Anfang 2023: Bereits 10 Mio. EUR Schaden in 3 Monaten durch CEO Fraud

von Patrick Müller

23. März 2023

0 Shares

Eine Brise Mythos, ein Tropfen Hysterie… man bringe uns ein Opfer… wir wissen ihr vertraut uns… denn der Befehl kommt von ganz oben…
Das singt nicht nur die Hamburger Hip-Hop Formation Deichkind, sondern auch die CEO Fraudster, die den Enkeltrick für Unternehmer anwenden und beispielsweise im Januar 2023 bei einem Unternehmen in Erfurt allein ca. 2. Mio. Euro ergaunerten.

Geht es bei dieser Masche ausschließlich um große Beträge?
Die Antwort ist eindeutig: NEIN!

So gab es zuletzt in Langenhagen einen Vorfall mit 18.000 Euro bzw. in Kirchhorst eine fingierte Anweisung über 250.000 Euro. Über solche kleineren Beträge wird selten auf der Titelseite und in der bundesweiten Presse berichtet, sodass diese Vorgänge weniger bekannt sind und kleinere Firmen die Gefahr falsch einschätzen. Doch diese betraglich kleineren Vorgänge sind inzwischen keine Einzelfälle mehr, sondern wurden zu einem Geschäftsmodell für Betrüger:innen. Beispielsweise hat Europol ein Netzwerk identifiziert und zerschlagen, dem allein knapp 40 Mio. Euro an CEO Fraud Beute zugeschrieben werden.

Der anhaltende Trend zu kleineren Schadensbeträgen bei CEO-Fraud-Fällen zeigt, dass keine Organisation – unabhängig von ihrer Größe – immun gegen solche Betrugsversuche ist. Besonders kleine Unternehmen, die häufig weniger ausgefeilte IT-Infrastrukturen und automatisierte Prozesse haben, sind zunehmend gefährdet. Sie verlassen sich oft auf manuelle Freigaben und haben nicht immer die technologischen Mittel, um ausgeklügelte Betrügereien effektiv zu erkennen und zu verhindern.

Das Fazit daraus ist, dass auch kleinere Unternehmen eine ernsthafte und proaktive Aufklärung innerhalb ihrer Organisation betreiben müssen. Es ist entscheidend, dass sie ihre Mitarbeiter über die Risiken und Anzeichen von CEO Fraud informieren und regelmäßige Schulungen zur Sensibilisierung durchführen. Zudem sollten sie klare Verfahren für die Überprüfung und Freigabe von Zahlungsanweisungen etablieren, um die Möglichkeiten für Betrüger zu minimieren, erfolgreich Gelder zu entwenden.

Zusätzlich können selbst grundlegende Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung und regelmäßige Überprüfungen von E-Mail-Adressen und Anfrageinhalten erheblich dazu beitragen, die Sicherheitslage zu verbessern. Es ist wichtig, dass auch kleinere Firmen in die Schulung ihrer Mitarbeiter und in angemessene Sicherheitstools investieren, um sich vor finanziellen und reputativen Schäden durch CEO Fraud zu schützen.

Auswahl an Empfehlungen zur Vorbeugung – Prävention statt Reaktion ist die Devise

Prozesse schulen, prüfen, anpassen und absichern.
Prozessumgehungen sowie -abweichungen kontinuierlich mit Datenanalysen detektieren und abstellen.
Risikomanagement, Interne Revision, Mitarbeitende und Management hinsichtlich Cybercrime & Social Engineering schulen, insbesondere Personen mit sensibleren Zugängen oder hohen Weisungsbefugnissen.
Geschäftsführung und Top Management sensibilisieren, dass bei erlaubten Prozessumgehungen Identitätsdiebstähle erleichtert werden.
Aktivierung von IT-Maßnahmen zur leichten Identifikation von externen Inhalten für die Anwender.
Überprüfung von externen Unternehmensinformationen, Verfügbarkeiten beziehungsweise Abwesenheiten von Mitarbeitenden.
Regelmäßiges Training von Angriffen etablieren – so sollte eine Alarmroutine entstehen wie bei der jährlichen Brandschutzübung oder bei Test-SPAM Mails.