+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

CEO-Fraud mithilfe von LinkedIn-Informationen

   
9. Januar 2023

Wie der Enkeltrick per Telefon bei Senioren funktioniert der CEO-Fraud per E-Mail bei Unternehmen. Hier werden Mitarbeiter von größeren Firmen mit dem „Cheftrick“ getäuscht. Kriminelle geben sich als Leitungsperson des Unternehmens aus und weisen Mitarbeiter der Buchhaltung oder andere Kontobevollmächtigte an, möglichst zügig bestimmte Zahlungen zu leisten, die dann an die Kriminellen weitergeleitet werden.

Social Engineering und Spear-Phishing

Die vorgetäuschten Zahlungsanweisungen müssen, um effektiv zu sein, möglichst realistisch aussehen. Täter nutzen allgemein zugängliche Quellen über die Unternehmensstruktur, recherchieren über Homepages dienstliche E-Mail-Adressen und auch Arbeitsabläufe. Gerade hier kommen die sozialen Medien ins Spiel, die schon längst nicht mehr nur private Inhalte haben, sondern wie LinkedIn als berufliche Netzwerke konzipiert sind. Dort erfolgt oft eine beachtliche Preisgabe von betrieblichen Informationen.

Eine neu generierte E-Mail-Adresse, die nur eine minimale Abweichung zum bereits bekannten Absender enthält, kann in der E-Mail-Flut manches Firmenmitarbeiters schnell mit dem echten Chef verwechselt werden. Das Ausnutzen der Schwachstelle “Mensch” bezeichnet man als Social Engineering oder auch Spear-Phishing.

Strafbarkeiten für die Täter eines CEO-Fraud

Zunächst können solche Vorgehensweisen, mit denen bei Mitarbeitern des Unternehmens ein Irrtum hervorgerufen werden soll, damit diese die vermögensschädigende Zahlung auf den Weg bringen, tatbestandlich einen Betrug gem. § 263 StGB erfüllen. Täuscht der Täter in einer E-Mail eine andere Identität (des Chefs) vor, kann zudem eine Strafbarkeit wegen Fälschung beweiserheblicher Daten gem. § 269 StGB vorliegen. Sofern die E-Mail-Adresse des Chefs nicht allgemein zugänglich ist, kann deren Verwendung auch als unbefugte Datenverarbeitung gem. § 42 BDSG strafbar sein. Problematisch ist aber, dass die IP-Adressen der Täter oft auf eine Begehung im Ausland hindeuten. Ermittler erwarten hinter dieser IP-Adresse wiederum nur einen VPN-Anbieter oder einen Proxy-Server und sparen sich das Rechtshilfeersuchen gleich.

Maßnahmen gegen CEO-Fraud

Zunächst muss es den Tätern so schwer wie möglich gemacht werden, Social Engineering zu betreiben. Bei der Veröffentlichung von Unternehmensinformationen sollte stets eine Abwägung über die Notwendigkeit stattfinden. Social-Media-Richtlinien geben Mitarbeitern für soziale Netzwerke einen Leitfaden und zeigen Grenzen auf. Darüber hinaus muss eine #Sensibilisierung der Mitarbeiter für das Phänomen CEO-Fraud erfolgen. Teilweise sind die Betrugsversuche bei genauem Hinsehen erkennbar, etwa wenn die Absenderadresse nicht exakt verwendet wird oder die Anrede bzw. Sprachform nicht dem gängigen Stil im Unternehmen entspricht. Für Zahlungen muss ein Kontrollsystem etabliert sein. Oft hilft auch der einfache Anruf bei der Leitungsperson als vermeintlicher Absender zur Verifizierung der Überweisung.

Kommt es zu einer Überweisung, sollte der erste Anruf zur Bank gehen, um die Überweisung womöglich noch zu stoppen. Nach einer Strafanzeige kann die Polizei außerdem überprüfen, ob bereits Erkenntnisse zu den Zielkonten und Ermittlungen gegen deren Inhaber vorliegen. Ggf. können die Ermittler noch Vermögenswerte sicherstellen, die später an die Geschädigten ausgekehrt werden.

Weiterhin muss Kontakt zur Versicherung aufgenommen. Teilweise sind Schäden aus CEO-Fraud in Versicherungslösungen abgebildet. Zwar fällt die Schwachstelle “Mensch” i. d. R. nicht in den Bereich einer Cyberversicherung, aber D&O- und Vertrauensschadensversicherungen können greifen. Hierauf sind bestehende Versicherungsverträge zu überprüfen. Auch andere mögliche Ausschlussgründe sind bereits beim Verfassen der Strafanzeige in den Blick zu nehmen, um hier keine widersprüchlichen Angaben zu machen.

Unser IT-Strafrechtsteam steht Ihnen sowohl präventiv als auch nach einem CEO-Fraud beratend gerne zur Verfügung.


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn