CEO Fraud: So schützen sich und Ihr Unternehmen

Tipps, Beispiele und weitere Gefahren für Sie.

Diese Art Trickbetrug ist auch als „Fake-President-Fraud“ bekannt und richtet große Schäden an. Betrüger:innen geben sich als Teil des Unternehmens (z. B. Geschäftsführer:in) aus. Per E-Mail oder Fax bitten Mitarbeiter:innen Sie, eine dringende Überweisung zu veranlassen. Im Vorfeld sind die Täter:innen meist an firmeninterne Daten gelangt und kennen die Organisationsstrukturen. Mit diesem Wissen geben sie vor, ihre Anweisung käme von höchster Stelle. Von der vermeintlichen Wichtigkeit zugleich geschmeichelt und unter Druck gesetzt, führt der:die arglose Mitarbeiter:in die Zahlung aus. Der entstehende Schaden geht nicht selten in die Millionen.

Was Sie über CEO-Fraud wissen sollten:

Der:die Täter:in ...

… gibt vor, es handle sich um eine höchst geheime und vertrauliche Angelegenheit, von der strategische Weichenstellungen abhängen.
… gibt sich als Führungskraft aus (z. B. Vorstandsmitglied, Inhaber:in).
… besitzt genaue Kenntnis von:

- Firmen- und Führungsstruktur

- handelnden Personen im Finanzbereich
… veranlasst eine:n dazu berechtigte:n Mitarbeiter:in, eine dringende Überweisung auszuführen:

- Beauftragung direkt durch den „CEO“

- Transfers hoher Geldbeträge ins Ausland

Das Opfer im Unternehmen ...

... fühlt sich an die Weisung aufgrund der „höchsten Geheimhaltungsstufe“ gebunden.
… erhält vom „CEO“ Zahlungsaufträge, etwa für eine angeblich „streng geheime“ Akquisition:

- Personen mit Handlungsberechtigung werden gezielt angesprochen

- dies wirkt als Vertrauensbeweis

- es vermittelt Dringlichkeit

- und verhindert Rückfragen
… schöpft keinen Verdacht, da der „CEO“ Interna kennt und diese im Gespräch geschickt nutzt.
… wird per Telefon/Fax und E-Mail kontaktiert (einfach zu fälschen/verschleiern/hacken).

So schützen Sie Ihr Unternehmen:

Schaffen Sie klare Abläufe und Zuständigkeiten.
Informieren Sie alle Mitarbeiter:innen über diese Betrugsmasche.
Alle Änderungen von Kontoverbindungen sollten immer gegengeprüft werden.
Im Falle eines Betrugs/-versuchs informieren Sie sofort die Polizei und uns.
Seien Sie sich der Gefahren bewusst!
Informieren Sie sich über neue Bedrohungen und schärfen Sie das Sicherheitsbewusstsein aller Mitarbeiter:innen.

Treffen Sie Informations- und IT-Sicherheitsmaßnahmen.
Sorgen Sie für technische Sicherheit, z. B. mit Virenschutz und Firewalls.
Setzen Sie Rollen- und Berechtigungskonzepte, Zugriffs- und Zutrittskontrollkonzepte ein.
Schränken Sie Berechtigungen auf das Nötigste ein.
Etablieren Sie Kontrollsysteme (4-Augen-Prinzip).
Seien Sie stets wachsam!
Fragen Sie beim vermeintlichen Auftraggeber/Absender einer E-Mail nach, wenn der Auftrag Ihnen verdächtig vorkommt.
Wählen Sie dafür einen alternativen Kommunikationsweg (z. B. die bekannte Telefonnummer).
Seien Sie besonders vorsichtig bei E-Mails von unbekannten Absender:innen mit Anhängen oder Links – sie können Schadsoftware enthalten.
Seien Sie vorsichtig mit der Veröffentlichung von Informationen im Internet.
Betrüger:innen nutzen soziale Netzwerke, geben Sie dort keine wichtigen Informationen preis.
Wählen Sie sichere Passwörter.
Passwörter sollten lang, komplex und nicht einfach zu erraten sein. Nutzen Sie für unterschiedliche Dienste unterschiedliche Passwörter.
Nutzen Sie Ihre dienstlichen E-Mail-Adressen oder Passwörter nicht für privat genutzte Online-Dienste.
Online-Dienste werden häufig attackiert. Dort verwendete E-Mail-Adressen und Passwörter können für Angriffe missbraucht werden.
Nutzen Sie öffentliche/private Computer nicht dienstlich.
Öffentliche/private Computer können manipuliert sein und Datendiebstahl ermöglichen.

HVB-Sicherheit-Unternehmen-Social-Engineering (PDF, 4.99 MB)

Weitere Hinweise

Auch vor diesen Betrugsmethoden müssen Sie gewarnt sein:

„Payment Diversion“

Der:die Täter:in ...

... gibt sich als Geschäftspartner:in oder Lieferant:in aus und teilt mit, seine Bankverbindung hätte sich geändert.
… sendet eine vermeintlich echte E-Mail mit angeblicher Korrektur der Bankverbindung.
… sendet diese Mail oft unmittelbar folgend auf eine echte Mail zu einer erwarteten Rechnung vom realen Absendenden, nachdem dessen Mailserver gehackt worden ist.
… benutzt auch Fax, Brief (auf echten Briefbögen echter Lieferant:innen) als Einfallstore.

Das Opfer im Unternehmen ...

… (Mitarbeiter:in Buchhaltung/Rechnungswesen/Finanzen) erhält eine E-Mail mit Mitteilung zur Änderung der Bankverbindung.
… soll durch diese Manipulation den betrügerischen Zahlungsvorgang selbst auslösen.
… überweist den oftmals sehr hohen Geldbetrag in der Regel ins Ausland.
… kann nur schwer einen Überweisungsrückruf durchführen, weil das Ziel des Geldtransfers oft z. B. in Südostasien liegt.

„Fake Payments“

Der:die Täter...

… findet durch Social Engineering die richtigen Ansprechpartner:innen im Unternehmen.
… sendet vorab eine falsche Rechnung. Inhalt und Leistung können dabei einer üblichen Rechnung entsprechen.
… schickt die Rechnung per E-Mail oder Post. Teilweise wird Briefpapier realer Lieferant:innen verwendet.
… sendet oft kurzfristig eine Mahnung und setzt das Opfer durch einen Anruf zusätzlich unter Druck.
… legt oft gefälschte Aufträge als Rechnungsgrundlage mit veröffentlichten Faksimiles der Managements (z. B. aus Bilanzen) vor.

Das Opfer im Unternehmen...

… (Mitarbeiter:in Buchhaltung/Rechnungswesen/Finanzen) erhält eine gefälschte Rechnung.
… soll mittels Manipulation den betrügerischen Zahlungsvorgang selbst auslösen.
… überweist den oftmals sehr hohen Geldbetrag in der Regel ins Ausland.
… kann nur schwer einen Überweisungsrückruf durchführen, weil das Ziel des Geldtransfers oft in anderen Ländern liegt, wie z.B. in Südostasien.
Die Betrugsmethode Fake Payment ähnelt dem „Payment Diversion“.

Scheckbetrug durch „Überzahlschecks“

Der:die Täter ...

... meldet sich als vermeintliche:r Käufer:in aus dem Ausland; es kommt zum Geschäftsabschluss.
Der:die Betrüger:in überweist das Geld aber nicht, sondern schickt einen Auslandsscheck mit der Post, der im Regelfall über eine höhere Summe ausgestellt ist, als die Ware kostet.
Kurz danach wird der:die Empfänger:in (Kund:in) über den angeblichen Irrtum per E-Mail oder Brief informiert.
Unter anderem entschuldigt der:die Betrüger:in, das zum Beispiel mit einem Fehler seiner Sekretär:in und bittet den:der Verkäufer:in, ihm die Differenz per Überweisung auf ein Konto oder über einen Geldtransfer-Anbieter wie zum Beispiel Western Union zurückzuzahlen.

Das Opfer im Unternehmen ...

... glaubt an Warengeschäft und vertraut dem vermeintliche:n Käufer:in.
... erhält gefälschten Scheck über eine höhere Summe als den Warengegenwert.
... soll den „zu viel" bezahlten Betrag zurück überweisen und somit auch wieder den Zahlungsvorgang selbst auslösen.
Nach Überweisung bzw. Zahlung via z. B. Western Union wird der Auslandsscheck mit dem Vermerk „gefälscht" oder „mangels Deckung" nicht eingelöst.

Geschäfte schnell, sicher und komfortabel abwickeln.

Unsere Spezialist:innen analysieren Ihren individuellen Bedarf und schneidern daraus eine eBanking-Lösung. Diese bietet Ihnen maximale Sicherheit, ist leicht zu bedienen und vor allem offen für künftige Erweiterungen. Unabhängig davon, ob es um Transaktionen, Kontoinformationen oder bargeldlose Zahlungsabwicklung geht.

Zu den eBanking-Lösungen

Vertrauensschaden-Versicherung

Neue Technik, neue Gefahr: Cyberkriminalität hat sich für Unternehmen zu einer wachsenden Bedrohung entwickelt. Mit dem Schutz vor Veruntreuung können Sie sich zuverlässig gegen diese Risiken absichern.

Zu unserem Kooperationspartner Euler Hermes

Zurück zur Übersicht

Sie haben eine Frage? Wir stehen Ihnen zur Verfügung.

Persönliche Beratung

Schreiben Sie uns Ihre Nachricht.