"Chef-Masche": BSI warnt Unternehmen vor akuter Gefahr
Das Bundesamt für Sicherheit in der Informationstechnik hat nach eigenen Angaben Kenntnis von einer Liste mit rund 5000 potenziellen Zielpersonen, die vermeintlich im Auftrag ihrer Geschäftsführung viel Geld an Betrüger überweisen sollen.
Vorsicht bei angeblichen Zahlungsanweisungen vom Chef.
(Bild: dpa, Jan-Philipp Strobel)
Die "Chef-Masche", mit der sich Trick-Gauner in E-Mails als hochrangiges Management-Mitglied oder Handelspartner ausgeben und arglose Mitarbeiter zu hohen Überweisungen vom Geschäftskonto veranlassen, ist zwar nicht neu und wird bereits vielfach mit milliardenschweren Schadenssummen angewendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt aber offenbar konkrete Hinweise darauf, wen die Gauner gerade im Blick haben, und schlägt deswegen Alarm.
Konkrete Hinweise auf potenzielle Opfer
Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität sei es Strafverfolgungsbehörden gelungen, in den Besitz einer Liste mit rund 5000 potenziellen Zielpersonen zu gelangen, teilte das Amt am Montag mit. Man informiere daher nun die Betroffenen über das akute Risiko und wolle die Öffentlichkeit bei der Gelegenheit allgemein auf die Gefahren hinweisen, die mit derlei "CEO Fraud" verbunden seien.
Firmenmitarbeiter, die "eine gefälschte Mail erhalten und daraufhin gegebenenfalls Schritte zur Zahlung eingeleitet haben", sollten diese Vorgänge "wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten", rät BSI-Präsident Arne Schönbohm. Darüber hinaus sollten alle Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, "dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten".
Angriffsvektor Buchhaltung
Bei der Chef-Masche werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen angesprochen, weiß die Sicherheitsbehörde. Die Anweisungen für Finanztransaktionen kämen angeblich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail. Dabei werde das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt.
Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender für die Social-Engineering-Aktionen werden laut BSI häufig durch öffentlich verfügbare Informationen auf der Webseite einer Firma, in Online-Karriereportalen, sozialen Netzwerken, Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die Angreifer nutzten diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation in einem Betrieb glaubwürdig nachzuahmen und den Empfänger so dazu zu verleiten, die Geldbeträge tatsächlich zu überweisen.
Mitarbeiter schulen
Generell regt das BSI daher an, nur allgemeine Kontaktadressen auf einer Unternehmenswebseite zu veröffentlichen. Firmen sollten ihre Mitarbeiter für Risiken sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen. Es müsse Kontrollmechanismen geben, um ungewöhnliche Zahlungsaufforderungen sowie Absenderadressen und Plausibilität des Inhalts einer Mail zu überprüfen. Zusätzlich empfehle sich der Griff zum Telefon oder der Weg einer schriftlichen Rückfrage. Wer einschlägige Mails erhalte, sollte Vorgesetzte oder die Geschäftsleitung darüber in Kenntnis setzen.
Voriges Jahr hatte es Berichte gegeben, dass hierzulande der Autozulieferer Leoni Opfer eines einschlägigen Betrugs in Höhe von rund 40 Millionen Euro geworden sei. Gelder des MDax notierten Unternehmens sollen dabei auf Zielkonten im Ausland transferiert worden sein. Der Aktienkurs der Firma brach nach der Mitteilung um zeitweise mehr als acht Prozent ein. (vbr)
