Anhaltender CEO-Betrug gegen Gemeinden
Das BACS klärt über Fälle auf, bei denen Kriminelle sich als kommunale Führungspersonen ausgeben und Mitarbeitende täuschen.
Aufgrund ihrer öffentlichen Struktur und der Verfügbarkeit von Informationen auf ihren Webseiten sind Gemeinden ein attraktives Ziel für CEO-Betrugsversuche. In seinem Wochenrückblick beleuchtet das Bundesamt für Cybersicherheit (BACS) zwei besonders gern gewählte Vorgehensweisen und gibt Tipps, wie sich Gemeinden schützen können.
Beim CEO-Betrug geben sich Kriminelle typischerweise per E-Mail als Führungsperson aus – beispielsweise als Chef, als Abteilungsleiter oder eben als Gemeindepräsident oder Gemeindeammann. Ziel ist es, Mitarbeitende so zu manipulieren und unter Druck zu setzen, dass sie Finanztransaktionen an die Betrüger auslösen oder Geschenkkarten beschaffen.
Beliebte Betrugsmaschen
Eine vom BACS zurzeit beobachtete und offenbar verbreitete Vorgehensweise ist die Aufforderung zum Kauf von Online-Geschenkkarten. Die Betrüger kontaktieren Mitarbeitende per E-Mail, zum Beispiel unter dem Vorwand, der Vorgesetzte sei in einer Besprechung und benötige dringend die Karten für ein Geschenk oder eine geschäftliche Angelegenheit. Die Opfer werden angewiesen, die Karten im Wert von oft mehreren hundert Franken zu kaufen und die Gutschein-Codes umgehend per E-Mail zu übermitteln. Sobald die Codes übermittelt sind, lösen die Betrüger diese ein, und das Geld ist verloren.
Eine andere Methode ist die direkte Zahlungsanweisung auf ein Bankkonto. Auch hier werden die Mitarbeitenden beispielsweise durch den Gemeindepräsidenten per E-Mail aufgefordert, eine dringende Überweisung, meist auf ausländische Konten, zu tätigen. Oftmals liegen die Beträge unterhalb der internen Genehmigungsschwelle, welche zusätzliche Kontrollen erfordert hätte.
Vorgehensweisen der Angreifer
Informationsbeschaffung im Vorfeld: Die Täter sammeln beispielsweise von der Webseite oder in sozialen Netzwerken öffentlich zugängliche Informationen über die Gemeinde, ihre Struktur und die Schlüsselpersonen.
Kontaktaufnahme mit dem Opfer: Die Opfer werden meist per E-Mail mit gefälschter oder ähnlich lautender Absenderadresse, manchmal unter Verwendung von Freemail-Adressen (z. B. vorname.nachname.gemeinde@outlook.com) kontaktiert.
Manipulation (Social Engineering): Die Betrüger täuschen Autorität vor, erzeugen Zeitdruck («dringend», «sofort») und pochen auf die Vertraulichkeit, um Nachfragen und interne Kontrollen zu verhindern.
Instruktion: Die Betrüger geben klare Anweisungen zum Kauf von Geschenkkarten und zur Übermittlung der Codes oder zur Ausführung der Zahlung.
Empfehlungen
Ad hoc: Sollten Sie eine Zahlung getätigt haben, wenden Sie sich umgehend an die Bank, über welche Sie die Zahlung getätigt haben. Allenfalls hat diese noch die Möglichkeit, die Zahlung zu stoppen. Zusätzlich empfiehlt das BACS, sich an die für Ihren Geschäftssitz verantwortliche Kantonspolizei zu wenden und Strafanzeige zu erstatten.
Verifizierung: Bei jeder ungewöhnlichen Zahlungsaufforderung oder Geschenkkarten-Anfrage per E-Mail ist eine Rückbestätigung beim vermeintlichen Auftraggeber über einen separaten, bekannten Kanal (z. B. Telefonanruf auf bekannter interner Nummer, persönliches Gespräch) zwingend erforderlich. Antworten Sie niemals auf die E-Mail und nutzen Sie keine darin enthaltenen Kontaktdaten.
Prozesse: Etablieren Sie klar definierte Zahlungsfreigabeprozesse, inklusive des Vier-Augen-Prinzips, besonders bei ausserordentlichen Transaktionen. Setzen Sie die strikte Einhaltung dieser Prozesse durch. Legen Sie klare Kompetenzregelungen und Limiten fest.
Sensibilisierung: Schulen Sie alle Mitarbeitenden regelmässig, insbesondere Mitarbeitende im Finanzbereich und in Kaderpositionen. Sensibilisieren Sie diese Mitarbeitenden für die Gefahren von CEO-Betrug, Phishing und Social Engineering.
Informationsmanagement: Seien Sie bei der Veröffentlichung detaillierter interner Organigramme und von direkten Kontaktdaten von Mitarbeitenden im Finanzbereich zurückhaltend.
E-Mail-Sicherheit: Setzen Sie robuste Spam- und Phishing-Filter ein. E-Mail-Administratoren empfiehlt das BACS, Mechanismen zur Absenderverifikation (SPF, DKIM, DMARC) zu konfigurieren. Konfigurieren Sie die E-Mail-Umgebung so, dass die Mitarbeitenden darauf hingewiesen werden, falls die E-Mails von extern kommen.
Authentisierung: Verwenden Sie wenn möglich starke Passwörter und die Zwei-Faktor-Authentisierung (2FA).
