den Webseiten des Unternehmens veröffentlicht werden, verwenden aber auch Daten aus Online-Jobportalen und sozialen Netzwerken oder kommen über Telefonanrufe an Informationen, mit denen sie die Inhalte der E-Mails und den Stil der Kommunikation in den Unternehmen glaubwürdig nachahmen können.

Anti-Fraud-Handlungsempfehlungen

Um nicht zum Opfer derartiger Angriffe zu werden, gibt das BSI folgende Handlungsempfehlungen:

Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken.

des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken. Die Mitarbeiter sollten im Hinblick auf diese und andere IT-Gefahren ausreichend sensibilisiert und regemäßig geschult werden .

im Hinblick auf diese und andere IT-Gefahren ausreichend sensibilisiert und . Inhalte von E-Mails mit Zahlungsaufforderungen sollten auf Plausibilität geprüft und ihre Absenderangaben genau verifiziert werden.

sollten geprüft und ihre Absenderangaben genau verifiziert werden. Bei ungewöhnlichen Zahlungsaufforderungen sollten vor der Durchführung zusätzliche Kontrollmechanismen greifen.

sollten vor der Durchführung zusätzliche Kontrollmechanismen greifen. Zahlungsaufforderungen sollten auf anderen Kanälen (telefonisch oder schriftlich) verifiziert werden.

sollten (telefonisch oder schriftlich) verifiziert werden. Die Mitarbeiter sollten Vorgesetzte oder Geschäftsleitung über verdächtige E-Mails informieren.

Bald handelt es sich auch um Datenschutzverstößen

Ab Mai 2018 haben die geschädigten Unternehmen Strafen durch einen damit verbundenen Verstoß gegen die neue EU-Datenschutzgrundverordnung (DSGVO) zu befürchten. So haben Unternehmen ab Kenntnis von der Attacke maximal 72 Stunden Zeit, um diese und einen damit verbundenen Identitätsdiebstahl zu melden. Die mit einem solchen Verstoß einhergehenden Bußgelder können sich auf bis zu 10 Mio. Euro oder 2 % des Konzernumsatzes belaufen.