Wenn das Geld plötzlich weg ist

Foto: pathdoc | AdobeStock

Nach einer erfolgreichen CEO Fraud-Attacke ist das Geld plötzlich weg. Denn beim CEO Fraud gibt sich der Betrüger per E-Mail als Chef aus und veranlasst eine Banküberweisung. Durch vorheriges ausgiebiges Recherchieren ist die Vorgehensweise dann so professionell, dass es nicht verwunderlich ist, wenn Kolleginnen und Kollegen darauf hereinfallen. Hinzu kommt die glaubhafte Formulierung, gespickt mit Schmeichelei, Druck und Forderung nach Geheimhaltung. Mit solchen täuschend echt wirkenden E-Mails wird die Schwachstelle „Mensch“ erfolgreich ausgenutzt. Dabei sind besonders Unternehmen gefährdet, in denen die Mitarbeiter sich nicht trauen, Entscheidungen von Chef anzuzweifeln oder Widerspruch zu äußern.

Ein Beispiel aus der Praxis

Ein Mitarbeiter bekommt scheinbar vom Chef eine E-Mail mit dem Hinweis auf eine angebliche Firmenübernahme. Aufgrund strengster Vertraulichkeit soll die Kommunikation ausschließlich per E-Mail stattfinden. Schließlich endet der Betrug erfolgreich mit der Überweisung eines hohen Geldbetrag auf ein Bankkonto in China oder Hongkong.

So ähnlich wie im Beispiel hat es wahrscheinlich auch bei dem Flugzeugkomponentenhersteller FAAC vor etwa drei Jahren stattgefunden. Dabei betrug der Schaden 50 Millionen Euro und der Aktienkurs ging auf Talfahrt. Wahrscheinlich jeder kennt die Redensart: „Wer den Schaden hat, braucht für den Spott nicht zu sorgen.“ Aufgrund des befürchteten Imageschadens erscheinen die meisten Betrugsfälle nicht in der Öffentlichkeit.

Im Gegensatz zu Massen-E-Mails wird der einzelne Mitarbeitende gezielt angesprochen. Damit rutschen solche gefakten E-Mails in der Regel durch den Spam-Filter. Genauso wie betrügerische E-Mails, in denen sich die Gauner als rechtmäßige Lieferanten ausgeben.

Was Sie im worst case tun können

Leider können Sie nicht mehr viel tun. Fällt Ihnen der Betrug erst nach der Überweisung auf, sollten Sie sich jedoch umgehend an das Bundeskriminalamt (BKA) wenden. Mit viel Glück und Schnelligkeit kann möglicherweise verhindert werden, dass das Geld bei den Kriminellen ankommt.

Was Sie vorher tun können

  • Informieren Sie Ihre Mitarbeitenden über das CEO Fraud und andere Tricks der Cyber-Kriminellen. Starten Sie ein nachhaltiges Awareness-Programm, um Ihre Beschäftigten immer wieder für das Thema IT-Sicherheit zu sensibilisieren.
  • Führen Sie verbindliche Prozesse ein, wie zum Beispiel eine telefonische Rückversicherung beim CEO/Geschäftsführer ab einem bestimmten Geldbetrag.
  • Bitten Sie Ihre Beschäftigten um Datensparsamkeit im Internet und in den sozialen Medien. Keine Details über Arbeitgeber, Abteilungszugehörigkeit, Aufgaben oder Geschäftsreisen.
  • Denken Sie über eine Signatur aller E-Mails per S/MIME oder PGP nach.