Projekt Hibiskus

StartBedrohungenCEO-Fraud

Bedrohungsszenario

CEO-Fraud / Business Email Compromise

Finanziell Weltweiter Schaden: über 50 Mrd. USD (FBI 2023)
Was ist CEO-Fraud?
CEO-Fraud (auch Business Email Compromise, BEC) ist ein gezielter Betrug, bei dem Angreifer die Identität von Führungskräften oder vertrauenswürdigen Geschäftspartnern vortäuschen. Das Ziel ist meist eine betrügerische Überweisung oder die Herausgabe sensibler Daten.

Angriffsformen

Gefälschte CEO-E-Mail

Ein Mitarbeiter der Buchhaltung erhält eine E-Mail scheinbar vom Geschäftsführer mit der dringenden Bitte, eine vertrauliche Überweisung sofort durchzuführen. Die Absenderadresse ist minimal verändert oder per E-Mail-Spoofing gefälscht.

Kompromittiertes E-Mail-Konto (echter BEC)

Der Angreifer verschafft sich Zugang zu einem echten E-Mail-Konto – meist über Phishing. Von dort werden authentische E-Mails umgeleitet oder neue Nachrichten versendet. Besonders gefährlich: Die E-Mail kommt von der echten Adresse.

Lieferanten-Fraud

Angreifer geben sich als bekannter Lieferant aus und teilen mit, dass sich die Bankverbindung geändert hat. Zahlungen gehen fortan auf das Konto der Betrüger.

KI-gestütztes Voice-Cloning

Moderne Angreifer nutzen KI, um die Stimme von Führungskräften zu klonen. Mitarbeiter erhalten Anrufe, die täuschend echt nach dem Chef klingen und Sofortüberweisungen fordern.

Psychologische Hebel

Autorität

„Der Chef hat es angeordnet" – Mitarbeiter hinterfragen Anweisungen von Vorgesetzten seltener, besonders unter Druck.

Dringlichkeit

„Muss heute noch sein" – Zeitdruck verhindert Nachdenken und Rückfragen. Das ist Absicht.

Vertraulichkeit

„Sag nichts den Kollegen" – Isolation verhindert, dass ein zweiter Blick den Betrug entlarvt.

Vertrauen

Angreifer recherchieren Organigramme, Namen, laufende Projekte – die Nachricht klingt echt und informiert.

Schutzmaßnahmen

Vier-Augen-Prinzip für Überweisungen

Kein Mitarbeiter sollte alleine eine größere Überweisung veranlassen können. Definieren Sie einen Schwellenwert (z.B. 1.000 €), ab dem eine zweite Genehmigung erforderlich ist.

Rückrufpflicht

Jede ungewöhnliche Zahlungsanweisung per E-Mail muss telefonisch bestätigt werden – über eine bekannte Nummer, nicht über eine in der verdächtigen E-Mail angegebene.

Prozess für Bankverbindungsänderungen

Änderungen von Bankverbindungen von Lieferanten nur über einen definierten Prozess mit mündlicher Rückbestätigung. Niemals ausschließlich auf Basis einer E-Mail.

Technische Maßnahmen

  • DMARC auf "reject" stellen, um E-Mail-Spoofing Ihrer Domain zu verhindern
  • MFA für alle E-Mail-Konten, besonders für Führungskräfte
  • Anomalie-Erkennung im E-Mail-System (ungewöhnliche Weiterleitungsregeln erkennen)
  • Banner für externe E-Mails aktivieren (viele E-Mail-Systeme können externe Mails kennzeichnen)

Awareness

  • Mitarbeiter explizit darauf hinweisen: Es ist in Ordnung und erwünscht, Anweisungen zu hinterfragen
  • Konkrete Beispiele für CEO-Fraud-Nachrichten im Training zeigen
  • Klarmachen: Ein echter Chef wird nicht wegen einer Rückfrage böse – ein Betrüger schon

Checkliste: CEO-Fraud-Prävention

Ressourcen
FBI BEC-Statistiken: ic3.gov/Media/PDF/AnnualReport
BSI-Ratgeber Business Email Compromise: bsi.bund.de
Polizei: Im Schadensfall sofort Anzeige erstatten – manche Überweisungen können noch gestoppt werden.