18. Juni 2018
Dieser Beitrag entstand während des Weiterbildungslehrgangs MAS Economic Crime Investigation und wurde von der Studienleitung als überdurchschnittlich bewertet.
Von Daniel Carreiras
Die weltweite Vernetzung über das Internet ist aus dem heutigen Wirtschaftsleben nicht mehr wegzudenken. Unternehmen präsentieren sich und werben über ihre Webseite und der Grossteil der Unternehmenskommunikation wird heutzutage elektronisch (E-Mail) abgewickelt. Allerdings haben auch Kriminelle die Nutzung des Internets für sich entdeckt: Computerkriminalität, auch als Cyberkriminalität (vom Englischen «Cybercrime») bekannt, ist mittlerweile allgegenwärtig und sorgt jährlich für Schäden in Milliardenhöhe.
Eine besonders lohnenswerte Betrugsmasche für Cyberkriminelle ist diejenige des Chefbetrugs, auf Englisch «CEO Fraud»: Kriminelle geben sich in E-Mails als vermeintliche Führungsmitglieder oder sogar als CEO einer Unternehmung aus und erwirken, dass deren Angestellte hohe Beträge an die Betrüger überweisen. Die Betrugsmasche ist auch als «Business E-Mail Compromise», «Fake President Fraud» oder «Bogus-Boss-E-Mail» bekannt [1]. Das FBI hat im Mai 2017 eine Statistik veröffentlicht, die den weltweiten Schaden durch CEO Fraud im Zeitraum zwischen Oktober 2013 und Dezember 2016 auf 5,3 Milliarden US-Dollar beziffert [2, 3]. Es sind auch Einzelfälle bekannt, bei denen die Täter hohe, zweistellige Millionenbeträge ertrügen konnten. Der deutsche Autozulieferer Leoni hat zum Beispiel im Jahr 2016 durch CEO Fraud einen Schaden von rund 40 Millionen Euro erfahren [4]. Beim österreichischen Luftfahrtzulieferer FACC entstand durch diese Betrugsmasche Ende 2015 sogar ein Schaden von insgesamt 50 Millionen Euro [5]. Die Aussicht aufsolch hohe Gewinne erklärt den hohen Aufwand, den die Betrüger auf sich nehmen.
Zu Beginn dieser Betrugsmasche steht das Ausspähen eines geeigneten Zielobjekts. Meist handelt es sich um Grossunternehmen, die über hohe Finanzmittel verfügen und aufgrund der Komplexität innerhalb des Unternehmens ein geringeres Risiko bieten, entdeckt zu werden [6]. Die Täter beginnen nun Informationen zu sammeln – beispielsweise welche Personen in der Finanzabteilung arbeiten, da diese für gewöhnlich eine Kontovollmacht besitzen und folglich auch Auszahlungen auslösen können. Informationen gewinnen die Täter meist über die Recherche im Internet und in sozialen Netzwerken. Sie hacken aber auch E-Mail Konten, um an sensible Informationen der Unternehmen zu kommen oder um das E-Mail Konto für die Durchführung des Betrugs zu «kapern».
Nachdem alle relevanten Informationen beschafft wurden, fängt die eigentliche Masche an. Ein geläufiges Szenario ist, dass ein Mitarbeiter der Finanzabteilung ein E-Mail mit der Aufforderung erhält, Geld an ein bestimmtes Konto zu überweisen. Vermeintlicher Absender ist ein hochrangiger Firmenvertreter wie der CEO oder der CFO. Tatsächlich handelt es sich bei dem Absender aber um die Täterschaft, sei es durch den Missbrauch der vom CEO oder CFO gekaperten E-Mail Adresse oder der Benutzung einer E-Mail Adresse, die sehr identisch aussieht und auf den ersten Blick nicht von der echten Adresse zu unterscheiden ist. Begründet wird die Überweisung oft mit einem „geheimen Projekt“, beispielsweise ein Firmenkauf, von welchem keiner erfahren darf. Zudem betont die Täterschaft, wie zeitsensitiv das „Projekt“ sei: Die entsprechenden Zahlungen müssten jeweils sehr dringend ausgeführt werden, da das Geschäft ansonsten nicht zustande komme.
Psychisch setzen die Täter die zuständige Person im Unternehmen enorm unter Druck: Sie erwähnen oft im weiteren Schriftverkehr, dass der betreffende Mitarbeiter bisher immer tadellose Arbeit geleistet habe und eine besondere Vertrauensstellung geniesse. Es wird erwartet, dass er absolute Diskretion gewahre und die Sache schnell über die Bühne bringe. Dadurch suggerieren die Täter, dass der Erfolg des Geschäfts vom Mitarbeiter abhänge. Die Angst, für einen Misserfolg verantwortlich gemacht zu werden – und dadurch allenfalls den Arbeitsplatz zu verlieren – in Kombination mit der Täuschung, es tatsächlich mit einer ranghohen Führungsperson zu tun zu haben, bringt den Mitarbeiter schlussendlich dazu, den Auftrag auszuführen. Das Geld wird auf das angegebene Konto überwiesen.
Das Empfängerkonto befindet sich meist in Asien: China oder Hong Kong sind beliebte Überweisungsziele. Die Konten sind meist bei namhaften Banken und gehören vermutlich einem Strohmann. Ist das Geld erst mal dorthin transferiert, wird dieses sofort sternförmig weiterverteilt [1]. Dadurch ist es in den meisten Fällen unmöglich, wieder an das Geld zu kommen.
Als wirksamer Schutz gegen CEO-Fraud hilft eigentlich nur Prävention: Intelligente E-Mail-Filter können eine höhere Sicherheit bieten, da diese verdächtige E-Mails anhand von bestimmten Kriterien identifizieren und diese unter Quarantäne stellen [7]. Allerdings kann ein solcher Filter nicht alle schädlichen E-Mails erfassen. Der Mensch selbst ist und bleibt das höchste Risiko. Schulungen können die Angestellten auf Hinweise einer Internet-Betrugsmasche à la CEO-Fraud sensibilisieren.
Zu möglichen Präventionsmassnahmen zählen:
Schliesslich kann die Geschäftsleitung selbst für eine wirksame Prävention sorgen, durch Einführung interner Kontrollmechanismen (zum Beispiel das 4-Augen-Prinzip) und klare Kommunikation, dass Zahlungsanweisungen niemals für solche «Geheimaktionen» in Auftrag geben werden. Es sollte ebenfalls kommuniziert werden, dass Angestellte bei Zweifel eine Anweisung hinterfragen können, statt diese wie selbstverständlich umzusetzen. Hinterfragen darf für die Mitarbeitenden keinerlei Konsequenzen haben. Wenn durch simples Fragen ein potentieller Betrug verhindert werden kann, ist dies die effektivste Art der Prävention.
Literaturverzeichnis
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.