# taz.de -- Miese Masche in sieben Schritten
> Social Engineers verfahren nach einem Muster, etwa wenn sie sich als Chef
> ausgeben und eine Überweisung verlangen. Anhand des CEO-Frauds lässt sich
> zeigen, wie das System der Betrüger funktioniert
Von Simon Schramm
Beim CEO-Fraud geben sich Social Engineers als leitende Angestellte eines
Unternehmens aus. Oft angewandt wird der Betrug so: Der vermeintliche Chef
weist einen Mitarbeiter an, einen hohen Geldbetrag für eine anstehende
Unternehmens-Akquisition auf ein Konto im Ausland zu überweisen. Der Grund:
Das sei gerade dringend und schnell nötig. Es ist eine Masche, anhand derer
das typische Vorgehen der Engineers erklärt – und enttarnt werden kann.
1. Informationen sammeln
Sehr viel davon holen sich Engineers online – oder am Telefon. Die
Engineers müssen den täglichen Flow der Organisation kennenlernen. Wann ist
Essenszeit, in der Mitarbeiter ihre Büros verlassen und Zugang möglich
wird? So eine Attacke kann schnell gehen oder wochenlange Vorbereitung
bedeuten. Im Fall des CEO-Fraud müssen die Engineers den Stil der Mails in
der Firma imitieren, brauchen also eine Mail aus dem System.
2. Opfer finden
Wer hat Zugang zu den gewünschten Infos, wird aber nicht als Leck
verdächtigt? Das kann der Assistent oder die Sekretärin sein. Beim
CEO-Fraud werden bevorzugt Mitarbeiter aus der Finanzabteilung ausgesucht.
Die werden zum Beispiel in sozialen Netzwerken gefunden.
3. Coverstory ausdenken
Also einen Grund erfinden, wieso die Engineers mit dem Opfer in Kontakt
treten. Im Fall des CEO-Frauds: Angeblich stehe das eigene Unternehmen
unmittelbar vor der Übernahme einer Firma, ein wichtiger strategischer
Schritt für das eigene Haus und ein Millionen-Deal, von dem niemand etwas
wissen darf.
4. Kontaktaufnahme
Die Engineers versuchen, jemanden an den Haken zu kriegen und dabei vor
allem unverdächtig zu bleiben. Sie imitieren den Stil des Chefs und
kündigen in einer ersten Mail an, ein großer Geldbetrag müsse für den Deal
demnächst ins Ausland transferiert werden.
5. Vertrauen schaffen
Das Opfer muss die Geschichte glauben. Nur wenn das Vertrauen vorhanden
ist, wird das Opfer es nicht ablehnen, Dinge zu tun, die der Engineer von
ihm will – obwohl es das Opfer selber eigentlich gar nicht will! Hier wird
dann oft mit (Zeit-)Druck gearbeitet.
Beispiel-Mail:
Lieber Helmut!
Wir haben nun einen neuen Vertrag für die Übernahme der Holz-Firma
ausgemacht, das Geschäft ist fast in trockenen Tüchern. Ich schreibe dir
das im Vertrauen und verlasse mich auf dich! Verrate niemandem etwas über
den Deal, bis wir ihn öffentlich machen. Sie werden dir in den nächsten
Stunden schreiben, kümmere dich sofort darum, wir müssen das schnell über
die Bühne bringen. Schreib mir, falls es notwendig ist, aber bis zum späten
Nachmittag bin ich beschäftigt.
Grüßle, Chef
6. Vertrauen ausbeuten
Das Opfer wird zur Aktion aufgefordert – und überweist zum Beispiel nun
tatsächlich das Geld, wie vermeintlich vom Chef angefordert.
7. Flüchten
Für Engineers ist es wichtig, dass niemand schnell Verdacht schöpft. Beim
CEO-Fraud ist es nicht schlimm, wenn der Betrug im Nachhinein auffliegt.
Der Schaden ist ja schon gemacht.
Gegen den Betrug hilft: Aufklären. Man sollte genau überlegen, welche Infos
man online stellt oder telefonisch oder per Mail weitergibt. Und: Sich
nicht unter Druck setzen lassen und im Zweifel den direkten Kontakt zum
Chef suchen.
12 Sep 2020
## AUTOREN
(DIR) Simon Schramm
## ARTIKEL ZUM THEMA