Angriffe

CEO-Fraud und Rechnungsbetrug

Was ist CEO-Fraud?

CEO-Fraud ist ein Betrug, bei dem sich Täter als Geschäftsführung ausgeben und eine eilige Überweisung anordnen. Beim verwandten Rechnungsbetrug wird eine echte Rechnung abgefangen oder nachgebaut und die Bankverbindung ausgetauscht, sodass die Zahlung bei den Tätern landet.

Die Vorbereitung läuft über öffentlich zugängliche Quellen. Website, Impressum, Firmenbuch und berufliche Netzwerke verraten, wer die Geschäftsführung ist, wer die Buchhaltung führt und mit welchen Lieferanten gearbeitet wird. Mitunter ist zusätzlich das Postfach eines Geschäftspartners übernommen worden. Der Angreifer liest den echten Schriftverkehr mit und schreibt an der passenden Stelle weiter, weshalb die Nachricht sich richtig liest und auf eine tatsächlich laufende Bestellung Bezug nimmt.

Woran erkennt man den Versuch? Eine bekannte Rechnung kommt mit geänderter Bankverbindung, oft mit dem Hinweis auf eine Kontoumstellung. Die Absenderadresse weicht um ein Zeichen ab, oder die Antwortadresse zeigt auf eine fremde Domain. Die Anweisung eilt, wird vertraulich behandelt und kommt zu einem Zeitpunkt, an dem die Führungskraft nachweislich unterwegs ist. Auch eine vertraute Stimme am Telefon beweist wenig, weil sich Stimmen technisch nachbilden lassen.

Der wirksamste erste Schritt ist eine schriftliche Zahlungsregel. Jede Änderung einer Bankverbindung und jede Zahlung ab einem im Betrieb festgelegten Betrag wird durch einen Rückruf an die im Stammsatz hinterlegte Telefonnummer bestätigt, und eine zweite Person gibt frei. Die Regel gilt auch für Anweisungen, die scheinbar von der Geschäftsführung selbst kommen. Genau diese Ausnahme suchen die Täter.

Ist Geld abgeflossen, zählt jede Stunde. Kontaktieren Sie sofort Ihre Bank, weil eine Rückholung bei sehr schneller Meldung möglich sein kann, und erstatten Sie Anzeige bei der Polizei. Prüfen Sie parallel, ob ein E-Mail-Postfach übernommen wurde: unbekannte Weiterleitungsregeln, Anmeldungen zu ungewöhnlichen Zeiten und geänderte Signaturen sind Hinweise darauf. Ändern Sie die betroffenen Passwörter, schalten Sie die Zwei-Faktor-Anmeldung ein, also einen zweiten Nachweis zusätzlich zum Passwort, und informieren Sie den Geschäftspartner, dessen Rechnungen missbraucht wurden.

Technisch lässt sich der Missbrauch der eigenen Domain erschweren. SPF, DKIM und DMARC sind Einträge im Namenssystem Ihrer Domain, die empfangenden Servern sagen, welche Server in Ihrem Namen senden dürfen. Sind sie korrekt gesetzt, wird eine Fälschung mit Ihrer Absenderadresse abgewiesen. Der IT-Check prüft diese Einträge und sieht sich an, wie Zahlungsfreigaben in Ihrem Betrieb tatsächlich ablaufen.

Alle Begriffe der Wissensdatenbank

Vom Begriff zur Praxis

Wie steht Ihr Betrieb wirklich da?

Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.

Erstgespräch vereinbaren