Die Risikolandschaft für Unternehmen ist durch ein weiteres kriminelles Handlungsmuster erweitert worden. Beim „Fake CEO-Betrug“ werden arglose Mitarbeiter von Externen dazu veranlasst, große Summen ohne Kontrolle auf unbekannte Konten zu überweisen. Durch die Sensibilisierung von Mitarbeitern und die Festlegung von Krisenmaßnahmen für den Notfall können Unternehmen sich und ihre Vermögenswerte absichern.
Fake-CEO-Fraud – das Handlungsmuster
Vermehrt sind Unternehmen Risiken ausgesetzt, von externen Dritten unter Zuhilfenahme unwissender oder leichtfertig handelnder Mitarbeiter durch kriminelle Handlungen geschädigt zu werden. Die Rede ist von sog. „Fake-CEO-Fraud“ (mitunter auch als „Fake-President-Fraud“ bekannt). Aktuelle Beispiele namhafter Unternehmen zeigen, dass hierdurch Schäden in Millionenhöhe entstehen können.
Worum geht es? Betrüger spähen im Rahmen eines sog. „Social Engineering“ über legale Kanäle Unternehmens- und Mitarbeiterdaten, etwa die E-Mail-Adresse, Telefon, Abteilung, Funktion und Position aus und erhalten erste wichtige Angaben über die innere Unternehmensstruktur. Diese Informationen werden dann über Anrufe als vermeintlicher Geschäftspartner verifiziert. Bewusst platzierte anonymisierte E-Mails stellen zudem die Richtigkeit der Kontaktdaten sicher. Über Abwesenheitsassistenten werden aktuelle Verfügbarkeiten von einzelnen Mitarbeitern kontrolliert. Mit darüber hinaus gehenden kriminellen Hackerangriffen werden zudem elektronische Identitäten und Korrespondenzen ausgespäht.
Täter handeln über unterschiedliche Kommunikationskanäle
Ist der Mitarbeiter mit seinen Kontaktdaten und der Möglichkeit einer Vermögensdisposition identifiziert, wird er als Werkzeug für die kriminelle Handlung eingesetzt: er erhält von dem vermeintlichen, betrügerisch handelnden CEO (der sich vielfach als CEO der Konzernmuttergesellschaft ausgibt) per E-Mail Anweisungen mit dem Verweis auf absolutes Stillschweigen im Zusammenhang mit einer für das Unternehmen wichtigen Vermögenstransaktion. Neben der Anweisung, Geldbeträge auf ein explizit benanntes Bankkonto zu zahlen, erhält der Mitarbeiter auch noch einen Ansprechpartner für Rückfragen. Von diesem Ansprechpartner wird der Mitarbeiter oftmals auch kurze Zeit nach Erhalt der E-Mail angerufen mit dem Zweck, dessen Sicherheitsgefühl zu erhöhen. Zur Sicherstellung der ordnungsgemäßen Transaktion im Sinne des Unternehmens wird der Mitarbeiter zusätzlich dazu verpflichtet, von selbst keinen Kontakt mit dem CEO aufzunehmen.
Vielfach folgen Mitarbeiter diesen betrügerischen Anweisungen, halten Stillschweigen und überweisen die Gelder auf das vermeintliche Unternehmenskonto. Dort werden die Gelder entweder direkt in bar abgehoben oder unverzüglich an Drittbanken und andere Kanäle weitergeleitet. Eine Nachverfolgung und Rückholung der Gelder ist vielfach unmöglich und wird bei Transaktionen über Ländergrenzen zusätzlich erschwert. Der reine Rechtsweg über eine Strafanzeige reicht in diesen Fällen für eine schnelle Reaktion nicht aus.
Eine Abwandlung – der Payment Diversion Fraud
Ganz ähnlich funktioniert der sog. Payment Diversion Fraud. Hier geben sich die Betrüger als Geschäftspartner aus und bewegen Mitarbeiter dazu, mittels gefälschter Mitteilungen Entgelt für Waren oder Dienstleistungen auf andere als die ursprünglich angegebenen Konten zu überweisen, indem eine neue Bankverbindung vorgetäuscht wird. Das Entdeckungsrisiko eines solchen Payment Diversion Fraud ist gering: Er fällt vielfach erst auf, wenn das angegriffene Unternehmen von seinem richtigen Geschäftspartner Zahlungsaufforderungen für die vermeintlich bereits bezahlten Rechnungen erhält. Bis dahin sind die Geldbeträge längst in den dunklen Kanälen verschwunden. Hinzu kommt, dass geschädigte Unternehmen die Sachverhalte aus Angst vor Reputationsschäden nicht zur Anzeige bringen.
Tatmuster führen zudem zu Datenschutzverstößen
Damit nicht genug: Ab Mai 2018 haben die geschädigten Unternehmen Strafen durch einen damit verbundenen Verstoß gegen die neue EU-Datenschutzgrundverordnung (DSGVO) zu befürchten. So haben Unternehmen ab Kenntnis von der Cyberattacke maximal 72 Stunden Zeit, um diese und einen damit verbundenen Identitätsdiebstahl zu melden. Die mit einem solchen Verstoß einhergehenden Bußgelder können sich auf bis zu 10 Mio. Euro oder 2 % des Konzernumsatzes belaufen.
Maßnahmen für Prävention und Krisenfall festlegen
Diese betrügerischen Handlungen können alle Unternehmen treffen. Diese sollten daher vorsorglich einen Krisenreaktionsplan definieren. Nicht zuletzt im Krisenfall ist externer Rat von Vorteil, um in kurzer Zeit die richtigen Entscheidungen zu treffen. Daneben sollten Maßnahmen für ein Anti-Fraud-Management eingeführt werden.
Aufmerksame und kritische Mitarbeiter sind dabei die erste und wirksamste Präventionsmaßnahme. Aus diesem Grund sind Mitarbeiter in Schulungen hinsichtlich der Risiken von wirtschaftskriminellen Handlungen zu sensibilisieren. Entsprechende Sicherungsmaßnahmen und Kontrollaktivitäten (z.B. Vier-Augen-Prinzip) sollten implementiert werden, z. B.
- Präventiv
- Sensibilisierung von Mitarbeiter für Fake-CEO-Fraud und Payment-Diversion Fraud-Muster
- Einführung einer Compliance-Anlaufstelle, die in Zweifelsfällen unabhängig beraten kann
- Im Krisenfall
- Zügige Durchführung einer Sachverhaltsaufklärung zur Feststellung des Schadens
- Einbindung des Datenschutzbeauftragten bei Feststellung der vorgestellten Tatmuster