CEO-Fraud: Wenn der „Chef“ zur Geldüberweisung auffordert

Ein CEO-Fraud ist, wie der Name sagt, ein Betrugsfall, bei dem der Geschäftsführer eines Unternehmens eine wichtige Rolle spielt. Oder genauer gesagt spielen eher der Name des Geschäftsführers und sein Führungsstil eine gewisse Rolle. Im Kern geht es darum, ein Unternehmen dazu zu verleiten, eine größere Geldsumme auf ein fremdes Konto zu überweisen.

Aber fangen wir einfach einmal vorne an: In dem Unternehmen, für das ich tätig bin – ein kommunaler IT-Dienstleister beziehungsweise dessen CERT –, kam es zu einem Fall von CEO-Fraud mit dem Ziel, uns um 455000 Euro zu erleichtern.

Anbahnung per E-Mail

Eines Tages erhielt ich einen Anruf von unserem obersten Finanzleiter: „Ich glaube, ich habe da so einen Betrugsfall, von dem du schon einmal erzählt hast.“ Um genauer zu sein: Er hatte die erste Anbahnungs-E-Mail erhalten. Der Kollege hatte eine Mail mit dem Geschäftsführer als Absender im Posteingang, in der dieser vorsichtig nachfragte, ob der Kollege den ganzen Tag verfügbar sei. Es ging darum, eine streng vertrauliche Sache vorzubereiten.

Der Blick auf die Absenderadresse verriet allerdings schon, dass die Mail nicht vom Geschäftsführer gekommen war, sondern man dies nur vortäuschen wollte. Sprich: Der angezeigte Name war zwar der des Geschäftsführers, dahinter verbarg sich aber eine Adresse, die nicht zum Unternehmen gehörte. Die gleiche Methode sehen wir übrigens auch in der aktuellen Emotet-Welle. Hier verbergen sich ebenfalls andere Mailadressen hinter den angezeigten Namen.

Damit war für uns die Sache klar. Eine kurze Abstimmung innerhalb des CERT, Rücksprache mit dem Finanzleiter und schon konnte der Spaß losgehen. Wir hatten beschlossen, auf das Spiel einzugehen, um den Verlauf und die Vorgehensweise der Betrüger zu studieren. Gleichzeitig wurde das Landeskriminalamt informiert und Strafanzeige wegen des Verdachts auf Betrugsanbahnung erstattet.

Entsprechend positiv antwortete der Finanzleiter auf die Mail: Selbstverständlich stünde er zur Verfügung. Diese Antwort wurde mit einem Tracking-Pixel versehen, um vielleicht ein paar Anhaltspunkte zu erhalten. Schnell entwickelte sich ein Dialog zwischen „Geschäftsführer“ und „Finanzleiter“, besser gesagt zwischen dem Betrüger und unserem CERT. Die Tracking-Pixel zeigten, dass die andere Seite mit Verschleierungsmethoden arbeitete, da die E-Mails abwechselnd aus dem UK, aus Serbien und aus Deutschland abgerufen wurden.

Schneller akquirieren als die Konkurrenz

Der Betrugsversuch gaukelte eine streng vertraulich zu handhabende Firmenübernahme vor, die eingeleitet werden musste, bevor Presse und Konkurrenz davon Kenntnis erlangen konnten. Sehr schön war zu erkennen, wie professionell versucht wurde, den Gedanken auf diese Übernahme und die Vertraulichkeit fokussiert zu halten und den Finanzleiter vom eigentlichen Ziel abzulenken.

So musste beispielsweise eine Vertraulichkeitserklärung unterzeichnet werden (Abbildung 1). Das führte innerhalb des CERT dazu, dass die zugesandten PDF-Dokumente detailliert auf mögliche Schadcodes geprüft wurden, bevor man eine „unterschriebene“ Fassung wieder zurückschickte. Parallel dazu bestand durch­gehend Kontakt zum LKA. Laut Auskunft der LKA-Ermittler sind solche CEO-Frauds leider oft tatsächlich erfolgreich und die Schadenshöhen immens.

In die Kommunikation zwischen „Finanzleiter“ und „Geschäftsführer“ stieg plötzlich noch ein „Anwaltsbüro“ ein – hinter dem sich natürlich ebenfalls die betrügerische Seite verbarg: Mitten in die betriebliche Hektik fiel ein Anruf unseres Finanzchefs mit den Worten: „Ich habe eben einen Anruf von dem angeblichen Anwalt bekommen.“ Eine neue Phase des betrügerischen Vorgehens war eingeläutet. Die Rufnummer des Finanzchefs wurde nun auf das CERT umgeleitet und tatsächlich: Abends kam es zu einer erneuten Kontaktaufnahme.

Realität versus Fernsehkrimi

Insgesamt sieben Minuten dauerte das erste Telefonat des angeblichen Anwaltsbüros und es fand auf Englisch statt. Darin wurde ein Folgetermin für eine kurze Telefonkonferenz für den nächsten Tag um 9 Uhr mitteleuropäischer Zeit anberaumt. Die sofortige Rücksprache mit dem LKA zeigte, dass sich Fangschaltungen beim Tatort in der ARD deutlich schneller umsetzen lassen als in der Realität. 

Die nächsten vier bis fünf Telefonate führten dann langsam in Richtung des eigentlichen Verbrechens. Die Betrüger loteten vorsichtig aus, welche Höchstsumme durch den kaufmännischen Leiter freigegeben werden kann. In unserem Fall gaukelten wir vor, dass der Finanzchef alleine bis 500000 Euro freizeichnen könne. Darüber hinaus lockten wir damit, dass nach dem Wochenende der zweite Kollege wieder da wäre, mit dem man zusammen über maximal 2,5 Mio. verfügen könne.

Zwischendurch fragte ich mich immer wieder: „Wieso merkt der Betrüger nicht, dass ich ihn hinhalte und die ganze Zeit an der Nase herumführe?“ Irgendwann wurde mir klar, dass er so stark auf sein Ziel fokussiert war, Geld zu erbeuten, dass ihm wahrscheinlich gar nicht auffiel, welche ungewöhnlichen Fragen ich ihm zwischendurch immer wieder stellte, um der Polizei mehr Ermittlungsansätze zu liefern.

An einem Freitagmittag war es dann so weit. Das Finale hatte begonnen. Wir erhielten die Aufforderung, den Betrag von 455000 Euro zu überweisen – also innerhalb der angeblichen Freizeichnungsgrenze. Ebenso wurde eine IBAN übermittelt, auf die das Geld zu transferieren war (Abbildung 2). Das war insbesondere für das LKA ein Ermittlungserfolg, da das Bankkonto im europäischen Ausland lag. Mit meiner Versicherung, dass wir überwiesen hätten, war dann der Fall abgeschlossen – dachten wir. 

Faktoren für das Gelingen eines Betrugs

Montags ging ein neuer Anruf ein: Nachdem nun die erste Phase erfolgreich ab­geschlossen sei, müsse man sich an die Phase zwei machen. Der Betrüger hatte offensichtlich wegen der angeblichen Möglichkeit angebissen, weitere 2,5 Mio. zu ergaunern. Auf Anraten des LKA brachen wir an dieser Stelle ab.

Insgesamt war dieser Fall hochinteressant. Er zeigte uns, wie perfekt solche Vorgehen geplant und umgesetzt werden. Leider fallen immer wieder Firmen auf eine derartige Masche herein. Woran mag das liegen? Es ist sicherlich ein Zusammenspiel verschiedener Faktoren, das es möglich macht, mit einem CEO-Fraud große Geldsummen zu erbeuten.

Wirkungsvolle Gegenmaßnahmen sind beispielsweise ein von Respekt und Offenheit gekennzeichneter kooperativer Führungsstil, der einfache Rücksprachen in einem Unternehmen ermöglicht. Ein Finanzchef, der Angst vor seinem Geschäftsführer hat, wird viel eher in Bedrängnis kommen. Denn er will nichts Falsches machen und wird dem Druck nachgeben, den die Betrüger so kunstvoll und mit genau dieser Absicht aufbauen.

Eine weitere wirkungsvolle Gegenmaßnahme ist die Schulung und Sensibilisierung aller Mitarbeiter. Wenn – wie in unserem Fall – der Leiter des Finanzbereiches sofort erkennt, dass die erste Mail gar nicht von seinem Vorgesetzten kommt, läuft der Angriff direkt ins Leere. Unabhängig davon empfiehlt es sich immer, die zuständige Polizei oder besser noch eine entsprechende Cyber-Crime-Unit zu kontaktieren und Strafanzeige zu erstatten.

Das BKA hat eine Broschüre verfasst (Abbildung 3, über ix.de/ix1906078 zu finden), die weitere Vorsichtsmaßnahmen nennt. So rät die Behörde etwa, zurückhaltend zu sein mit dem Veröffentlichen von Informationen über das Unternehmen. Außerdem empfiehlt sie das Etablieren klarer Abwesenheitsvertretungsregelungen nebst internen Kontrollmechanismen.

Abschließend sei auch noch einmal ausdrücklich darauf hingewiesen, dass ein angebliches Eingehen auf eine solche Masche nur in enger Abstimmung mit den Ermittlungsbehörden erfolgen sollte. Hinter diesen Angriffen stecken Profis, mit denen nicht zu spaßen ist.  (ur@ix.de)

Thomas Stasch

ist Leiter des civitec-CERT beim kommunalen IT-Dienstleister civitec in Siegburg und Dozent für Informationssicherheit an der Wilhelm-Büchner-Hochschule Darmstadt.