München: Enkeltrick für kleine Fische – CEO-Fraud Firmentrick für den großen Fang

Mit dem bei uns noch weitgehend unbekannten Trick „CEO Fraud“ versuchen Betrüger durch das Ausspähen von Nutzerprofilen im Internet an das große Geld zu kommen. Jetzt konnte gerade noch verhindert werden, dass eine Firma im Landkreis München um eine Million Euro erleichtert wurde.

Polizeipräsidium München
Polizeipräsidium München

(17.8.2015) Wenn ein Rentner mit einem Enkeltrick um sein Erspartes gebracht wird, handelt es sich meist um einige Tausend Euro. Mit einem in Deutschland noch relativ unbekannten Trick geht es um Millionen, die von Unternehmen ergaunert werden. Dabei geht es um eine vermeintliche Übernahme, die geheim bleiben soll. Mitarbeiter mit Zeichnungsberechtigung werden dabei über ihre sozialen Profile im Internet ausgespäht. Ein vermeintlicher Vorstand weist diesen Mitarbeiter dann an, hohe Geldtransaktionen anzuweisen. Die Polizei warnt nun vor dem sogenannten CEO-Fraud-Trick.

Im Juli traten im Bereich des Polizeipräsidiums München drei Fälle des im Ausland bereits bekannten Phänomens auf. Das Polizeipräsidium nennt beispielhaft einen Vorfall bei einem international tätigen Maschinenbauunternehmen, welches eine Niederlassung im Landkreis München hat. Der Täter schrieb hier an einen ranghohen Mitarbeiter eine E-Mailnachricht, welche vermeintlich vom Geschäftsführer (CEO) des Gesamtunternehmens stammen sollte. Hier wurde über geheime Verhandlungen berichtet, welche eine Unternehmensübernahme einleiten sollen. Um dieses Geschäft rasch abschließen zu können, werde vorerst eine Anzahlung in Höhe von 1 Million Euro benötigt. Für die weitere Abwicklung meldete sich ein angeblicher Anwalt von einer weiteren E-Mailadresse. Dieser nannte schlussendlich die näheren Zahlungsdaten, an welche die Transaktion zu erfolgen habe. Da der Sachverhalt angeblich sehr vertraulich sei, wurde der angesprochene Mitarbeiter aufgefordert, niemandem sonst von dem Vorgang zu erzählen und die weitere Kommunikation konspirativ über sein privates E-Mailkonto abzuwickeln. Da der Täter auf Grund seines Auftretens als Geschäftsführer erheblichen Druck auf den Mitarbeiter ausübte und den Sachverhalt auf Grund der aktuellen Unternehmenssituation sehr plausibel erschien, gab dieser die erste Zahlung frei. Hiernach war die Kommunikation jedoch nicht beendet, denn der Täter forderte nun eine weitere Zahlung von knapp 10 Millionen Euro. Zwischenzeitlich war jedoch der im Unternehmen tangierte Mitarbeiter misstrauisch geworden, wodurch die Transaktion nicht durchgeführt wurde. Durch sofortige Intervention bei der Bank, war es möglich, die erste Transaktion zu stoppen.

In den zwei weiteren beim Polizeipräsidium München bekannt gewordenen Fällen schöpften die angesprochenen Mitarbeiter frühzeitig Verdacht, weshalb es zu keinen Überweisungen kam. In München waren derartige Fälle bisher noch nicht verbreitet, jedoch ereigneten sich im selben Zeitraum in Bayern Taten nach dem gleichen Muster. Aus dem Ausland gibt es bereits umfangreiche Berichte über das Phänomen, in Frankreich trat dieses bereits seit dem Jahr 2013 auf.

Die Täuschungshandlung fällt unter den Oberbegriff des Social Engineering. Das heißt, der Täter erlangt zunächst aus illegalen aber auch legalen Quellen Informationen über die Struktur und Geschäftsabläufe im Zielunternehmen. Dabei kommen viele öffentlich zugängliche Quellen im Internet in Betracht, wie zum Beispiel der Internetauftritt des Unternehmens, aber auch Informationen über dessen Mitarbeiter, welche sich häufig in sozialen Netzwerken finden lassen. Ausgestattet mit diesen Informationen weiß der Täter, wen er in welcher Form zu kontaktieren hat. Als primäres Kommunikationsmittel werden E-Mails verwendet, dabei beschränken sich die Täter meist darauf, nur die als Absender angezeigten Namen in der Nachricht zu verfälschen. Gelegentlich werden zusätzlich auch Telefonanrufe durch die Täter getätigt. Inhaltlich wird eine bewusst dramatische oder brisante Situation für das Unternehmen vorgetäuscht, welche weiterhin besonders vertraulich behandelt werden soll. Da die Person, als welche sich der Täter ausgibt, eine gehobene Position im Unternehmen innehat, kann gegenüber dem Mitarbeiter ein starker hierarchischer Druck aufgebaut werden. Zumeist wird nach dem ersten Kontakt noch eine weitere Institution, nämlich eine Anwaltskanzlei, als Tatmittel verwendet. Tatsächlich dürfte der Täter, welcher sich als Geschäftsführer ausgibt, gleichzeitig auch derselbe sein, welcher auch als Anwalt auftritt. Für den Mitarbeiter erhöht sich jedoch subjektiv die Glaubwürdigkeit, wenn er zeitgleich zu mehreren Personen Kontakt hat.
Um sich vor einem solchen Angriff zu schützen, wird von den Cybercrime-Beamten der Kripo München empfohlen, in Unternehmen für klare und transparente Regeln zu sorgen. Es sollten Höchstgrenzen für Überweisungen festgelegt werden. Weiterhin müssen feste Vorgehensweisen für derartige Entscheidungen und relevante Vorgänge (zum Beispiel: Geschäftspartner ändert seine Kontonummer) festgelegt werden. Interne Abläufe sollten vertraulich gehalten werden und nicht nach außen gelangen.