CEO Fraud: BSI warnt vor betrügerischen E-Mails

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Unternehmen vor Betrug durch CEO Fraud. Mit der Betrugsmasche werden vor allem Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen durch betrügerische Mails veranlasst, große Beträge vom Geschäftskonto auf ein fremdes Konto zu überweisen. Anlass der BSI-Warnung ist ein Ermittlungsverfahren gegen die organisierte Kriminalität, bei dem den Ermittlern eine Liste mit rund 5.000 Zielpersonen in die Hände gefallen war. Laut Bundeskriminalamt sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.

Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich verfügbare Informationen auf der Webseite des Unternehmens, in Karriereportalen, Sozialen Netzwerken und Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu überweisen.

Bester Schutz vor solchen Phishing-Attacken sind aufgeklärte Mitarbeiter: „Mitarbeiterinnen und Mitarbeiter, die zur Auslösung von Zahlungsvorgängen berechtigt sind, sollten auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten“, empfiehlt BSI-Präsident Arne Schönbohm – und liegt damit ganz auf einer Linie mit dem Präsidenten des Bundesamtes für Verfassungsschutz:  „Entscheidend für die Sicherheit eines Unternehmens“, so Dr. Hans-Georg Maaßen, „ist der Faktor Mensch“.

Das deckt sich auch mit den Erkenntnissen von David Kelm, Mitgründer eines Spinnoffs der TU Darmstadt, das im Kampf gegen Phishing-Attacken auf digitale Selbstverteidigung setzt: „Prävention kann man trainieren. Wie alles andere auch.“