In den letzten Jahren hat der CEO-Fraud, auch bekannt als Bogus-President-Scam, zu enormen finanziellen Verlusten für Unternehmen geführt. Der Grund dafür ist einfach: Angreifer nutzen die Autorität und Vertrauenswürdigkeit von Führungskräften aus, um Mitarbeiter dazu zu bringen, geldwerte Transaktionen durchzuführen.

Wie funktioniert CEO-Fraud?

Der klassische CEO-Fraud-Angriff verläuft in der Regel folgendermaßen:

1. Die Angreifer identifizieren ein potenzielles Opferunternehmen und dessen Führungskraft (in der Regel den CEO oder CFO).
2. Sie sammeln Informationen über das Unternehmen, um die Glaubwürdigkeit ihrer späteren E-Mail zu erhöhen.
3. Sie senden eine E-Mail an einen Mitarbeiter des Unternehmens, der für Geldtransfers verantwortlich ist, in der sie vorgeben, die Führungskraft zu sein.
4. In der E-Mail wird eine dringende und vertrauliche Geldübertragung angefordert. Um den Mitarbeiter nicht misstrauisch zu machen, werden oft kleinliche Details wie der Vorname des Empfängers oder interne Unternehmensabläufe verwendet.
5. Wenn der Mitarbeiter die gefälschte E-Mail für echt hält, führt er die Geldübertragung durch.

Ein Beispiel: Im Jahr 2016 wurde ein Unternehmen in den USA um mehrere Millionen Dollar betrogen, als Angreifer eine E-Mail im Namen des CEO an den Finanzvorstand sendeten und eine dringende Überweisung an ein angebliches buitenländisches Unternehmen anforderten.

Wie kann man sich vor CEO-Fraud schützen?

Obwohl es keine garantierte Methode gibt, um CEO-Fraud vollständig zu verhindern, können Unternehmen folgende Schritte unternehmen, um das Risiko zu minimieren:

1. Erhöhte Aufmerksamkeit und Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Bedrohung durch CEO-Fraud. Stellen Sie sicher, dass sie wissen, wie solche Angriffe funktionieren und welche Anzeichen auf eine Fälschung hindeuten können.
2. Verifizierung von Geldtransfers: Legen Sie ein Verfahren fest, das die Verifizierung großer Geldtransfers erfordert. Dies kann beispielsweise die Genehmigung durch zwei Mitarbeiter oder die Verwendung einer separaten Kommunikationsmethode (wie Telefon oder Videokonferenz) für die Bestätigung umfassen.
3. Doppelte Autorisierung: Setzen Sie ein System der doppelten Autorisierung ein, bei dem mindestens zwei autorisierte Personen jeden Geldtransfer genehmigen müssen.
4. Sicherheitstraining für Führungskräfte: Stellen Sie sicher, dass Ihre Führungskräfte über die Risiken und Symptome von CEO-Fraud informiert sind und wie sie ihre Kommunikationskanäle schützen können.
5. Rechteverteilung: Vermeiden Sie es, alle finanziellen Befugnisse in den Händen fewer Person zu konzentrieren. Teilen Sie die Verantwortlichkeiten auf, um das Risiko eines Alleingangs zu minimieren.
6. Sicherheitstechnologien: Setzen Sie Sicherheitstechnologien wie E-Mail-Sicherheitslösungen, Anti-Spam-Filter und Firewalls ein, um Angriffe frühzeitig zu erkennen und abzuwehren.

Indem Unternehmen diese Schutzmaßnahmen ergreifen, können sie das Risiko von CEO-Fraud reduzieren und ihre Finanzen vor Angriffen schützen.