Abgezockt vom falschen Chef

Eine Betrugsmasche macht Karriere: Beim „CEO Fraud“ geben sich Betrüger als Chefs aus, um Geld zu ergaunern – teils Millionensummen. Ermittlungen des Bundeskriminalamts vermitteln nun eine Ahnung, wie hoch der Schaden ist.


Herr Becker bittet um Diskretion. Das Thema ist heikel: Die Bundesregierung benötige für den Freikauf deutscher Geiseln hohe Lösegelder, berichtet der Referent des Bundeskanzleramts am Telefon. Da es um zwei- bis dreistellige Millionenbeträge gehe, sei sie auf Spenden aus der Wirtschaft angewiesen. Etwa 40 Millionen Euro fehlten immer noch – ob der Geschäftsführer das wichtige Anliegen unterstützen könne?

So mancher Vorstand und Familienpatriarch hat sich diese spektakuläre Geschichte in den vergangenen Wochen vermutlich angehört. Am anderen Ende spricht allerdings – wie viele wohl gleich vermuten – kein Beamter, sondern ein Betrüger. Es handelt sich um eine Masche, die Experten als CEO Fraud bezeichnen, auf Deutsch: Chefbetrug. Dabei geht es darum, Unternehmen unter einem Vorwand zu Zahlungen ins Ausland zu bewegen.

Das Bundeskriminalamt (BKA) warnt vor einer Welle von Anrufen im Namen eines Herrn Becker aus dem Kanzleramt. Diese steht stellvertretend für die Karriere eines kriminellen Geschäftsmodells. „Das Phänomen hat in den letzten drei bis vier Jahren eine besondere Bedeutung erlangt“, sagte BKA-Vizepräsident Peter Henzler am Montag in Wiesbaden. Gemeinsame Ermittlungen mit sieben Bundesländern zeigen, dass allein eine Bande aus Israel einen Schaden in Höhe von 175 Millionen Euro verursacht hat – und andere Kriminelle sie sich zum Vorbild nehmen.


Bislang ließ sich das Problem CEO Fraud höchstens umreißen. Nur wenige Fälle sind publik geworden, beispielsweise beim Autozulieferer Leoni, der 40 Millionen Euro verlor, gestückelt in zahlreiche kleine Zahlungen. Die US-Bundespolizei FBI schätzte 2016, dass Betrüger rund eine Milliarde Dollar erbeuten konnten. Eine halbwegs repräsentative Statistik für Deutschland gibt es aber nicht – nur Polizeiberichte über anonyme Einzelfälle.

Wie groß die Schäden sind, lassen nun Zahlen erahnen, die das BKA mit anderen Polizeibehörden ermittelt hat: Es sei gelungen, „eine Tätergruppierung zu identifizieren, die aus Israel heraus agiert“, sagte Sabine Vogt, die die Abteilung „Schwere und Organisierte Kriminalität“ leitet. Diese habe es in Deutschland seit 2014 rund 800 Mal versucht, in gut 100 Fällen mit Erfolg. Dabei seien den Opfern 175 Millionen Euro verloren gegangen.


Das sind jedoch nur die Schäden, die eine einzelne, wenn auch professionelle Gruppe verursacht hat. Dass das BKA und andere Polizeibehörden gemeinsam einige Täter festnehmen konnten, darf nicht als Entwarnung gelten. „Wir wissen, dass auch andere Täterstrukturen aktiv sind“, sagte Vogt. Das BKA erwarte, dass CEO Fraud auch künftig ein Problem sein werde. Damit nicht genug: „Die Täter werden ihre Methoden weiterhin verändern.“ Unternehmen müssen also wachsam bleiben.


Unternehmen machen es den Kriminellen leicht


Der erschreckende Erfolg der Täter habe damit zu tun, „wie Unternehmen heute arbeiten“, sagte BKA-Vize Henzler. Einerseits ist ihr Geschäft komplex geworden – so überschreiten Käufe, Lieferungen und Zahlungen häufig die Grenzen von Ländern und Konzerngesellschaften. Die E-Mail ist darüber das wichtigste Kommunikationsmittel geworden. Andererseits geben sie so viele Informationen wie nie über sich preis, ob in digitalen Registern oder den sozialen Medien.

Die Täter könnten daher Unternehmen und ihre Chefs leicht auskundschaften, erläuterte Henzler. Mit diesem Wissen kontaktieren sie meist Mitarbeiter in der Buchhaltung oder Finanzabteilung – wer der richtige ist, ist über Karrierenetzwerke wie Xing und LinkedIn ebenfalls leicht herauszufinden. Diesen werde „sehr plausibel vorgetäuscht, dass ausgerechnet sie das vollständige Vertrauen des CEO besitzen und in eine Sache eingeweiht werden, die das Vertrauen erfordert.“

Dabei beweisen die Kriminellen einiges Geschick. Einerseits in Sachen Psychologie: Ermittler und Sicherheitsexperten berichten von E-Mails, die an die Eitelkeit der Empfänger appellieren oder Druck aufbauen. Wer will schon widersprechen, wenn sich der Chef mit einem Spezialauftrag meldet? Andererseits sind die Betrüger technisch versiert. In E-Mails können sie den Absender fingieren, bei Anrufen die Telefonnummer.


Das BKA hat eine Aufklärungskampagne gestartet. Die Behörde empfiehlt mehrere Grundsätze, um CEO Fraud zu verhindern. Der wohl wichtigste Schutz: die Mitarbeiter sensibilisieren. Denn nach einer Studie der Wirtschaftsprüfungsgesellschaft KPMG ist die Betrugsmasche in 60 Prozent der Firmen nicht bekannt. Entsprechend unsicher gehen Buchhalter und Finanzexperten häufig mit ungewöhnlichen Zahlungsaufforderungen um.

Die Bundespolizei rät außerdem zu mehr Zurückhaltung bei der Veröffentlichung von internen Informationen. Transparenz sei zwar wichtig, biete aber eben auch Angriffsflächen, sagte Henzler. Auch genaue Vorschriften für ungewöhnliche Transaktionen können Schäden verhindern, etwa die Verifizierung von Zahlungsaufforderungen beim Geschäftspartner oder eine Kontaktaufnahme mit dem Chef. Einen ausführlichen Text mit Tipps gegen CEO Fraud lesen Sie hier.

KONTEXT

Wie Kriminelle beim CEO Fraud vorgehen

Gezieltes Ansprechen

Die Täter kundschaften genau aus, wer im Unternehmen eine Überweisung tätigen darf. "Über Xing und LinkedIn bekommen die Täter viele Informationen", berichtet der Sicherheitschef eines deutschen Konzerns. Auch das Organigramm vieler Unternehmen stehe im Netz - so ist es ein Leichtes, die richtige Person in der Buchhaltung zu identifizieren. Notfalls mit einem zusätzlichen Anruf.

Vertraute Themen

Den Betrügern gelingt es häufig, eine Vertraulichkeit herzustellen. Dafür nutzen sie beispielsweise Informationen aus Pressemitteilungen oder Vorträgen - so können sie "Buzzwords" verwenden, die im Unternehmen gerade herumschwirren, erläutert der Sicherheitschef eines deutschen Unternehmens. Das könnten etwa Übernahmegerüchte sein.

Psychologisches Geschick

Dass die Chefmasche erstaunlich häufig funktioniert, hat mit dem psychologischen Geschick vieler Betrüger zu tun. Einerseits schmeicheln sie Mitarbeitern, indem sie etwa deren Verlässlichkeit hervorheben. Andererseits machen sie Druck. "In ihren Emails bauen die Täter Zeitdruck und Stress auf", sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Überweisung müsse ganz schnell und ganz geheim erfolgen. Hinzu kommen hierarchische Strukturen, in denen die Mitarbeiter die Entscheidungen von Vorgesetzten nicht hinterfragen.

Technische Verschleierung

Die Anweisung klingt nach dem Chef, stammt aber nicht von ihm: Kriminelle fälschen häufig E-Mail-Adressen, bevor sie Buchhalter oder Finanzexperten kontaktieren. Einerseits tauschen sie einzelne Buchstaben, aus der Endung @firma.com wird beispielsweise dann firma.c0m - mit einer 0 statt einem o. Andererseits täuschen sie eine andere Absenderadresse vor. Experten sprechen vom Spoofing.

Geschichte Tarnung

Die Betrüger bauen eine geschickte Tarnung auf. So bestehen sie häufig darauf, aufgrund der hohen Vertraulichkeit ausschließlich per E-Mail zu kommunizieren. Für Nachfragen geben sie eine Telefonnummer an, unter der angeblich eine Anwaltskanzlei zu erreichen ist, die mit der Transaktion vertraut ist - das Telefon nehmen natürlich die Betrüger selbst ab. Zudem fälschen sie Unterschriften und Belege.

Verfeinerte Methoden

Vor einigen Jahren waren die meisten Betrugsversuche plump, inklusive Texten, die nach einer Übersetzung per Google Translate klangen. "Die Methodik hat sich verfeinert", beobachtet der Sicherheitschef eines Industriebetriebs. So klinge das Deutsch in vielen E-Mails professionell, zudem kundschafteten die Betrüger offenbar das Unternehmen genau aus.

KONTEXT

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software - wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

"Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort": Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein - obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. "Die Handbücher mit dem Passwort stehen oft im Internet", sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer - neben Kriminellen auch Geheimdienste - oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.