de en
Nexia Ebner Stolz

Themen

Vorsicht vor „Fake-CEO-Betrug“

Ver­mehrt sind Un­ter­neh­men Ri­si­ken aus­ge­setzt, von ex­ter­nen Drit­ten un­ter Zu­hil­fe­nahme un­wis­sen­der oder leicht­fer­tig han­deln­der Mit­ar­bei­ter durch kri­mi­nelle Hand­lun­gen ge­schädigt zu wer­den. Die Rede ist von sog. „Fake-CEO-Fraud“ (mit­un­ter auch als „Fake-Pre­si­dent-Fraud“ be­kannt). Ak­tu­elle Bei­spiele nam­haf­ter Un­ter­neh­men zei­gen, dass hier­durch Schäden in Mil­lio­nenhöhe ent­ste­hen können. Und - es exis­tiert ak­tu­ell eine neue Be­trugs­va­ri­ante.

Worum geht es? Betrüger spähen im Rah­men ei­nes sog. „So­cial En­genee­ring“ über le­gale Kanäle Un­ter­neh­mens- und Mit­ar­bei­ter­da­ten, etwa die E-Mail-Adresse, Te­le­fon, Ab­tei­lung, Funk­tion und Po­si­tion, aus und er­hal­ten er­ste wich­tige An­ga­ben über die in­nere Un­ter­neh­mens­struk­tur. Diese In­for­ma­tio­nen wer­den dann über An­rufe als ver­meint­li­cher Ge­schäfts­part­ner ve­ri­fi­ziert. Be­wusst plat­zierte an­ony­mi­sierte E-Mails stel­len zu­dem die Rich­tig­keit der Kon­takt­da­ten si­cher. Über Ab­we­sen­heits­as­sis­ten­ten wer­den ak­tu­elle Verfügbar­kei­ten von ein­zel­nen Mit­ar­bei­tern kon­trol­liert. Mit darüber hin­aus ge­hen­den  kri­mi­nel­len Ha­cker­an­grif­fen wer­den zu­dem elek­tro­ni­sche Iden­titäten und Kor­re­spon­den­zen aus­gespäht.

© Thinkstock

Ist der Mit­ar­bei­ter mit sei­nen Kon­takt­da­ten und der Möglich­keit ei­ner Vermögens­dis­po­si­tion iden­ti­fi­ziert, wird er als Werk­zeug für die kri­mi­nelle Hand­lung ein­ge­setzt: er erhält von dem ver­meint­li­chen, betrüge­ri­sch han­deln­den CEO (der sich viel­fach als CEO der Kon­zern­mut­ter­ge­sell­schaft aus­gibt) per E-Mail An­wei­sun­gen mit dem Ver­weis auf ab­so­lu­tes Still­schwei­gen im Zu­sam­men­hang mit ei­ner für das Un­ter­neh­men wich­ti­gen Vermögens­trans­ak­tion. Ne­ben der An­wei­sung, Geld­beträge auf ein ex­pli­zit be­nann­tes Bank­konto zu zah­len, erhält der Mit­ar­bei­ter auch noch einen An­sprech­part­ner für Rück­fra­gen. Von die­sem An­sprech­part­ner wird der Mit­ar­bei­ter oft­mals auch kurze Zeit nach Er­halt der E-Mail an­ge­ru­fen mit dem Zweck, des­sen Si­cher­heits­gefühl zu erhöhen. Zur Si­cher­stel­lung der ord­nungs­gemäßen Trans­ak­tion im Sinne des Un­ter­neh­mens wird der Mit­ar­bei­ter zusätz­lich dazu ver­pflich­tet, von selbst kei­nen Kon­takt mit dem CEO auf­zu­neh­men.

Viel­fach fol­gen Mit­ar­bei­ter die­sen betrüge­ri­schen An­wei­sun­gen, hal­ten Still­schwei­gen und über­wei­sen die Gelder auf das ver­meint­li­che Un­ter­neh­mens­konto. Dort wer­den die Gelder ent­we­der di­rekt in bar ab­ge­ho­ben oder un­verzüglich an Dritt­ban­ken und an­dere Kanäle wei­ter­ge­lei­tet. Eine Nach­ver­fol­gung und Rück­ho­lung der Gelder ist viel­fach unmöglich und wird bei Trans­ak­tio­nen über Länder­gren­zen zusätz­lich er­schwert. Der reine Rechts­weg über eine Straf­an­zeige reicht in die­sen Fällen für eine schnelle Re­ak­tion nicht aus.
Ganz ähn­lich funk­tio­niert der sog. Pay­ment Di­ver­sion Fraud. Hier ge­ben sich die Betrüger als Ge­schäfts­part­ner aus und be­we­gen Mit­ar­bei­ter dazu, mit­tels gefälsch­ter Mit­tei­lun­gen Ent­gelt für Wa­ren oder Dienst­leis­tun­gen auf an­dere als die ur­sprüng­lich an­ge­ge­be­nen Kon­ten zu über­wei­sen, in­dem eine neue Bank­ver­bin­dung vor­getäuscht wird. Das Ent­de­ckungs­ri­siko ei­nes sol­chen Pay­ment Di­ver­sion Fraud ist ge­ring: Er fällt viel­fach erst auf, wenn das an­ge­grif­fene Un­ter­neh­men von sei­nem rich­ti­gen Ge­schäfts­part­ner Zah­lungs­auf­for­de­run­gen für die ver­meint­lich be­reits be­zahl­ten Rech­nun­gen erhält. Bis da­hin sind die Geld­beträge längst in dunk­len Kanälen ver­schwun­den. Hinzu kommt, dass ge­schädigte Un­ter­neh­men die Sach­ver­halte aus Angst vor Re­pu­ta­ti­ons­schäden nicht zur An­zeige brin­gen.

Dem nicht ge­nug: Ab Mai 2018 ha­ben die ge­schädig­ten Un­ter­neh­men Stra­fen durch einen da­mit ver­bun­de­nen Ver­stoß ge­gen die neue EU-Da­ten­schutz­grund­ver­ord­nung (DS­GVO) zu befürch­ten. So ha­ben Un­ter­neh­men ma­xi­mal 72 Stun­den ab Kennt­nis von der Cy­ber­at­ta­cke Zeit, um diese und einen da­mit ver­bun­de­nen Iden­titätsdieb­stahl zu mel­den. Die mit einem sol­chen Ver­stoß ein­her­ge­hen­den Bußgelder können sich auf bis zu 10 Mio. Euro oder 2 % des Kon­zern­um­sat­zes be­lau­fen.

Hinweis

Tref­fen kann diese betrüge­ri­schen Hand­lun­gen alle Un­ter­neh­men. Diese soll­ten da­her vor­sorg­lich einen Kri­sen­re­ak­ti­ons­plan de­fi­nie­ren. Nicht zu­letzt im Kri­sen­fall ist ex­ter­ner Rat von Vor­teil, um in kur­zer Zeit die rich­ti­gen Ent­schei­dun­gen zu tref­fen. Da­ne­ben soll­ten Maßnah­men für ein Anti-Fraud-Ma­nage­ment ein­geführt wer­den.

Auf­merk­same und kri­ti­sche Mit­ar­bei­ter sind da­bei die er­ste und wirk­samste Präven­ti­onsmaßnahme. Aus die­sem Grund sind Mit­ar­bei­ter in Schu­lun­gen hin­sicht­lich der Ri­si­ken von wirt­schafts­kri­mi­nel­len Hand­lun­gen zu sen­si­bi­li­sie­ren. Ent­spre­chende Si­che­rungsmaßnah­men und Kon­troll­ak­ti­vitäten (z. B. Vier-Au­gen-Prin­zip) soll­ten im­ple­men­tiert wer­den. Eb­ner Stolz un­terstützt Un­ter­neh­men bei der Präven­tion und Aufklärung der­ar­ti­ger wirt­schafts­kri­mi­nel­ler Hand­lun­gen.

nach oben