CEO Fraud: Erkennen, Abwehren und Schützen

CEO Fraud: Erkennen, Abwehren und Schützen

Patrick Müller
von Patrick Müller
24. Mai 2023
0 Shares

CEO Fraud ist eine der häufigsten und teuersten Formen von Identitätsdiebstahl im Unternehmensumfeld. Kriminelle geben sich als Führungskraft aus, erzeugen Zeitdruck und Vertraulichkeit und steuern Zahlungen oder Datenänderungen. In diesem Beitrag zeige ich, wie Sie CEO Fraud zuverlässig erkennen und abwehren.

Sie erfahren, wie typische Angriffe ablaufen, welche Varianten es gibt, woran Sie Warnsignale in E-Mail, Telefon und Messenger erkennen, welche Systeme und öffentlich verfügbaren Informationen Täter ausnutzen und welche Prozesse, Kontrollen und Schulungen Ihr Unternehmen jetzt einführen sollte. Praxisnah. Kompakt. Umsetzbar.

Ich arbeite seit Jahren an der Schnittstelle von Forensic Analytics, Cybersecurity und Prävention. Die Beispiele stammen aus Projekten und Trainings mit Finance, Einkauf, IT und Interner Revision. Ziel ist ein klarer Fahrplan, der ohne Sonderwege auskommt und im Alltag funktioniert. Wir sprechen auch darüber, wie Datenanalysen und Anomalieerkennung unterstützen können und wo die Grenzen von Echtzeitanalysen liegen.


Das Wichtigste in 30 Sekunden

CEO Fraud nutzt Autorität, Zeitdruck und Vertraulichkeit. Schützen Sie Zahlungen und Stammdaten mit Vier Augen, Zweitkanal, sauberer E-Mail-Authentifizierung und wacher Kommunikation. Erkennen, verifizieren, dokumentieren.

  • Varianten: Bankdatenänderung, Intercompany, gefälschte Bestellungen, Anzahlungen.
  • Ablauf: Recherche, Kontakt, Manipulation, Freigabe, Verdeckung.
  • Warnsignale: neue IBAN, Zeitdruck, Geheimhaltung, ungewohnter Kanal, abweichender Sprachstil.
  • Sofortmaßnahmen: Zahlstopp, Rückruf über Zweitkanal, Bank, Beweise sichern, Forensik.
  • Präventionsmaßnahmen: Vier Augen, Zweitkanal, SPF DKIM DMARC, Monitoring von Anomalien.
  • Praxis-Checkliste: konkrete To-dos für CFO, Accounting, HR.
  • FAQ: kurze Antworten auf die häufigsten Fragen.


Der CEO Fraud ist keine einzigartige Betrugsmasche

Es gibt verschiedene ähnliche Betrugsmaschen, die in ähnlicher Weise wie der CEO Fraud darauf abzielen, Unternehmen oder Einzelpersonen finanziell zu schädigen; zB. beim Vorschuss-, Rechnungs-, Bestell-, Investment- & Mietbetrug.

Verallgemeinert gilt, dass es sich bei diesen Betrugsmaschen oft um eine Form des Identitätsdiebstahl handelt, bei dem Verbrecher:innen die Identität einer Person oder Firma stiehlt, um betrügerische Aktivitäten auszuführen oder vorzubereiten.

Im Zusammenhang treten dann auch Cybercrime Delikte auf, wie zB. Social Engineering und Phishing.


Varianten des CEO Fraud

In der Praxis treten mehrere Muster auf. Die wichtigsten Varianten im Überblick:

  • Interne fiktive Geschäftsvorfälle: Aufforderung zu Überweisungen im Zusammenhang mit angeblichen Akquisitionen, Geschäftsabschlüssen oder Anschaffungen wie Patenten, Immobilien oder Maschinen.
  • Rückzahlung angeblicher Überzahlungen: Forderung einer Erstattung, weil Kundenzahlungen vermeintlich doppelt oder zu hoch erfolgt seien.
  • Dringende Intercompany-Zahlungen: Verweis auf angebliche Notfälle oder Liquiditätsengpässe innerhalb des Konzerns, oft gestützt durch plausibel wirkende Belege.
  • Missbrauch externer Geschäftspartner:innen: Namen realer Kunden, Lieferanten oder Dienstleister werden genutzt, um Waren, Daten oder Zahlungen in laufenden oder neu konstruierten Vorgängen anzufordern.
  • Anzahlungen und Vorauszahlungen: Bitte um Vorabzahlungen für vermeintliche Großbestellungen oder „Beschleunigungsgebühren“.
  • Gefälschte Bestellungen: Fiktive Orders mit echten Ansprechpartnern und täuschend echten Dokumenten, um Ware oder Geld zu erlangen.
  • Änderung von Bankdaten: Aufforderung zur Aktualisierung von Kontoverbindungen bei Lieferanten oder Kunden, um Zahlungen auf neue IBANs umzuleiten.
  • Vortäuschung behördlicher Zuständigkeit: Schreiben mit Zahlungsaufforderungen für Steuern, Gebühren oder angebliche Strafen.

Kurz gesagt: CEO Fraud ist Identitätsdiebstahl in vielen Ausprägungen und betrifft Finance, Einkauf, Stammdaten, HR, IT und Management.


Beispiele für Varianten des CEO Fraud
Beispiele für Varianten des CEO Fraud. Quelle: Expert Talk, Frankfurt School of Finance & Management, 13. Juni 2023, Patrick Müller.


Der übliche Ablauf des CEO Fraud

  1. Recherche und Vorbereitung: Täter sammeln offene Informationen über Unternehmen, Rollen, Abläufe und Kontaktwege. Quellen sind Website, Social Media, Handelsregister, Presse, Abwesenheitsnotizen und öffentlich sichtbare E-Mail-Muster.
  2. Kontaktaufnahme per E-Mail, Telefon oder Messenger: Es folgen personalisierte Nachrichten an Finanzbereich, Einkauf oder Leitung. Absender wirken legitim, oft mit sehr ähnlichen Domains oder Display-Namen. Häufig wird schriftliche Kommunikation durch Anrufe gestützt.
  3. Manipulation: Dringlichkeit und Vertraulichkeit sollen Rückfragen verhindern. Gefälschte Dokumente, angebliche Verträge oder PO-Nummern erhöhen die Glaubwürdigkeit. Aufforderungen zielen auf Prozessumgehungen und schnelle Entscheidungen.
  4. Zahlungsfreigabe oder Stammdatenänderung: Verlangt werden Überweisungen auf neue Konten, Splitting in Teilbeträge oder die Änderung von Lieferanten-IBANs. Zweitkanal-Bestätigungen werden gezielt umgangen.
  5. Verdeckung: Gelder fließen auf Auslands- oder Mule-Konten, werden weitergeleitet und abgezogen. Spuren werden gelöscht, Kommunikation wird beendet.


Woran erkenne ich CEO Fraud

  • Ungewöhnlicher Zeitdruck und Forderung nach Vertraulichkeit
  • Neue IBAN oder neue Domain bei vertrautem Namen
  • Kommunikation über privaten Mailaccount oder Messenger
  • Abweichender Sprachstil oder untypische Uhrzeit
  • Bitte, Prozesse zu umgehen oder Ausnahmen zu machen


Sofortmaßnahmen bei Verdacht

  1. Zahlstopp veranlassen und ausstehende Freigaben pausieren.
  2. Rückruf über bekannten Zweitkanal an die angeblich anweisende Person.
  3. Bank kontaktieren, Rückruf der Zahlung versuchen, Fraud Team einschalten.
  4. Beweise sichern: E-Mails, Header, Logins, ERP-Änderungsprotokolle.
  5. IT-Security und Forensik informieren, Passwörter betroffener Konten ändern.
  6. Versicherer und rechtliche Ansprechpersonen informieren, wenn relevant.


Präventionsmaßnahmen

Betrüger springen nur so hoch, wie sie müssen. Heben Sie die Latte an.

  • Prozesse absichern: Vier-Augen-Prinzip und Zweitkanal-Freigabe ab definierten Betragsgrenzen. Keine Ausnahmen ohne schriftliche Dokumentation.
  • Stammdaten schützen: Änderungen von Bankdaten nur nach Rückruf über bekannte Nummern aus dem ERP. Erste Zahlung nach neuer IBAN mit 24-Stunden-Wartezeit und zusätzlicher Freigabe.
  • E-Mail-Sicherheit aktivieren: SPF, DKIM und DMARC auf Durchsetzung. Externe Absender kennzeichnen. Anzeige des vollständigen Absenders aktivieren. Anhänge in einer sicheren Umgebung prüfen.
  • Öffentliche Informationen begrenzen: Abwesenheiten von Führungskräften nicht offen publizieren. Interne Durchwahlen, Organigramme und Rollenprofile nur wo nötig veröffentlichen.
  • Anomalien erkennen: Zahlungs- und Stammdatenänderungen kontinuierlich per Datenanalyse überwachen. Regeln für untypische Beträge, neue Empfänger, Zahlungen kurz nach IBAN-Wechsel und ungewöhnliche Uhrzeiten.
  • Schulen und testen: Regelmäßige Awareness-Trainings für Management, Finance, Einkauf, IT und Stammdatenpflege. Quartalsweise Phishing- und Social-Engineering-Tests mit Feedback.
  • Vorbildfunktion des Managements: Keine Sonderwege bei Freigaben. Wenn Führungskräfte Prozesse umgehen, wirkt identisches Verhalten durch Täter glaubwürdig.
  • Kommunikation und Notfallplan: Über aktuelle Maschen intern informieren. Klarer Ablauf bei Verdacht: Zahlstopp, Rückruf über Zweitkanal, Bank kontaktieren, Beweise sichern, Forensik einbinden.


Präventionsmaßnahmen gegen CEO Fraud: Prozesse, Technik, Schulung, Monitoring
Präventionsmaßnahmen gegen CEO Fraud. Quelle: Expert Talk, Frankfurt School of Finance & Management, 13. Juni 2023, Patrick Müller.


Praxis-Checkliste für CFO, Accounting und HR

CFO

  • Zweitkanal-Freigabe ab Betrag X festlegen und veröffentlichen. Schriftliche Dokumentation jeder Ausnahme.
  • IBAN-Änderungen nur nach Rückruf über bekannte Nummern aus dem ERP. Erste Zahlung nach neuer IBAN mit 24 Stunden Wartezeit und zusätzlicher Freigabe.
  • Monatlicher Report zu Zahlungen an neue Empfänger, Splitting in Teilbeträge, Zahlungen außerhalb Kernzeiten.
  • DMARC Richtlinie auf enforce setzen und Reports quartalsweise prüfen.
  • Notfallplan unterschreiben und testen. Zuständigkeiten und Eskalationskontakte benennen.

Accounting

  • Jede Zahlungsaufforderung auf Zeitdruck, Geheimhaltung und Absender prüfen. Rückruf über bekannten Zweitkanal vor Freigabe.
  • Zahlungen an neue Empfänger nur mit Belegkette und zwei Freigaben buchen. Keine Freigaben per Messenger.
  • Warnliste pflegen: neue IBAN, neue Domain, abweichender Sprachstil, ungewohnte Uhrzeit, Lieferant plötzlich Auslandskonto.
  • Journal-Kontrollen durchführen: ungewöhnliche Beträge, Serien von Rundbeträgen, Zahlungen kurz nach Stammdatenänderung.
  • Belege und Kommunikation revisionssicher ablegen. Änderungen im ERP protokollieren.

HR

  • Abwesenheiten von Führungskräften nicht öffentlich ankündigen. Interne Hinweise nur in geschützten Kanälen.
  • Awareness-Trainings für alle Rollen organisieren. Schwerpunkte Social Engineering, Phishing, CEO Fraud.
  • Onboarding mit Sicherheitsgrundlagen und Freigabeprozessen. Jährliche Auffrischung einplanen.
  • Rollen- und Rechtekonzept mit IT abstimmen. Sensible Prozesse nur für geschulte Mitarbeitende.


Häufige Fragen zu CEO Fraud

Was ist CEO Fraud?

Täter geben sich als Führungskraft oder Geschäftspartner aus, erzeugen Druck und veranlassen Zahlungen oder Stammdatenänderungen.

Welche Beträge sind besonders gefährdet?

Neue Empfänger und Beträge knapp unterhalb von Freigabeschwellen. Splitting in mehrere Teilzahlungen ist häufig.

Wie prüfe ich eine neue IBAN?

Rückruf über bekannte Nummer, Abgleich mit ERP, erste Zahlung mit Wartezeit und zweiter Freigabe.

Welche Technik hilft?

SPF, DKIM, DMARC, Extern Markierung, Sandboxing für Anhänge, SIEM-Regeln für Anomalien.

Wie oft trainieren?

Quartalsweise Phishing-Tests und jährliche Schulungen, ergänzt um kurze Mikro-Lerneinheiten.


Nächste Schritte

Setzen Sie heute den Startpunkt. Definieren Sie die Freigabeschwelle für den Zweitkanal, prüfen Sie DMARC, SPF und DKIM und geben Sie Ihrem Team ein kurzes Awareness-Update.

Kontakt aufnehmen Newsletter abonnieren Zum CEO Fraud Blog

Füllen Sie unser Kontaktformular aus und skizzieren Sie Ihre Ziele. Wir melden uns mit einem Vorschlag. Abonnieren Sie unseren Newsletter für monatliche Lernimpulse und praktische Tool-Tipps.


Weiterführende Informationen im CEO Fraud Blog

CEO Fraud: Der „Enkeltrick für Unternehmen“
Patrick Müller
Patrick Müller
Lecturer & Author | Data Analytics, IT Forensics, and Fraud Detection | Building & Training In-House Analytics Teams & Architectures in Corporations

Noch keine Kommentare vorhanden

Was denken Sie?

Mr. 01 Analytics

Verwandeln Sie Daten in EBIT, verhindern Sie Betrug und steigern Sie Ihre Rentabilität mit unserem maßgeschneiderten Data & Analytics- und IT-Coaching. Wir unterstützen Sie bei der Optimierung und Sicherung Ihrer Geschäftsprozesse und IT-Systeme.

Connect

Erhalten Sie monatliche Inspirationen rund um Daten, Datenanalysen und Ansätzen, Betrug zu verhindern und Potentiale zu identifizieren.
Newsletter abonnieren
Copyright: All rights reserved.
 | Datenschutz | Impressum | Hinweisgebersystem
..