Zu den Hauptinhalten springen
27. November 2023

Warum und wie sollten Sie Ihre Mitarbeiter für „CEO-Fraud“ sensibilisieren?

Mit dieser auch als ‚Geschäftsführertrick‘ bekannten Masche wurden bereits sehr hohe Beträge aus Unternehmen entwendet – wobei es nie zu spät ist, sich gegen diese Bedrohungen zu wappnen. Wir haben uns dazu entschieden, sowohl unsere Experten, die in direktem Kontakt mit unseren Geschäftskunden stehen, wie auch unsere Datensicherheitsverantwortlichen hierzu zu befragen. Jean-Luc Bermes und Philippe Hennes vom Corporate Banking sowie Lars Weber, Information Security Officer bei Spuerkeess, geben hier Empfehlungen dazu, wie Sie sich besser vor diesen Bedrohungen schützen können. Viel Spaß beim Lesen!

Können Sie uns erklären, was unter „CEO-Fraud“ zu verstehen ist?

Es handelt sich um eine Form von Überweisungsbetrug. Dabei wird die Überweisung meist von den Mitarbeitern eines Unternehmens getätigt, ohne dass diese überhaupt erkennen können, dass sie einem Betrugsszenario zum Opfer gefallen sind. Hierzu manipuliert der Betrüger einen Mitarbeiter so, dass dieser schließlich eine Überweisung initiiert. Diese ungerechtfertigte Überweisung wird anschließend von anderen Mitarbeitern, die über eine Vollmacht für das Konto verfügen, wenn nicht gar von den Geschäftsführern des Unternehmens bestätigt und unterzeichnet. Es wird also eine Überweisung ausgelöst, die zwar legitim aussieht, es aber nicht ist.

Der Betrug läuft in zwei Phasen ab:

1. Informationssammlung

Die Betrüger werden alle Arten von Informationen über das Unternehmen, seine Chefs und Angestellten suchen, indem sie dessen Webseite wie auch die sozialen Netzwerke (z. B. LinkedIn-Profile) besuchen oder Informationen von Websites kaufen, die auf Business Intelligence spezialisiert sind. Anschließend stoßen sie auf intrusive Weise in die Privatsphäre des Unternehmens vor, indem sie unter Vorwänden Mitarbeiter kontaktieren, um ihnen weitere Informationen zu entlocken. Enthüllt beispielsweise eine Rezeptionistin einem Unbekannten, der einen Mitarbeiter telefonisch zu erreichen versucht, die Art (Urlaub oder krankheitsbedingte Fehlzeit) und die Dauer seiner Abwesenheit, so liefert sie möglicherweise einem Betrüger wertvolle Informationen.

Haben die Kriminellen ausreichend sensible Informationen zusammengetragen, so hecken sie ein glaubwürdiges Szenario aus, um sich ihrem Ziel zu nähern.

2. Manipulation

Mit einer gut durchdachten Strategie nehmen die Betrüger sodann per Telefon oder E-Mail Kontakt zu ihrer Zielperson auf, um sie zur Veranlassung von Zahlungen auf ein Konto mit einer geänderten Nummer zu verleiten. Hierbei betonen sie, dass es sich um eine überaus dringende und streng vertrauliche Ausnahmesituation handele. Oft wird zu einem mit Bedacht gewählten Zeitpunkt zu diesem Angriff übergegangen, etwa dann, wenn ein Vorgesetzter abwesend oder ein Geschäftspartner krankgeschrieben ist. So sind alle Voraussetzungen dafür gegeben, um die Zielperson dazu zu bewegen, der Aufforderung Folge zu leisten.

Betrüger können sich auch in ein E-Mail-Postfach einhacken, um Daten wie Adressbuchkontakte zu sammeln, Informationen aus dem Schriftverkehr als Aufhänger zu verwenden oder schlicht das e-Mail-Konto zur Kontaktaufnahme zu nutzen. So geben sie sich als den vermeintlichen Absender einer e-Mail aus und verwenden gefälschte Dokumente wie Überweisungsaufträge, Rechnungen etc. als Belege, um betrügerische Transaktionen auszulösen.

Es gibt auch klassischere Varianten, die auf dem Versand einer gefälschten Rechnung beruhen. Diese wird im Namen eines tatsächlichen Auftragnehmers des Unternehmens ausgestellt und in Papierform (Post) oder elektronisch (E-Mail) verschickt und unterscheidet sich nur in der geänderten Kontonummer von authentischen Rechnungen.

Welche Unternehmen stellen die Zielscheibe eines solchen Betrugs dar?

Betrug ist ein Thema, das von sämtlichen Unternehmen ernst genommen werden muss. Je komplexer und/oder geografisch verteilter die hierarchischen Strukturen eines Unternehmens sind, umso eher stellt dieses ein aus Sicht der Betrüger perfektes Opfer dar. Haben die Mitarbeiter eines Unternehmens nur wenig direkten Kontakt zu den Geschäftsführern, so kann dies das Risiko eines Überweisungsbetrugs sogar noch erhöhen.

Meist werden somit Unternehmen mit folgenden Merkmalen ins Visier genommen:

  • eine komplexe und/oder geografisch verstreute Struktur (Organisation und Hierarchie)

  • ein großes Netz aus Partnern und Zulieferern

  • eine geografisch vom Unternehmensbetrieb getrennte Direktion

  • wenig Direktkontakt zwischen Ausführenden und Führungskräften

Allerdings muss betont werden, dass sich kein Unternehmen – ob klein, mittelständisch oder groß – auf der sicheren Seite wiegen kann.

Welche Ratschläge geben Sie Unternehmen auf den Weg, die sich vor einem solchen „CEO-Fraud“ schützen möchten?

Zunächst lautet der beste Tipp, den wir Unternehmen geben können: SENSIBILISIEREN Sie Ihre Mitarbeiter, soweit es geht. Schließlich sind es die Angestellten, die das erste Einfallstor für den Geschäftsführertrick darstellen – unabhängig davon, wie groß ihre Berührungspunkte mit den Finanzprozessen im Unternehmen sind. So ist es wichtig, dass sich Führungskräfte, Verwaltungsmitarbeiter und alle Personen, die Zugang zur Kasse oder mit der Buchhaltung zu tun haben, der verschiedenen Betrugsvarianten bewusst sind.

Um sich vor Betrug zu schützen, wird jedem Unternehmen somit dringend Folgendes empfohlen:

Mitarbeiter für das Thema Betrug sensibilisieren

Mitarbeiter, die über die Arten der grassierenden Betrugsmaschen Bescheid wissen, sind für Ihr Unternehmen ein großer Vorteil. Denn Ihre Mitarbeiter sind die ersten, die bei dieser Art von Betrug ins Visier genommen werden. Deshalb ist es wichtig, dass sie jene Situationen erkennen, die ihnen seltsam oder ungewöhnlich erscheinen (Beispiel: Ein Lieferant versendet seine Rechnungen üblicherweise per Post, doch die letzte Rechnung ist per E-Mail eingetroffen). Derlei Situationen sollten hellhörig machen, wenn auf äußerste Dringlichkeit oder höchste Vertraulichkeit hingewiesen wird oder ein Vorgang ungewöhnlich ist.

Interne Kontrollverfahren einrichten

Allzu starre Verfahrenswege sind Ihnen womöglich ein Dorn im Auge. Dennoch sollten Sie sich darüber bewusst sein, dass sie im Hinblick auf Ihre Sicherheit ein echtes Betrugshindernis darstellen. Schon ein stringenter Freigabeprozess kann Sie besser vor betrügerischen Machenschaften schützen. Warum nicht zum Beispiel ein Verfahren mit verschiedenen Freigabeebenen einführen, von denen vielleicht eine zwingend dem Vieraugenprinzip unterliegen muss, um sicherzustellen, dass Rechnungen authentisch sind? Oder einfach eine begrenzte Liste mit Nummern von Girokonten führen, die als Empfänger zu verwenden sind, und für Änderungen dieser Liste ein internes Freigabeverfahren vorschreiben? Ebenso wichtig ist es, stets die Herkunft einer E-Mail zu überprüfen. Die Adresse oder der Absender einer E-Mail werden oft verschleiert. Wenngleich auf den ersten Blick alles in Ordnung zu sein scheint, ist bei genauerem Hinsehen zu erkennen, dass es sich um eine Nachahmung handelt, die mit der bereits bekannten Adresse nahezu übereinstimmt.

Schon mit diesen wenigen Möglichkeiten, die Kontrolle über Überweisungen zu verstärken, verfügen Sie über einen ersten Filter, der Fehler aus Unachtsamkeit zu vermeiden hilft. 

Im Zweifelsfall die Bank kontaktieren

Sobald eine Rechnung nicht mit früheren Rechnungen übereinzustimmen scheint (neues Bankkonto, unbekannte Telefonnummer etc.), ist die volle Aufmerksamkeit des Empfängers gefragt. Bestehen die Zweifel des Unternehmens an der Echtheit des Dokuments auch nach dieser Kontrolle fort, so empfiehlt es sich außerdem, sich an seinen Bankberater zu wenden, der seinerseits die Echtheit des Dokuments überprüfen kann. Der Bank wird es stets lieber sein, einem Betrugsrisiko vorzugreifen, als den Kunden darüber informieren zu müssen, dass er einem Betrug zum Opfer gefallen ist.

Ist von einer sehr dringenden und streng vertraulichen Transaktion die Rede, so ist höchste Wachsamkeit geboten!

Lars Weber

Und was ist zu tun, falls es zu spät ist?

Merkt ein Unternehmen, dass es einem Betrug aufgesessen ist, so muss es:

Umgehend seine Bank informieren

Die Bank wird daraufhin versuchen, jegliche Transaktionen zu sperren und ein „Call-Back“ durchzuführen, d. h. sie wird das Geld von der Bank des Empfängers zurückrufen, sofern es hierzu noch nicht zu spät ist.

Anzeige bei der Polizei erstatten

Wie bei jedem Diebstahl im Alltag muss ein Unternehmen, das Opfer eines Betrugs geworden ist, sofort bei der Polizei Anzeige erstatten. Diese wird ein Protokoll erstellen, von dem eine Kopie an die Bank weitergeleitet werden muss.

7 Regeln, die Sie im Zusammenhang mit „CEO-Fraud“ beachten müssen

1. Denken Sie daran, Ihre Mitarbeiter zu sensibilisieren, zu sensibilisieren und nochmals zu sensibilisieren.

2. Legen Sie höchste Wachsamkeit an den Tag, wenn es um dringende und strengstens vertrauliche Transaktionen mit hohen Summen geht.

3. Höchste Wachsamkeit ist auch angebracht, wenn Sie die Bankverbindung eines bestehenden Kunden oder Zulieferers ändern sollen.

4. Überprüfen Sie die Echtheit des Absenders und der Rechnungsdaten (Kontonummer, Telefonnummer, e-Mail-Adresse etc.).

5. Führen Sie für Transaktionen mit hohen Beträgen möglichst das Vieraugenprinzip ein.

6. Öffnen Sie keine zweifelhaften Anhänge.

7. Informieren Sie im Zweifelsfall Ihre Bank.

Möchten Sie mehr über das Thema erfahren?

Spuerkeess würde sich freuen, Sie zu seinem nächsten Workshop einladen zu dürfen. Um über das Datum informiert zu werden, füllen Sie bitte das folgende Formular aus.

Workshop: CEO-Fraud

Ich möchte über den nächsten Termin informiert werden

Format: e-mail@example.com

Lesen Sie auch

Zahlungen