Der CFO eines österreichischen Startups, das anonym bleiben will, erhält eine Mail. Sie stammt laut Absender vom CEO des Unternehmens, unter der Nachricht befindet sich auch seine Signatur. Der Inhalt: Fast 13.000 britische Pfund müssten dringend nach England überwiesen werden. Er wolle gerne wissen, welche Informationen nötig seien, um die Transaktion sofort durchzuführen.

Begründetes Misstrauen

Der CFO ist an diesem Tag nicht im Büro. Als er die E-Mail liest, wird er dennoch misstrauisch. Auch die „Reply-to“-Adresse, an die eine Antwortmail gegangen wäre, ist nicht die des Geschäftsführers. Nach einem Telefonat mit dem CEO ist klar, dass es sich bei der Mail um einen Beturgsversuch handelt. Das Startup meldet den Vorfall der Polizei – und die ist wenig überrascht.

83 Millionen Schaden

Das Phänomen, dass sich Betrüger als Geschäftsführer ausgeben und so versuchen, betrügerische Überweisungen zu generieren, sei den Behörden bereits seit einiger Zeit bekannt. Nun hat das Bundeskriminalamt (BK) auch eine offizielle Warnung herausgegeben: Mit der sogenannten „Chef-Masche“ versuchen Betrüger, sich als CEOs auszugeben, ihren Mitarbeitern Überweisungen anzuordnen und so an hohe Summen zu kommen. Vier Unternehmen wurden durch die Betrugsmasche tatsächlich abgezockt, ihr Gesamtschaden beläuft sich auf rund 83 Millionen Euro. Die Gesamtforderung der Täter betragen derzeit alleine in Österreich über 300 Millionen Euro.

500 Betroffene aus Österreich

Seit 2016 sei laut BK eine eigene Ermittlungsgruppe gegen diese Betrugsform international im Einsatz. Nun soll eine Adressliste 5.000 potentiellen Zielpersonen, 500 davon aus Österreich, sichergestellt worden sein. Besonders häufig sind darauf die Namen von Klein- und Mittelunternehmen zu finden. Die Betroffenen werden in den nächsten Tagen per Mail vom BK verständigt.

Tipps der Kriminalprävention für die Unternehmen

• Die Mitarbeiter über das Phänomen informieren
• Klare Abwesenheitsregelungen und interne Kontrollmechanismen einführen
• Kontrollieren, welche Informationen über das Unternehmen öffentlich sind bzw. wo und was die Mitarbeiter im Zusammenhang mit dem Unternehmen publizieren.
• Achtung: Spamfilter bieten keinen Schutz gegen einen Angriff

Vor der Durchführung von ungewöhnlichen Zahlungsanweisungen

• Eingelangte E-Mails auf die korrekte Schreibweise der Absenderadresse überprüfen, dazu die Antwortfunktion verwenden und die Absenderadresse genau kontrollieren.
• Durch gezielte Rückfragen die Zahlungsanweisung über einen anderen Kommunikationskanal, wie z.B. ein persönliches Gespräch, verifizieren.
• Zahlungsanweisungen auf unbekannte oder neue Konten hinterfragen. Bei atypischen Länderkennzeichen des IBAN besonders vorsichtig und skeptisch sein.
• Ruhe bewahren. Die Täter versuchen durch Zeitdruck zu einer unüberlegten Überweisung zu drängen.
• Bei Verdacht eine vorgesetzte Person kontaktieren und sich nicht verunsichern lassen. Den gewohnten Prozess und das Vier-Augen-Prinzip unbedingt einhalten.
• Bei einem Verdacht, Opfer dieses Betrugsmodells geworden zu sein, sofort an die Bank wenden, um die Zahlung umgehend stoppen zu lassen.
• Den Sachverhalt in der nächsten Polizeidienststelle anzeigen.

Im Bundeskriminalamt steht eine Ansprechstelle unter ceo-fraud@bmi.gv.at zur Verfügung.

Mitteilung der Polizei