Handbuch CEO Fraud

Betrug mit der Chef-Masche & Business email compromise (BEC)

Betrüger nutzen eine Reihe von Methoden, um Unternehmen und andere Organisationen mit falschen Identitäten zu betrügen und um große Summen zu schädigen. Die nachfolgende Übersicht dokumentiert verschiedene Varianten und erläutert Vorgehensweisen.

Zielgruppe: Unternehmer, Geschäftsführer, Prozess-Verantwortliche

Überweisung von Geld durch Unternehmen

Betrüger schlüpfen in die Identität des Geschäftsführers und verleiten damit einen Angestellten aus der Buchhaltung, hohe Geldbeträge auf Konten der Betrüger zu überweisen. Als Legende wird oft eine wichtige und streng vertraulich zu behandelnde Transaktion wie die Akquisition eines anderen Unternehmens aufgebaut. Dies begünstigt den Betrug auf mehrere Arten: Bei solchen Transaktionen geht es auch in realen Fällen um große Summen. Es schmeichelt dem Angestellten, dass er in eine so wichtige Transaktion eingebunden ist, was seine Kooperation fördern dürfte. Und die zu wahrende Vertraulichkeit schafft für den Angestellten eine Hürde bei der Klärung, ob der Sachverhalt korrekt ist, da er laut Anweisung des „Chefs“ niemanden im Unternehmen einweihen darf.

Um den notwendigen Kontext zu schaffen, werden Unternehmen und Mitarbeiter im Vorfeld ausführlich ausgeforscht. Dazu werden vielfältige Quellen genutzt, z.B. öffentlich zugängliche Unternehmensinformationen und Beiträge in sozialen Medien. Nutzbringende Informationen können aber auch mit gezielten vorbereitenden Aktionen beschafft werden, bei denen Social Engineering oder ebenfalls die Chef-Masche genutzt wird, jedoch noch ohne die Warnschwelle eines Geldtransfers zu überschreiten. Dabei könnten sich Betrüger beispielsweise unter der Identität des Chefs Informationen über vergangene Zahlungen zusenden lassen, um typische Empfänger, Beträge und Verwendungszwecke kennenzulernen. Besonders ergiebig dürften Informationen aus vorherigen Cyber-Angriffen sein, bei denen man aus Mails sehr viel über aktuelle Vorgänge, Prozesse, Umgangston uvm. lernen kann, um dann ausgestattet mit viel internem Wissen die Chef-Rolle perfekt annehmen zu können.

Unternehmen:

In Deutschland, Österreich und der Schweiz dürften hauptsächlich mittlere Unternehmen für diese Art von Betrug anfällig sein. Einerseits müssen sie so groß sein, dass sich die relevanten Rollen nicht kennen bzw. nicht permanent in Kontakt stehen. Auf der anderen Seite dürfen die Prozesse noch nicht so bürokratisch wie in Großkonzernen sein.

Begünstigend dürften sich stark hierarchische bzw. patriarchalisch Unternehmenskulturen auswirken, in denen Vorgänge und Entscheidungen den Mitarbeitern nicht erläutert werden. Somit sind es die Mitarbeiter gewohnt, Dinge zu tun, die für sie nicht nachvollziehbar sind und können so die Plausibilität von betrügerischen Anweisungen viel schwerer beurteilen.

Große Unternehmen haben in der Regel strikte interne Controls, um Betrug zu verhindern. Daraus resultieren Prozesse, die bürokratisch erscheinen, aber hier den positiven Effekt haben, dass überstürzte Überweisungen durch eine einzelne Person selten vorkommen dürften. Außerdem gehen Mitarbeiter lieber auf „Nummer Sicher“ und müssen aufgrund der Strukturen in großen Unternehmen weniger Konsequenzen fürchten, auch wenn sie gegenüber Autoritäten auf die Einhaltung von Prozessen bestehen.

Bei kleinen Unternehmen ist dagegen das relevante Team so klein und steht fortlaufend in so engem Kontakt, dass es kaum möglich ist, einer einzelnen Person eine andere firmeninterne Identität vorzuspielen.

Ein interessantes Ziel dürften auch ausländische Niederlassungen von Unternehmen jeder Größe sein. Zur räumlichen Entfernung kommt hier die kulturelle Distanz hinzu, die die Wirkung von Autoritäten begünstigen kann und Rückfragen verhindert.

Merkmale:

Als Legende wird oft eine streng vertrauliche zu haltende Transaktion verwendet
→ Hürde bei der Klärung der Richtigkeit

Als Legende wird eine wichtige Transaktion verwendet
→ Der Mitarbeiter fühlt sich durch seine Beteiligung aufgewertet, was ihn zur Zusammenarbeit motiviert

Vorgeblich ist das oberste Management involviert
→ Autorität, um Zweifel und Widerspruch zu unterdrücken

Echter Chef und ausführender Angestellter kennen sich nicht bzw. stehen nicht in ständigem Austausch
→ keine natürliche Plausibilitätsprüfung sowie Hürde bei der Klärung der Richtigkeit

Möglicherweise wurde gezielt ein Zeitpunkt ausgewählt, zu dem der echte Chef abwesend ist
→ Hürde bei der Klärung der Richtigkeit

Es wird Zeitdruck aufgebaut
→ Hürde bei der Klärung der Richtigkeit und hoher psychischer Druck, der Fehler begünstigt

Vor der Aufforderung zur Überweisung von Geld wird eventuell ein Vorab-Kontakt geführt, bei dem Informationen abgefragt werden. Diese Informationen können sich auf die darauf folgende Tat beziehen, wie zum Beispiel Kontostände oder die maximale Höhe von Überweisungen.
→ Gewinnung von Informationen und Aufbau von Vertrauen

Es werden nachfolgende Anrufe, Mails und andere Nachrichten angekündigt, die auch so eintreffen
→ Aufbau von Vertrauen durch die bloße Zahl von Kontakten und durch eintretende Vorhersagen

Das Geld soll auf Konten in Ländern überwiesen werden, die ein schwaches Rechts- bzw. Bankensystem haben
→ Die Verfolgung des weiteren Wegs des Geldes ist erschwert oder unmöglich

Prävention:

Regelmäßige Awareness-Schulungen für alle Mitarbeiter

Spezifische Schulungen für Mitarbeiter, die aufgrund ihrer Rolle im Unternehmen einem besonders hohen Risiko ausgesetzt sind, von Betrügern angegangen zu werden.

Maßnahmen zur Absicherung von Zahlungsprozessen, z.B. Vieraugenprinzip, Tageslimits, Absprachen mit der Bank.

Eine Kultur schaffen, die zu eigenem Denken und zu Rückfragen ermutigt.

Auf Abweichungen bei der eMail-Adresse des Absenders achten. Manchmal werden Domänen verwendet, die der echten Domäne täuschend ähnlich sind. Manchmal werden aber auch kompromittierte eMail-Konten verwendet, so dass eine korrekte eMail-Adresse alleine kein Beweis für die Echtheit der Chef-Anweisung ist.

Auf ungewöhnliche Formulierungen und Details (Anrede, interne Bezeichnungen u.ä.) in Mails und anderen Nachrichten achten.

Rückfrage beim tatsächlichen Chef halten 

Für Rückfragen einen anderen Kommunikationskanal verwenden, z.B. telefonisch über bekannte und bereits genutzte Telefonnummern (nicht Telefonnummern aus der Mail)

Regelmäßige Tests der betroffenen Prozesse und Mitarbeiter durch externe Dienstleister.

Nach Cyber-Angriffen und Datenschutz-Vorfällen: Besondere Sensibilisierung auf sich daraus ergebende Betrugsmöglichkeiten.

Variante: Überweisung von Geld durch Organisationen

Offenbar sind nicht nur Unternehmen betroffen, sondern auch andere Organisationen, die wirtschaftlich handeln. Insbesondere bei Vereinen und ehrenamtlichen Organisationen kann vermutet werden, dass die Akteure nicht täglich miteinander in Kontakt stehen und dass Prozesse wie Überweisungen weniger strikt geregelt sind. Damit könnten Angriffe eine gewisse Chance auf Erfolg haben, wobei die erzielbaren Summen sicher geringer als in Unternehmen sind.

Beispiele

Warnung der Polizei Hessen (August 2018)
https://k.polizei.hessen.de/677637901

Betrügerisches Ändern der Bankverbindung

Betrüger nehmen die Identität eines Lieferanten oder eines anderen regelmäßigen Zahlungsempfängers an und veranlassen das Unternehmen, eine neue Bankverbindung in den Systemen zu hinterlegen. Bei der nächsten Zahlung wird dann das Geld nicht mehr auf das Konto des Lieferanten überwiesen, sondern auf das Konto der Betrüger.

Merkmale:

Es wird eine Mail oder eine andere Nachricht empfangen, in der im Namen eines Lieferanten oder anderen regelmäßigen Zahlungsempfängers um die Änderung der Kontoverbindung gebeten wird.

Das Geld soll auf Konten in Ländern überwiesen werden, die ein schwaches Rechts- bzw. Bankensystem haben
→ Die Verfolgung des weiteren Wegs des Geldes ist erschwert oder unmöglich

Prävention:

Regelmäßige Awareness-Schulungen für alle Mitarbeiter

Spezifische Schulungen für Mitarbeiter, die aufgrund ihrer Rolle im Unternehmen einem besonders hohen Risiko ausgesetzt sind, von Betrügern angegangen zu werden.

Schaffen eines definierten Prozesses zur Änderung von Kontodaten, der das Vieraugenprinzip umfasst.

Sofern möglich, den Prozess in der Buchhaltungssoftware verankern oder zumindest mit textuellen Hinweisen daran in erinnern.

Eine Kultur schaffen, die zu eigenem Denken und zu Rückfragen ermutigt.

Auf Abweichungen bei der eMail-Adresse des Absenders achten. Manchmal werden Domänen verwendet, die der echten Domäne täuschend ähnlich sind. Manchmal werden aber auch kompromittierte eMail-Konten verwendet, so dass eine korrekte eMail-Adresse alleine kein Beweis für die Echtheit der Chef-Anweisung ist.

Auf ungewöhnliche Formulierungen und Details (Anrede, interne Bezeichnungen u.ä.) in Mails und anderen Nachrichten achten.

Rückfrage beim Lieferanten halten 

Für Rückfragen einen anderen Kommunikationskanal verwenden, z.B. telefonisch über bekannte und bereits genutzte Telefonnummern (nicht Telefonnummern aus der Mail)

Regelmäßige Tests der betroffenen Prozesse und Mitarbeiter durch externe Dienstleister.

Du bist KMU?

Dann vernetzen Sie sich mit uns!

Sind Sie Unternehmer, Geschäftsführer oder Verantwortlicher (*) in einem kleinen oder mittelständischen Unternehmen? Dann schreiben Sie uns über Ihre Sorgen und Nöte im Bereich IT-Sicherheit, Compliance und Datenschutz. Ihr Feedback hilft, die passenden Inhalte bereitzustellen und Einfluss auf Anbieter von Produkten und Dienstleistungen zu nehmen.

Schreiben Sie uns eine Mail: Kontakt

(*) Wir meinen natürlich immer alle Geschlechter

Bert Kondruß KonBriefing Research

Bert Kondruß
Senior Analyst

Bert ist Senior Analyst bei KonBriefing.com. Nach dem Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur ist er seit über 30 Jahren in verschiedenen Fach- und Führungspositionen in der IT tätig. Seine Fokusthemen sind Compliance und IT-Sicherheit.