deen
Nexia Ebner Stolz

Vorsicht vor „Fake-CEO-Betrug“

Vermehrt sind Unternehmen Risiken ausgesetzt, von externen Dritten unter Zuhilfenahme unwissender oder leichtfertig handelnder Mitarbeiter durch kriminelle Handlungen geschädigt zu werden. Die Rede ist von sog. „Fake-CEO-Fraud“ (mitunter auch als „Fake-President-Fraud“ bekannt). Aktuelle Beispiele namhafter Unternehmen zeigen, dass hierdurch Schäden in Millionenhöhe entstehen können. Und - es existiert aktuell eine neue Betrugsvariante.

Worum geht es? Betrü­ger spähen im Rah­men eines sog. „Social Engenee­ring“ über legale Kanäle Unter­neh­mens- und Mit­ar­bei­ter­da­ten, etwa die E-Mail-Adresse, Tele­fon, Abtei­lung, Funk­tion und Posi­tion, aus und erhal­ten erste wich­tige Anga­ben über die innere Unter­neh­mens­struk­tur. Diese Infor­ma­tio­nen wer­den dann über Anrufe als ver­meint­li­cher Geschäft­s­part­ner veri­fi­ziert. Bewusst plat­zierte anony­mi­sierte E-Mails stel­len zudem die Rich­tig­keit der Kon­takt­da­ten sicher. Über Abwe­sen­heit­sas­sis­ten­ten wer­den aktu­elle Ver­füg­bar­kei­ten von ein­zel­nen Mit­ar­bei­tern kon­trol­liert. Mit dar­über hin­aus gehen­den  kri­mi­nel­len Hacker­an­grif­fen wer­den zudem elek­tro­ni­sche Iden­ti­tä­ten und Kor­res­pon­den­zen aus­ge­späht.

© Thinkstock

Ist der Mit­ar­bei­ter mit sei­nen Kon­takt­da­ten und der Mög­lich­keit einer Ver­mö­gens­dis­po­si­tion iden­ti­fi­ziert, wird er als Werk­zeug für die kri­mi­nelle Hand­lung ein­ge­setzt: er erhält von dem ver­meint­li­chen, betrü­ge­risch han­deln­den CEO (der sich viel­fach als CEO der Kon­zern­mut­ter­ge­sell­schaft aus­gibt) per E-Mail Anwei­sun­gen mit dem Ver­weis auf abso­lu­tes Still­schwei­gen im Zusam­men­hang mit einer für das Unter­neh­men wich­ti­gen Ver­mö­gens­trans­ak­tion. Neben der Anwei­sung, Geld­be­träge auf ein exp­li­zit benann­tes Bank­konto zu zah­len, erhält der Mit­ar­bei­ter auch noch einen Ansp­rech­part­ner für Rück­fra­gen. Von die­sem Ansp­rech­part­ner wird der Mit­ar­bei­ter oft­mals auch kurze Zeit nach Erhalt der E-Mail ange­ru­fen mit dem Zweck, des­sen Sicher­heits­ge­fühl zu erhöhen. Zur Sicher­stel­lung der ord­nungs­ge­mä­ßen Trans­ak­tion im Sinne des Unter­neh­mens wird der Mit­ar­bei­ter zusätz­lich dazu verpf­lich­tet, von selbst kei­nen Kon­takt mit dem CEO auf­zu­neh­men.

Viel­fach fol­gen Mit­ar­bei­ter die­sen betrü­ge­ri­schen Anwei­sun­gen, hal­ten Still­schwei­gen und über­wei­sen die Gel­der auf das ver­meint­li­che Unter­neh­mens­konto. Dort wer­den die Gel­der ent­we­der direkt in bar abge­ho­ben oder unver­züg­lich an Dritt­ban­ken und andere Kanäle wei­ter­ge­lei­tet. Eine Nach­ver­fol­gung und Rück­ho­lung der Gel­der ist viel­fach unmög­lich und wird bei Trans­ak­tio­nen über Län­der­g­ren­zen zusätz­lich erschwert. Der reine Rechts­weg über eine Straf­an­zeige reicht in die­sen Fäl­len für eine sch­nelle Reak­tion nicht aus.
Ganz ähn­lich funk­tio­niert der sog. Pay­ment Diver­sion Fraud. Hier geben sich die Betrü­ger als Geschäft­s­part­ner aus und bewe­gen Mit­ar­bei­ter dazu, mit­tels gefälsch­ter Mit­tei­lun­gen Ent­gelt für Waren oder Dienst­leis­tun­gen auf andere als die ursprüng­lich ange­ge­be­nen Kon­ten zu über­wei­sen, indem eine neue Bank­ver­bin­dung vor­ge­täuscht wird. Das Ent­de­ckungs­ri­siko eines sol­chen Pay­ment Diver­sion Fraud ist gering: Er fällt viel­fach erst auf, wenn das ange­grif­fene Unter­neh­men von sei­nem rich­ti­gen Geschäft­s­part­ner Zah­lungs­auf­for­de­run­gen für die ver­meint­lich bereits bezahl­ten Rech­nun­gen erhält. Bis dahin sind die Geld­be­träge längst in dun­k­len Kanä­len ver­schwun­den. Hinzu kommt, dass geschä­d­igte Unter­neh­men die Sach­ver­halte aus Angst vor Repu­ta­ti­ons­schä­den nicht zur Anzeige brin­gen.

Dem nicht genug: Ab Mai 2018 haben die geschä­d­ig­ten Unter­neh­men Stra­fen durch einen damit ver­bun­de­nen Ver­stoß gegen die neue EU-Daten­schutz­grund­ver­ord­nung (DSGVO) zu befürch­ten. So haben Unter­neh­men maxi­mal 72 Stun­den ab Kennt­nis von der Cyber­at­ta­cke Zeit, um diese und einen damit ver­bun­de­nen Iden­ti­täts­dieb­stahl zu mel­den. Die mit einem sol­chen Ver­stoß ein­her­ge­hen­den Buß­gel­der kön­nen sich auf bis zu 10 Mio. Euro oder 2 % des Kon­zern­um­sat­zes belau­fen.

Hin­weis

Tref­fen kann diese betrü­ge­ri­schen Hand­lun­gen alle Unter­neh­men. Diese soll­ten daher vor­sor­g­lich einen Kri­sen­re­ak­ti­ons­plan defi­nie­ren. Nicht zuletzt im Kri­sen­fall ist exter­ner Rat von Vor­teil, um in kur­zer Zeit die rich­ti­gen Ent­schei­dun­gen zu tref­fen. Dane­ben soll­ten Maß­nah­men für ein Anti-Fraud-Mana­ge­ment ein­ge­führt wer­den.

Auf­merk­same und kri­ti­sche Mit­ar­bei­ter sind dabei die erste und wirk­samste Präv­en­ti­ons­maß­nahme. Aus die­sem Grund sind Mit­ar­bei­ter in Schu­lun­gen hin­sicht­lich der Risi­ken von wirt­schafts­kri­mi­nel­len Hand­lun­gen zu sen­si­bi­li­sie­ren. Ent­sp­re­chende Siche­rungs­maß­nah­men und Kon­trol­l­ak­ti­vi­tä­ten (z. B. Vier-Augen-Prin­zip) soll­ten imp­le­men­tiert wer­den. Ebner Stolz unter­stützt Unter­neh­men bei der Präv­en­tion und Auf­klär­ung der­ar­ti­ger wirt­schafts­kri­mi­nel­ler Hand­lun­gen.



nach oben