Chef-Masche kostet Millionen: E-Mail-Betrüger geben sich als Vorgesetzte aus

Mit geklauten Daten die Angestellten auffordern, eine Kundenliste zu schicken oder direkt eine größere Zahlung zu tätigen – das sind einige Tricks von Betrügern, die von Unternehmen Informationen und Geld klauen wollen. Neben Phishing- und Trojaner-Mails, die an private Nutzer/innen gerichtet sind, zielt die sogenannte „Chef-Masche“ besonders auf unkritische Mitarbeiter/innen von Unternehmen ab, die erhaltene Mails nicht auf ihre Echtheit hin überprüfen. Warum auch, wenn sie nicht dafür geschult und schnelle Antworten wichtig sind? Im Folgenden ein paar Tipps, Tricks und Quellen gegen kostspielige Fehler beim Bearbeiten einer E-Mail.

Per Chef-Masche Interna und Geld von Unternehmen stehlen

Die auch „CEO-Betrug“ genannte Masche, die zum sogenannten Business E-Mail Compromise (BEC) gehört, beinhaltet, dass sich Personen als Vorgesetzte eines Unternehmens ausgeben und per E-Mail interne Informationen oder Geld verlangen. „Schicken Sie mir so schnell wie möglich die Kundenliste der letzten 12 Monate“, könnte es zum Beispiel heißen. Im Rahmen der Unternehmensspionage könnten z. B. auch andere Unternehmen auf diesem Weg an interne Daten der Konkurrenz gelangen. 

„Überweisen Sie zur schnellen Abwicklung des Vertrags ABC so schnell wie möglich 1,5 Millionen Euro auf das Konto XYZ“, könnte eine andere Aufforderung lauten. Wieder sollte die vermittelte Dringlichkeit darin auffallen, die Rückfragen oder das generelle Hinterfragen der Nachricht eindämmen soll. Wenn der Chef oder die Chefin meint, dass etwas dringend ist, dann erledigt man das lieber ohne Mehraufwand. Das jedoch kann nach hinten losgehen. Wie heise online in einem umfangreichen Artikel zum Thema aufzeigt, helfen gegen die Betrugsmasche auch keine Spam-Filter.

E-Mails von Lieferanten, Kunden und Partnern auch hinterfragen

Natürlich bringt ein generelles Misstrauen gegenüber dem E-Mail-Kontakt zu Chefin oder Chef, zu Lieferanten, Kundinnen und Kunden sowie anderen Kontakten nichts. Das hemmt nur das Tagesgeschäft. Jedoch können mit erbeuteten Daten, etwa wie oben aufgezeigt erfragten Listen, weitere E-Mails generiert werden. Auch können die Betrüger bei Lieferanten und anderen Partnerfirmen, die Zahlungen ans betrogene Unternehmen leisten, die Änderung der Zahlungsdaten anfordern und damit Zahlungen auf ihr eigenes Konto kanalisieren.

Deshalb gilt es, mit zu übenden Tricks und kritischen Blicken jede E-Mail zumindest kurz auf ihre Authentizität hin zu prüfen. Neben dem Namen im E-Mail-Kopf auch die Absender-Adresse zu checken, das ist schonmal der erste Schritt. Sind Grußformeln, Anrede, Personen- und Unternehmensinformationen sowie andere Eckpunkte der Mail so wie bisher? Gibt es vielleicht komische Formulierungen oder nicht mit der Firmenpolitik vereinbare Forderungen? Auch diese Fragen bzw. deren Beantwortung ist wichtig.

Wie schütze ich mein Unternehmen vor E-Mail-Betrug?

Wie gerade erwähnt, sollte ein kurzer kritischer Blick immer Teil der E-Mail-Sichtung sein. Gerade wenn in der Nachricht Interna gefordert oder unübliche Zahlungen angewiesen werden, ist ein weiterer Check zu empfehlen. Wenn überdies auf Eiligkeit gepocht wird, schadet es niemals, auf Nummer Sicher zu gehen. Deshalb hier ein paar Tipps und Tricks:

• Immer oder zumindest im Verdachtsfall Absender/in und deren Mail-Adresse überprüfen
• Inhalt nach komischen Formulierungen, fehlenden Infos oder ungewöhnlichen Forderungen untersuchen
• Bei Bitte um Freigabe von internen Informationen oder der Überweisung eines Betrags bei dem / der augenscheinlichen Absender/in nachfragen (persönlich bzw. per Telefon)
• E-Mails auf Englisch oder einer anderen Sprache – so diese nicht zur Unternehmenspolitik gehört – sollten generell für Vorsicht sorgen
• Beispiel Amazon: Phishing bzw. Spoofing erkennen und melden
• Google Phishing Quiz: Training gegen Betrugsmails (Englisch)
• Sind eventuell vereinbarte Formeln oder Codewörter enthalten / nicht enthalten?

Der letzte Punkt passt zu einem Beispiel für die interne Absicherung gegen Betrugsfälle per E-Mail, die im oben verlinkten heise-Beitrag genannt wird. Die Rede ist von einem Codewort, das unternehmensintern in jeder E-Mail, die sich an die Buchhaltung richtet, auftauchen muss:

… Einen anderen Weg wählte Sonja Catani, Geschäftsführerin des schwedischen Tierbedarfsanbieters Hugo & Celine AB: Zu Anfang eines jeden Monats vereinbart sie mit den Mitarbeitern im Controlling mündlich ein Codewort aus dem Bereich Nahrung wie beispielsweise „Schokoladenspinat“. Nur wenn sich dieses Codewort in einer per E-Mail an die Buchhaltung übermittelten Überweisungsaufforderung findet, geht das Geld raus.

Fazit zum Thema

Natürlich muss und sollte man nicht jede E-Mail in Generalverdacht ziehen, die einen als Mitarbeiter/in eines Unternehmens erreicht. Jedoch darf man auch nicht jeder Nachricht blind vertrauen und die Überprüfung von verdächtigen Inhalten wegen der in der Mail geforderten Eile hinten anstellen. Mit ein paar Tricks und einem geübten Blick bzw. mit entsprechenden Schutzmaßnahmen lässt sich die Gefahr der Chef-Masche respektive des CEO-Betrugs allerdings minimieren. Habt ihr noch Hinweise dazu oder gibt es in eurer Firma andere einfache Anweisungen, die effektiv gegen Betrugsfälle helfen sollen? Lasst gern einen Kommentar zum Thema da!

Johannes Domke

Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.