CEO Fraud: BSI warnt vor möglicher Angriffswelle

BSI Bundesamt für Sichehrheit in der Informationstechnik (Bild: BSI)

Den Behörden fiel eine Liste mit 5000 Zielpersonen in die Hände. Bei CEO-Fraud werden mit oft erstaunlich guter Kenntnis der Abläufe in Firmen Mitarbeiter vemeintlich von einem höheren Vorgesetzten aufgefordert, hohe Geldbeträge zu überweisen. Das BKA berichtet von Millionenschäden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aus aktuellem Anlass vor der Betrugsmasche CEO Fraud gewarnt. Den Behörden sei bei Ermittlungen gegen die organisierte Kriminalität eine Liste mit rund 5000 potenziellen Zielpersonen in die Hände gefallen. Die Betroffenen wurden über die erhöhte Gefährdung informiert. Das BSI nimmt den Vorfall aber zum Anlass, auch noch einmal allgemeine Handlungsempfehlungen zu geben.

BSI Bundesamt für Sichehrheit in der Informationstechnik (Bild: BSI)

“CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen”, erklärt BSI-Präsident Arne Schönbohm in einer Pressemitteilung. “Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten.” Schönbohm empfiehlt Unternehmen, um ähnliche Betrugsversuche in Zukunft zu unterbinden, alle Mitarbeiter, die Zahlungen durchführen können, auf diese kriminelle Methode hinzuweisen und sie zu erhöhter Aufmerksamkeit anzuhalten.

Beim CEO-Betrug werden, oft nach ausführlicher Recherche in Sozialen Netzwerken oder dem längeren Mitluschen der E-Mail-Konversation in einem Unternehmen, Mitarbeiter, die auch größere Überweisungen auf fremde Konten durchführen können, gezielt angesprochen. Die Täter geben sich dabei als Führungskraft, beispielsweise Geschäftsführer (CEO) des Unternehmens aus. Sie weisen die Zahlungsberechtigten dann telefonisch oder per E-Mail – oft mit gespoofter E-Mail-Adresse zur Überweisung eines hohen Geldbetrags auf ein Konto im Ausland an.

CEO Fraud: Das Vorgehen der Betrüger

Typischerweise werden die Opfer unter Zeitdruck gesetzt und zur Verschwiegenheit gemahnt. Das wird meist damit begründet, dass es sich um ein dringendes Geheimprojekt handle, etwa die Übernahme einer Firma oder ähnliches. Oft werden die Mitarbeiter gezielt dann angegangen, wenn die Führungskraft, für die sich die Betrüger ausgeben oder direkte Vorgesetzte des Angesprochenen nicht erreichbar sind. Diese Information recherchieren die Betrüger oft in Sozialen Netzwerken oder haben sie ebenfalls aus dem zuvor angegriffenen E-Mail-System der Firma.

CEO Fraud-symbolbild (Bild: Eset)
Das BSI hat Firmen noch einmal eindringlich vor dem seit zwei Jahren zunehmenden, sogenannte “Insider Spoofing”, das auch als “CEO-Betrug” respektive CEO Fraud bekannt ist, gewarnt (Bild: Eset).

Damit ist für CEO Fraud ein hoher Aufwand im Vorfeld erforderlich. Der lohnt sich aber. Laut Bundeskriminalamt konnten Täter auf diese Weise in den vergangenen Monaten “mehrere Millionen Euro” erbeuten. Das FBI legte im Mai Zahlen zu CEO Fraud vor. Demnach wurden von Oktober 2013 bis Dezember 2016 der Behörde weltweit 40.203 derartiger Betrugsversuche bekannt. In den USA seien die Betrüger in über 22.000 Fällen erfolgreich gewesen, im Ausland in etwas über 2000 Fällen. Das FBI fasst in der Statistik dir früher getrennt aufgeführten Betrugsszenarien Business E-Mail Compromise (BEC) und E-Mail Account Compromise (EAC) aufgrund der sich annähernden Vorgehensweise der Betrüger zusammen und konstatiert einen Schaden von insgesamt 5 Milliarden Dollar.

CEO Fraud: Frühere Fahndungserfolge gegen Betrüger

Vor knapp einem Jahr hatte Interpol in Zusammenarbeit mit den IT-Security-Anbietern Trend Micro und Fortinet sowie lokalen Behörden in Nigeria den vermutlichen Anführer eines insgesamt 40 Personen umfassenden Betrügerrings verhaftet. Ihm wurde vorgeworfen, aus Malaysia, Nigeria und Südafrika heraus mit der Masche des CEO-Betrugs über 60 Millionen Dollar ergaunert zu haben.

Achtung (Bild: Shutterstock/aldorado
Das BKA gibt in einem Flyer Informationen über und Handlungsempfehlungen zum Schutz vor CEO Fraud (Bild: Shutterstock/aldorado)

Ins Visier der Angreifer geraten meist Mitarbeiter im Finanz- und Rechnungswesen mittlerer bis großer Unternehmen. Im Zuge von Ermittlungen gegen einen Mann aus Litauen wurde im April bekannt, dass offenbar auch Google und Facebook Opfer einer leicht abgewandelten Form dieser Betrugsmasche geworden sind: Dem Mann wird vorgeworfen, von den Konzernen von 2013 bis 2015 insgesamt rund 100 Millionen Dollar mit gefälschten Rechnungen für Computerkomponenten ergaunert zu haben.

Das BSI empfiehlt Unternehmen zum Schutz vor der Betrugsmasche CEO Fraud, öffentliche Kontaktdaten auf der Firmenwebseite möglichst auf allgemeine Kontaktadressen zu beschränken. Vor der Durchführung ungewöhnlicher Zahlungsanweisungen sollten zudem Kontrollmechanismen greifen. Weitere Informationen und Handlungsempfehlungen gibt das BKA in einem zum Download bereitstehenden Flyer (PDF).

CEO Fraud nimmt seit 2015 stark zu

Die Betrugsmasche wird seit 2015 immer häufiger beobachtet. Damals wurden in einem Fall sogar 5 Millionen Euro überwiesen. Dazu rief eine Person, die sich als Buchhalter eines deutschen Konzerns ausgab, in der französischen Zweigniederlassung an und erklärte in Englisch mit deutschem Akzent, dass das Projekt strengster Geheimhaltung unterliege. Eine von der französischen Buchhalterin eingeforderte Unterschrift wurde prompt per Fax nachgeliefert. Auch eine weitere Unterschrift des Chefs der Buchhaltung wurde so zur Verfügung gestellt. Die Betrüger hatten sich also vorher genauestens über die Abläufe in der Firma informiert und vorbereitet.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Der Versicherer Euler Hermes informiert seitdem auf einer eigenen Seite über das Phänomen: “Häufig werden gezielt Mitarbeiter in ausländischen Niederlassungen des Unternehmens angesprochen. Das erschwert den Mitarbeitern die persönliche Kontaktaufnahme mit den verantwortlichen Organen im Unternehmen, von denen die vermeintlichen Anweisungen kommen”, heißt es dort.

Der Versicherer rät, klare Prozesse und Zuständigkeiten und bei größeren Beträgen – falls möglich – ein Vieraugenprinzip einzuführen. Beim Rückruf oder der Rückversicherung per Mail sollten die Kontaktdaten nicht aus der vermeintlich vom Chef abgesendeten, verdächtigen Mail entnommen werden.

Auch die Unternehmensberatung Deloitte informiert schon länger zu dem Thema. Demnach geben sich die Betrüger auch als Rechtsanwälte oder Berater aus.


In einem Video bei Youtube erklärt Trend Micro die Betrugsmasche CEO Fraud, die auch als Business E-Mail Compromise (BEC) bezeichnet wird.

[mit Material von Bernd Kling, ZDNet.de]