Definition CEO Fraud / CEO-Betrug Was ist CEO-Fraud?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

CEO Fraud ist eine Betrugsmethode, bei der sich der Angreifer als Geschäftsführer, Manager oder Chef ausgibt und Mitarbeiter beispielsweise dazu auffordert, Geld auf ein bestimmtes Konto zu überweisen. Nutzt der Angreifer E-Mails als Kommunikationsmittel, ist CEO-Betrug eine Form von Business E-Mail Compromise (BEC). Bei CEO Fraud sind aber auch andere Angriffsvektoren bis hin zur Verwendung von telefonischen Deepfakes möglich.

Anbieter zum Thema

CEO Fraud sind betrügerische Nachrichten, die angeblich vom Chef stammen und meist eine Aufforderung zu Finanztransaktionen enthalten.
CEO Fraud sind betrügerische Nachrichten, die angeblich vom Chef stammen und meist eine Aufforderung zu Finanztransaktionen enthalten.
(Bild: gemeinfrei / Pixabay )

Alternative Begriffe für CEO Fraud sind CEO-Betrug, Chef-Betrug oder Fake President Fraud (FPF). Es handelt sich um eine Betrugsmethode, bei der sich der Angreifer als Geschäftsführer, Manager oder Chef eines Unternehmens ausgibt. Unter falscher Identität fordert er Mitarbeiter des Unternehmens unter einem Vorwand dazu auf, Transaktionen wie das Überweisen eines Geldbetrags auf ein genanntes Konto auszuführen. Wie die Kontaktaufnahme beim CEO-Betrug stattfindet, ist nicht festgelegt. Die Betrüger verwenden häufig täuschend echt nachempfundene E-Mails oder gekaperte E-Mail-Konten von Geschäftsführern. In diesem Fall handelt es sich beim CEO Fraud um eine Form von Business E-Mail Compromise (BEC). Andere Kontaktwege sind ebenfalls möglich bis hin zur Verwendung von Deepfakes bei Anrufen. Da Mitarbeiter unter Umständen ungefragt nur aufgrund der Autorität des Chefs große Geldbeträge überweisen, stellt CEO Fraud ein großes Risiko für Unternehmen dar. Besonders anfällig sind Unternehmen, in denen ein autoritärer Führungsstil herrscht und keine Absicherungsprozesse etabliert sind.

Abgrenzung zum Begriff BEC (Business E-Mail Compromise)

Viele Quellen setzen Business E-Mail Compromise und CEO Fraud gleich, was streng genommen nicht korrekt ist. Denn CEO Fraud wird zwar oft in Form von BEC ausgeführt, kann aber auch andere Kontaktwege und Angriffsvektoren nutzen. BEC ist auf den Betrug per E-Mail beschränkt. Es handelt sich bei Business E-Mail Compromise um eine Betrugsmethode, die zuvor gekaperte Business-E-Mail-Konten oder täuschend echt nachempfundene Geschäfts-E-Mails nutzt. Die Betrüger geben sich bei BEC nicht zwingend als Chef aus. Sie nutzen auch Identitäten von Mitarbeitern, um beispielsweise Kunden anzugreifen, oder verwenden Identitäten von Anwälten, Notaren oder Bankmitarbeitern. CEO Fraud ist prinzipiell ohne E-Mails beispielsweise per Telefonanruf und Verwendung von Deep Fakes möglich.

Typischer Ablauf eines CEO-Betrugs

Je mehr Informationen dem Angreifer über das Unternehmen, Prozesse, Mitarbeiter und Chefs vorliegen, desto größer sind die Erfolgsaussichten der Betrugsmethode. Daher kundschaften die Kriminellen mögliche Opfer und Identitäten, die sie annehmen möchten, im Vorfeld aus. Sie nutzen beispielsweise Informationen von Firmenwebsites, aus sozialen Netzwerken oder aus persönlichen Gesprächen mit Mitarbeitern. Sind alle notwendigen Informationen gesammelt, erfolgt die Kontaktaufnahmen mit dem Opfer. Per E-Mail oder telefonisch trägt der vermeintliche Chef ein Anliegen vor und fordert das Opfer dazu auf, eine bestimmte Tätigkeit auszuführen. Die Angreifer bauen Druck auf und nutzen die geschickte psychologische Manipulation des Opfers. Oft weisen sie auf die Vertraulichkeit der Angelegenheit hin. Aufgrund der Autorität des angeblichen Chefs sind viele Mitarbeiter anfällig für diese Art von Manipulation. Typische Aktion, die das Opfer durchführen soll, ist die Überweisung eines großen Geldbetrags oder das Begleichen der Rechnung eines Kunden an ein genanntes Konto.

Maßnahmen gegen CEO Fraud

Mögliche Maßnahmen gegen CEO-Betrug:

  • Schulung und Sensibilisierung der Mitarbeiter
  • pflegen einer offenen Unternehmenskultur und vermeiden eines autoritären Führungsstils
  • spezielle Absicherungs- und Freigabeprozesse bei Finanztransaktionen
  • Rückversicherung beim Chef über einen alternativen Kommunikationsweg
  • zuverlässige Absicherung der E-Mail-Accounts gegenüber unbefugter Nutzung
  • auf Abweichungen und Fehler in E-Mails achten

(ID:47066915)