Seit einiger Zeit machen E-Mails Schlagzeilen, in denen sich Betrüger als Chef eines Unternehmens ausgeben und hohe Zahlungen auf ausländische Konten veranlassen wollen. Die Betrüger betreiben offenbar einigen Aufwand und recherchieren Namen und E-Mail-Adressen des Firmenchefs sowie von Personen, die zu solchen Zahlungen berechtigt sein können.
Betrüger betreiben Social Engineering
Im Rahmen des Social Engineering wägen sie auch die jeweilige Unternehmensgröße ab und passen die Höhe und den Anlass der Zahlung daran an. Auto-Reply-Mails mit Abwesenheitsmeldungen kommen den Betrügern bei ihrer Masche in der Urlaubszeit entgegen. Um herauszufinden, wer im Urlaub ist, genügt es, ein paar harmlose E-Mails abzusetzen und auf die Antwort zu warten. Ist der Chef nicht im Haus, wird nicht persönlich zurückgefragt und die Wahrscheinlichkeit einer problemlosen Überweisung liegt höher, so das Kalkül. Welcher Angestellte möchte den Boss schon im Urlaub behelligen?
Teils hohe Verluste
In einem aktuellen Fall hätte ein Unternehmen aus Deutschland beinahe elf Millionen Euro verloren. Doch CEO Fraud ist nicht nur in Deutschland ein Phänomen. So warnt zu Beispiel neben der Bayerischen Polizei auch der Handels- und Industrieverein des Schweizer Kantons Bern. Auch amerikanische Unternehmen sind vor der Betrugsmasche nicht gefeit. Medien berichten in einem Fall von über 40 Millionen Dollar Verlust.
Genau hinsehen
Neben erhöhter Aufmerksamkeit im Umgang mit E-Mails, in denen es um Zahlungsanweisungen – zum Teil von sehr hohen Summen – geht, helfen klare, transparente Regeln im Unternehmen. In den meisten Fällen schützt schon der Blick auf die Reply-to-Adresse in der E-Mail. Diese stimmt in der Regel nicht mit der richtigen Adresse des Geschäftsführers oder des die Zahlung veranlassenden vermeintlichen Managers überein, sondern verweist auf ein Postfach irgendeines Freemail-Anbieters. Auch die in der E-Mail verwendete Sprache kann ein Indiz auf einen Betrüger sein. In unserem Beispiel (siehe unten) wurden die Sätze offenkundig durch eine – schlechte – Übersetzungssoftware geschickt.
Transparente Strukturen schützen
Die Bayerische Polizei rät außerdem, für klare und transparente Regeln zu sorgen, um sich zu schützen. Demnach sollten Höchstgrenzen für Überweisungen festgelegt werden. Weiterhin müssten feste Vorgehensweisen für derartige Entscheidungen und relevante Vorgänge (z. B. Geschäftspartner ändert seine Kontonummer) festgelegt werden. Interne Abläufe sollten vertraulich gehalten werden und nicht nach außen gelangen.
Dialog mit einem CEO Fraudster – wie 43.800 Euro nicht überwiesen wurden
Experten raten, im Fall eines Betrugsversuchs, im Unternehmen alle zu Zahlungen berechtigten Mitarbeiter sowie den gesamten Führungskreis zu warnen, Anzeige bei der Polizei zu erstatten und nicht weiter auf eine derartige E-Mail zu reagieren. Doch wie agieren CEO Fraudster eigentlich, wenn ein CFO antwortet und vorgibt, zu glauben, er kommuniziere mit seinem Chef? Lesen Sie im Folgenden einen realen E-Mail-Dialog mit einem CEO Fraudster (die Namen der Beteiligten sind unkenntlich gemacht).
Wer an dieser Stelle die Überweisung veranlasst, hat verloren. Nur mit Glück hat ein international tätiges Unternehmen aus dem Landkreis München eine bereits überwiesene Million Euro aus China zurückholen können.
Spätestens bei Formulierungen wie „mailen Sie mir die Zahlungsbestätigung Schlupf getan“ sollte der Angeschriebene hellhörig werden.
An dieser Stelle hat der Betrüger den Dialog abgebrochen. Eventuell hat er den Braten gerochen oder bereits einen lukrativeren Fisch an der Angel gehabt.
Lesen Sie mehr darüber, wie sich Unternehmen vor CEO Fraud schützen können.