Cyber- Kriminalität: Hohes Betrugsrisiko durch CEO-Fraud
CEO Fraud oder „Chef-Betrug“ wird eine Betrugsmasche genannt, mit der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld auf fremde Konten veranlasst werden. Während 2013 lediglich vier solcher Fälle bekannt wurden, wuchs die Zahl der Delikte im Jahr 2014 auf 20 und im Jahr 2015 auf 74 Fälle. Laut Bundeskriminalamt gab es seit dem Jahr 2013 über 200 Fälle in Deutschland; die Dunkelziffer dürfte noch höher liegen. Der Gesamtschaden beläuft sich auf mehr als 100 Millionen Euro. Betroffen sind keineswegs nur Großunternehmen mit internationaler Ausrichtung, wie der Begriff CEO Fraud vielleicht vermuten lässt. Das Bundeskriminalamt berichtet in einer Pressemitteilung im Juli 2017 über neue Fälle des Chef-Betrugs, in denen auch Berufs- und Wohlfahrtsverbände sowie Stiftungen betroffen waren. Es gibt also gute Gründe, für das Risiko zu sensibilisieren und die Vorgehensweise der Betrüger vorzustellen. Wir stellen exemplarische Abwehrmechanismen vor, mit denen Sie das Risiko eines erfolgreichen CEO Fraud durch organisatorische Maßnahmen reduzieren können.
Die vier Phasen des "Chef-Betrugs":
Die genaue Vorgehensweise der Betrüger variiert von Fall zu Fall, aber die Betrugsmasche läuft nach Erkenntnissen aus der Praxis oftmals in vier Phasen ab:
In der ersten Phase gewinnen die Betrüger systematisch Informationen über das betroffene Unternehmen und den zu kontaktierenden Mitarbeiter. Auch die Geschäftsführung ist Gegenstand dieser Informationsgewinnung. Zu den relevanten Informationen zählt beispielsweise der Name des Mitarbeiters, der Überweisungen tätigen kann. Die Informationsquellen für die Täter sind vielfältig: In Frage kommen Veröffentlichungen wie zugängliche Berichte, das Handelsregister, die Internetseite des Unternehmens, Broschüren oder auch telefonische Auskünfte. Häufig werdengezielt die Abwesenheitszeiten von Führungskräftenausspioniert, um den Betrugsversuch später in einem günstigen Moment durchzuführen. Informationen in sozialen Netzwerken, in denen Mitarbeiter ihre Aufgaben beschreiben, können sich die Betrüger ebenfalls zunutze machen.
In der zweiten Phase senden die Betrüger in der Regel eine E-Mail an einen Mitarbeiter, der berechtigt ist, Überweisungen durchzuführen. Dabei gibt er sich als die bekannte Führungskraft aus und kündigt eine eilige Überweisung an. Die Mailadresse des Absenders wird hierbei von den Betrügern gefälscht und unterscheidet sich meist nur in kleineren Merkmalen, die beim flüchtigen Lesen nicht auffallen, von der echten Adresse. Oftmals steht ein außergewöhnlich hoher Betrag im Raum, der auf ein ausländisches Konto gezahlt werden soll. Typischerweise wird die Zielperson von den Betrügern direkt angesprochen und der Text hat den Charakter einer Anordnung. Durch äußerst geschickte Ansprache des Mitarbeiters mit Formulierungen wie: „Es handelt sich um einen sehr vertraulichen Vorgang, in den ich aktuell nur Sie einweihen möchte – ich kann doch auf Ihre absolute Verschwiegenheit zählen, oder?“, baut der Betrüger ein Vertrauensverhältnis auf. Verboten wird dabei ausdrücklich die Einbindung anderer Mitarbeiter oder des Vorgesetzten.
Die dritte Phase dient der Fortführung der Kommunikationsaktivitäten. Teilweise kam es bei bekanntgewordenen Fällen sogar zu telefonischen Kontakten, um dem Mitarbeiter auch den letzten Zweifel daran zu nehmen, dass die Anordnung des Chefs nicht berechtigt sein könnte. So wurden Fälle bekannt, in denen die Zielperson einen angeblichen anrufen konnte, der sich als juristischer Begleiter der Transaktion vorstellte und durch geschickte Manipulation mit Aussagen wie: „Ihr Chef sitzt gerade in einer Besprechung in unserer Kanzlei und wir benötigen nun kurzfristig die Überweisung, um die Transaktion abzuschließen“, den Mitarbeiter zum Handeln drängte.
Wenn die Täter mit ihrer Vorgehensweise erfolgreich waren und der Betrugsversuch nicht erkannt wird, erfolgt in dervierten Phase die Überweisung des Geldes auf das Zielkonto.
Die Abwehrmaßnahmen gegen solche Angriffe sollten sichauf die gerade vorgestellten vier Phasen beziehen. Hinsichtlich der Informationsgewinnung sollten Ihr Unternehmen und seine Mitarbeiter dem Grundsatz der Datensparsamkeit folgen. Ein gesundes Misstrauen ist gefragt, wenn Anrufer Informationen über interne Abläufe oder Abwesenheitenvon ührungskräften erfragen. Um die direkte Ansprache des Mitarbeiters in der zweiten Phase zu erschweren, sollten Sie Ihre Mitarbeiter für diese Betrugsmasche sensibilisieren und bei internen Veranstaltungen über bekannte Fälle und die Vorgehensweise der Betrüger sprechen. Damit Sie den Betrugsversuch spätestens in der dritten Phase erfolgreich unterbinden, ist ein funktionsfähiges InternesKontrollsystem (IKS) erforderlich. Die Einführung des Vier-Augen-Prinzips bei der Freigabe von Zahlungen reduziert die Erfolgsaussichten des Betrugsversuchs deutlich. Wenn für Ihre Mitarbeiter außer Frage steht, dass Zahlungsaufträge immer von einer zweiten Person freigegeben werden müssen, und dieses Prinzip auch von der Geschäftsführung gelebt wird („tone from the top“), dürfte der Betrug über den Versuch nicht hinauskommen. In diesem Zusammenhang kann ein selbstbewusster Mitarbeiter auch durch einen vollständigen Wechsel des Kommunikationsmediums von E-Mail auf Telefon zur Aufdeckung der betrügerischen Absichtenbeitragen.
Wenn der „Chef“ persönlich schreibt: CEO-Fraud erkennen und vermeiden
Die wiederholte Sensibilisierung der Mitarbeiter und organisatorische Sicherungsmaßnahmen sind wichtige Bausteine zur Prävention des CEO Frauds. Die zu ergreifenden Maßnahmen sollten für die jeweilige
Organisation individuell festgelegt werden und Elemente eines IKS wie Funktionstrennung und das Vier-Augen-Prinzip beinhalten. Die Interne Revision stellt dabei eine wichtige Verteidigungslinie des Unternehmens gegen Risiken aus wirtschaftskriminellen Handlungen dar, zu denen auch der Chef-Betrug zählt. Die Solidaris unterstützt Sie gerne bei der Durchführung einer internen Revisionsprüfung, die sich mit der Durchlässigkeit bzw. Wirksamkeit ihres Internen Kontrollsystems befasst und eine Risikoeinschätzung inklusive Handlungsempfehlungen liefert.
