CEO-Betrug: Wie sich Gemeinden davor schützen können

Aufgrund ihrer Öffentlichkeit und der Verfügbarkeit vielfältiger Informationen auf den Gemeinde-Websites sind Gemeinden ein attraktives Ziel für CEO-Betrugsversuche. Beim CEO-Betrug geben sich Kriminelle typischerweise per E-Mail als Führungsperson aus – beispielsweise als Chefin, als Abteilungsleitende oder als Gemeindepräsident. CEO-Betrug findet aber nicht nur via E-Mail statt. Auch über WhatsApp oder Telefon werden die Betrugsversuche mittlerweile getätigt. Ziel ist es, Mitarbeitende der Finanzabteilung gezielt so zu manipulieren und unter Druck zu setzen, dass diese Finanztransaktionen auslösen oder Geschenkkarten beschaffen. Der Finanztransfer endet jedoch nicht an der korrekten Stelle, sondern bei den Betrügern.

Das BACS empfiehlt als Schutz vor CEO-Betrug, bei Zahlungsanfragen klare Kompetenzregelungen und konsequente Prozesse zu definieren, sowohl für Mitarbeitende im Finanzbereich als auch für Führungskräfte. Bei Unsicherheiten sollte man die Anfrage über einen separaten und bekannten Kommunikationskanal verifizieren. Zahlungsfreigaben im Vieraugenprinzip und regelmässige Schulungen zu Betrug und Social Engineering sind weitere wirksame Schutzmassnahmen, ebenso wie die konsequente Nutzung der E-Mail-Signatur und ein robuster Spamfilter. Publizieren Sie ausserdem möglichst keine internen Informationen auf der Website der Gemeinde.

Sollten Sie trotz präventiver Massnahmen eine Zahlung getätigt haben, wenden Sie sich umgehend an die Bank, über die Sie die Zahlung getätigt haben. Allenfalls hat diese noch die Möglichkeit, die Zahlung zu stoppen. Zusätzlich empfiehlt das BACS, sich an die verantwortliche Kantonspolizei zu wenden und Strafanzeige zu erstatten.

Identifizierte und erfolgte CEO-Betrugsversuche können auf freiwilliger Basis dem BACS gemeldet werden unter: https://www.report.ncsc.admin.ch/de/

Auf der Website des BACS finden Sie weitere Informationen zum Thema CEO-Betrug sowie zu anderen Cyberbedrohungen.