Worum geht es? Betrüger spähen im Rahmen eines sog. „Social Engeneering“ über legale Kanäle Unternehmens- und Mitarbeiterdaten, etwa die E-Mail-Adresse, Telefon, Abteilung, Funktion und Position, aus und erhalten erste wichtige Angaben über die innere Unternehmensstruktur. Diese Informationen werden dann über Anrufe als vermeintlicher Geschäftspartner verifiziert. Bewusst platzierte anonymisierte E-Mails stellen zudem die Richtigkeit der Kontaktdaten sicher. Über Abwesenheitsassistenten werden aktuelle Verfügbarkeiten von einzelnen Mitarbeitern kontrolliert. Mit darüber hinaus gehenden kriminellen Hackerangriffen werden zudem elektronische Identitäten und Korrespondenzen ausgespäht.
© ThinkstockIst der Mitarbeiter mit seinen Kontaktdaten und der Möglichkeit einer Vermögensdisposition identifiziert, wird er als Werkzeug für die kriminelle Handlung eingesetzt: er erhält von dem vermeintlichen, betrügerisch handelnden CEO (der sich vielfach als CEO der Konzernmuttergesellschaft ausgibt) per E-Mail Anweisungen mit dem Verweis auf absolutes Stillschweigen im Zusammenhang mit einer für das Unternehmen wichtigen Vermögenstransaktion. Neben der Anweisung, Geldbeträge auf ein explizit benanntes Bankkonto zu zahlen, erhält der Mitarbeiter auch noch einen Ansprechpartner für Rückfragen. Von diesem Ansprechpartner wird der Mitarbeiter oftmals auch kurze Zeit nach Erhalt der E-Mail angerufen mit dem Zweck, dessen Sicherheitsgefühl zu erhöhen. Zur Sicherstellung der ordnungsgemäßen Transaktion im Sinne des Unternehmens wird der Mitarbeiter zusätzlich dazu verpflichtet, von selbst keinen Kontakt mit dem CEO aufzunehmen.
Vielfach folgen Mitarbeiter diesen betrügerischen Anweisungen, halten Stillschweigen und überweisen die Gelder auf das vermeintliche Unternehmenskonto. Dort werden die Gelder entweder direkt in bar abgehoben oder unverzüglich an Drittbanken und andere Kanäle weitergeleitet. Eine Nachverfolgung und Rückholung der Gelder ist vielfach unmöglich und wird bei Transaktionen über Ländergrenzen zusätzlich erschwert. Der reine Rechtsweg über eine Strafanzeige reicht in diesen Fällen für eine schnelle Reaktion nicht aus.
Ganz ähnlich funktioniert der sog. Payment Diversion Fraud. Hier geben sich die Betrüger als Geschäftspartner aus und bewegen Mitarbeiter dazu, mittels gefälschter Mitteilungen Entgelt für Waren oder Dienstleistungen auf andere als die ursprünglich angegebenen Konten zu überweisen, indem eine neue Bankverbindung vorgetäuscht wird. Das Entdeckungsrisiko eines solchen Payment Diversion Fraud ist gering: Er fällt vielfach erst auf, wenn das angegriffene Unternehmen von seinem richtigen Geschäftspartner Zahlungsaufforderungen für die vermeintlich bereits bezahlten Rechnungen erhält. Bis dahin sind die Geldbeträge längst in dunklen Kanälen verschwunden. Hinzu kommt, dass geschädigte Unternehmen die Sachverhalte aus Angst vor Reputationsschäden nicht zur Anzeige bringen.
Dem nicht genug: Ab Mai 2018 haben die geschädigten Unternehmen Strafen durch einen damit verbundenen Verstoß gegen die neue EU-Datenschutzgrundverordnung (DSGVO) zu befürchten. So haben Unternehmen maximal 72 Stunden ab Kenntnis von der Cyberattacke Zeit, um diese und einen damit verbundenen Identitätsdiebstahl zu melden. Die mit einem solchen Verstoß einhergehenden Bußgelder können sich auf bis zu 10 Mio. Euro oder 2 % des Konzernumsatzes belaufen.
Hinweis
Treffen kann diese betrügerischen Handlungen alle Unternehmen. Diese sollten daher vorsorglich einen Krisenreaktionsplan definieren. Nicht zuletzt im Krisenfall ist externer Rat von Vorteil, um in kurzer Zeit die richtigen Entscheidungen zu treffen. Daneben sollten Maßnahmen für ein Anti-Fraud-Management eingeführt werden.
Aufmerksame und kritische Mitarbeiter sind dabei die erste und wirksamste Präventionsmaßnahme. Aus diesem Grund sind Mitarbeiter in Schulungen hinsichtlich der Risiken von wirtschaftskriminellen Handlungen zu sensibilisieren. Entsprechende Sicherungsmaßnahmen und Kontrollaktivitäten (z. B. Vier-Augen-Prinzip) sollten implementiert werden. Ebner Stolz unterstützt Unternehmen bei der Prävention und Aufklärung derartiger wirtschaftskrimineller Handlungen.
