CEO-Fraud: Was ist das und wie schützen sich Firmen?

Wenn sich Betrüger als Chef ausgeben, ist der Schaden schnell passiert. Erfahren Sie, was CEO-Fraud bedeutet und wie sich Unternehmen vor dieser gefährlichen Betrugsmasche schützen.

Was ist CEO-Fraud? – Definition

Übersetzen lässt sich CEO-Fraud mit Chef-Betrug (CEO = Chief Executive Officer). Dabei handelt es sich um eine Betrugsmasche, die sich Internet-Kriminelle zunutze machen, um Angestellte dazu zu bringen, hohe Geldsummen zu überweisen.

Die Cyber-Kriminellen geben sich als Chef ihrer Angestellten aus, indem sie eine E-Mail an diese verschicken, in der ihnen vorgespielt wird, sie käme direkt vom Chef. In der Mail wird meist Druck aufgebaut, dass schnelles Handeln notwendig sei und der/die Angesprochene unverzüglich Geld auf ein Konto überweisen solle. Zur Geheimhaltung werden die Angesprochenen ebenfalls häufig verpflichtet, um Rückfragen zu vermeiden.

Im Vorfeld haben sich die Täter schon gut über das Unternehmen informiert, kennen die Organisationsstrukturen, und wissen, welche Mitarbeitenden Zugriff und Befugnisse auf Geschäftskonten haben.

Beliebte Informationsquellen sind dabei Wirtschaftsberichte des Unternehmens, die Unternehmenswebseite, Broschüren, sowie die sozialen Netzwerke, in denen die Angestellten ihre Position im Unternehmen öffentlich gemacht haben. Gezielt werden dann Angestellte per Mail kontaktiert, die sehr persönlich formuliert ist, sodass sie tatsächlich aussieht, als käme sie direkt vom Chef.

CEO-Fraud ist eine Variante des Social Engineerings, bei der nicht Computersysteme gehackt, sondern Menschen manipuliert werden, um eine bestimmte Tätigkeit auszuführen.

Aus technischer Sicht wird diese Betrugsmasche dem sogenannten Spear-Phishing zugeordnet, bei dem nur eine einzige Person, oder ein kleiner Personenkreis gezielt per Mail kontaktiert wird.

Welche Arten von CEO-Fraud gibt es?

Es gibt zwei Varianten, wie die Kriminellen üblicherweise mit ihrer Zielperson in Kontakt treten:

  • Name Spoofing
    Der Angreifer nutzt den Namen des Chefs und gibt sich als diesen aus, nutzt jedoch eine andere E-Mail-Adresse (z.B. wird vorgegaukelt, dass es sich um die private E-Mail-Adresse des Chefs handelt).
  • Name und E-Mail Spoofing
    Der Angreifer gibt sich als Chef aus und nutzt zudem auch die korrekte Geschäfts-E-Mail-Adresse des Chefs. Hierbei wird die Antwort der Kontaktperson dann an eine andere Antwortadresse weitergeleitet und nicht an die Absenderadresse.

Wie erkennt man den CEO-Betrug?

Das Perfide am CEO-Betrug ist, dass die Täter absolut professionell vorgehen und sich sehr viel Mühe geben, dass ihre E-Mail authentisch wirkt. Nichtsahnende Angestellte sind deswegen leichte Opfer.
Gefälschte E-Mails lassen sich jedoch mit etwas Übung und einem wachsamen Auge oft enttarnen.

Achten Sie dabei auf folgende Indizien, die auf eine CEO-Fraud-Mail hindeuten können:

  • Absenderadresse hat leichte Abweichungen von der Original-Adresse, z.B. max.mustermann@xyz-gmbh.de anstatt max.mustermann@xyzgmbh.de.
  • Prüft man den Domain-Namen (im obigen Beispiel xyz-gmbh.de), handelt es sich meist um eine erst kürzlich registrierte Domain.
  • Die Mail ruft zum Geldüberweisen auf.
  • Die Zielperson wird zur Geheimhaltung verpflichtet.
  • Es wird zeitlicher Druck aufgebaut.

Beachten Sie:
Die oben genannten Punkte sind lediglich einige wenige Erkennungsmerkmale. Es müssen auch nicht alle Punkte erfüllt sein, damit sich eine CEO-Fraud-Mail als solche qualifiziert.

CEO-Betrug: Maßnahmen für Unternehmen

Wie alle Betrüger, die Social Engineering-Methoden nutzen, handeln Kriminelle beim CEO-Fraud gemäß dem Motto: „Amateure hacken Systeme, Profis hacken Menschen.“ Technisch lässt sich solchen Betrugsmaßnahmen deswegen wenig entgegensetzen.

Umso wichtiger ist deshalb die Sensibilisierung Ihrer Mitarbeitenden zu diesem Thema, und das Schaffen von klaren Richtlinien, wie intern kommuniziert wird:

  • Schulen Sie Ihre Angestellten zum Thema Cyber-Security regelmäßig. So werden sie cyber-fit.
  • Etablieren Sie eine Sicherheitskultur in Ihrem Unternehmen.
  • Schaffen Sie klare Prozesse und Zuständigkeiten (an wen wende ich mich wann und wie).
  • Vereinbaren Sie einen alternativen Kommunikationsweg bei Abwesenheit, an den sich alle zu halten haben.
  • Achten Sie darauf, welche Informationen über Ihr Unternehmen Sie öffentlich machen (z.B. sollte ein Organigramm niemals öffentlich einsehbar sein).
  • Fördern Sie eine offene Unternehmenskultur und Kommunikation (Ihre Angestellten sollen im Zweifelsfall lieber noch einmal nachfragen, als blind einer Aufforderung zu folgen).
  • Sichern Sie Finanztransaktionen durch Freigabeprozesse ab, indem mindestens eine weitere Person in den Prozess mit eingebunden wird.

Wenn Angestellte eine Mail mit einer Zahlungsanweisung erhalten, sollten sie vor dem Tätigen der Zahlung Folgendes durchführen:

  • Überprüfen der E-Mail-Adresse (gibt es leichte Abweichungen in der Schreibweise oder beim Namen des Absenders?).
  • Mit dem vermeintlichen Auftraggeber telefonisch Rücksprache halten.
  • Vorgesetzten bzw. Geschäftsleitung informieren (auch, wenn die Mail zur Geheimhaltung aufruft).

Die Sensibilisierung der Angestellten schützt Unternehmen vor CEO-Fraud

Im digitalen Zeitalter findet die Geschäftskommunikation hauptsächlich über E-Mails statt. Deswegen ist es für jeden einzelnen Mitarbeitenden im Unternehmen wichtig, über Cyber-Security-Gefahren Bescheid zu wissen.

Um die Mitarbeitenden für CEO-Fraud und seine Gefahren zu sensibilisieren, empfehlen sich Security Awareness Kampagnen. Idealerweise beinhalten diese Kampagnen eine theoretische und eine praxisbezogene Komponente.

Security Awareness: Der beste Schutz ist Prävention

  • Per Online-Training oder E-Learning bekommen Ihre Mitarbeitenden das theoretische Wissen rund um CEO-Fraud und andere Betrugsmaschen vermittelt. Das Wissen kann im Anschluss per Quiz getestet und verfestigt werden.
  • In einem simulierten Phishing-Angriff (Phishing-Tests) werden Ihre Angestellten dann mit realistischen Szenarios konfrontiert. Das Erlernte kann dann realitätsnah angewendet werden. Der Vorteil einer solchen Phishing-Simulation ist, dass dabei kein Schaden entsteht, und dennoch das Gefährdungspotenzial aufzeigt.

Sind diese Programme langfristig und über einen längeren Zeitraum angelegt, erzielen Unternehmen den größten Schutz vor Cyber-Angriffen.
Sie bauen Ihre Belegschaft zur Human Firewall auf und minimieren dadurch maßgeblich das Risiko Opfer eines Angriffs zu werden.

Mit Security Awareness Maßnahmen hat CEO-Fraud keine Chance mehr

Wissen Sie, ob Ihre Mitarbeiter einen CEO-Fraud erkennen? Wir können es Ihnen sagen! Nutzen Sie unsere Expertise als IT-Security Dienstleister für ein Plus an IT-Sicherheit!

Als Cyber-Security-Dienstleister finden wir gemeinsam mit Ihnen das effektivste Vorgehen, um Ihre Mitarbeiter langfristig und nachhaltig für Cyber-Angriffe zu sensibilisieren.

Gratis Phishing-Test anfragen

Fragen Sie bei uns einen kostenlosen simulierten Phishing-Test an. Und testen Sie selbst, ob Ihre Mitarbeitenden auf einen Chef-Betrug hereinfallen.

Webinar Security Awareness_Phishing Test

Wir kämpfen für Ihre IT-Sicherheit

Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.

  • +49 (0)8106 3980060