Der Spielwarenhersteller Mattel ist im vergangenen Jahr durch eine gefälschte E-Mail um 3 Millionen US-Dollar betrogen worden. Die Nachricht, die am 30. April 2015 einging, stammte angeblich vom CEO von Mattel und forderte zur Überweisung des Betrags an einen neuen Händler in China auf. Die Unternehmensleitung autorisierte die Überweisung. Als der Betrug wenige Stunden später auffiel, war es bereits zu spät. Allerdings gelang es, das Geld zurückzuholen. Das berichtet Associated Press.
Auch ein bayerischer Maschinenbauer war im Sommer 2015 auf ähnliche Weise um 1 Million Euro betrogen worden, so die Polizei Bayern. Harry Weber, Strategic Account Manager bei NetNames, einem Online-Markenschutz-Unternehmen, kommentiert die Risiken für Unternehmen im Zusammenhang mit so genannten „CEO-Frauds“: „Betrüger nutzen zunehmend das Internet und innovative Technologien, um sich in E-Mail-Konten hochrangiger Manager großer Unternehmen einzuhacken. Ihr Ziel ist es, legitim aussehende Aufforderungen zur Überweisung von Beträgen auf firmenfremde Konten zu verschicken.“ Der Fall von Mattel und die Schritte, die nötig sind, um das Geld zurückzuholen – machten deutlich, wie gefährlich dieser Trend sei.
Leichte Beute für Betrüger
Laut dem FBI seien innerhalb von zwei Jahren rund 7.000 Unternehmen um mehr als 740 Millionen US-Dollar betrogen worden. Unter Zuhilfenahme von Unternehmensdaten, die über das Internet öffentlich zugänglich sind, erstellen die Betrüger authentische E-Mails. In einigen Fällen sei zuvor sogar die Finanzabteilung angerufen und auf eine nachfolgende E-Mail hingewiesen worden, um die Dringlichkeit zu steigern und den Druck auf die Mitarbeiter zu steigern, den Anweisungen zu folgen.
Eine weitere beliebte Methode sei es, Test-E-Mails zu schicken und auf Abwesenheitsmeldungen zu achten. Scheint ein hochrangiger Manager im Urlaub zu sein, folgt die Überweisungsaufforderung, in der Erwartung, dass Mitarbeiter ihren Vorgesetzten nicht im Urlaub stören möchten.
„Die meisten Anti-Malware-Programme suchen nach speziellen Merkmalen von Phishing-E-Mails, aber in diesen Fällen sind die Nachrichten gut geschrieben, enthalten keine verräterischen Anhänge und stammen von legitim wirkenden E-Mail-Adressen. Zudem nehmen die Betrüger gerne junge und neu angestellte Mitarbeiter ins Visier, die eine Anweisung, die scheinbar von der Geschäftsleitung stammt, weniger wahrscheinlich ablehnen“, so Weber.
Unternehmen sollten die Bedrohung durch gefälschte Geschäftsleitungs-E-Mails ernst nehmen und proaktiv dagegen vorgehen. Die Schulung aller Mitarbeiter darin, wie sie sich in solchen Fällen verhalten, ist eine effektive Präventionsmaßnahme. Zudem empfehle es sich, für Ad-Hoc-Aufforderungen zur Überweisung von Geldbeträgen Standardprozesse sowie klare Autorisierungsregeln festzulegen.