03.05.2017 Neue Betrugsmasche im Mittelstand

CEO-Fraud: Keine Angst vorm digitalen Enkeltrick

Von: Ina Schlücker

Unbedarfte Finanzmitarbeiter nehmen auf Geheiß des Chefs eine dringende Überweisung ins Ausland vor. Was zunächst nach einem üblichen Geschäftsvorfall aussieht, kann sich schnell als skrupellose Machenschaft von Cyber-Betrügern entpuppen. Experten vergleichen solche Angriffe gerne mit dem sogenannten „Enkeltrick“, bei dem in der analogen Welt ahnungslose Senioren von vermeintlichen Familienmitgliedern ausgenommen werden.

Vom sogenannten „Cheftrick“, neudeutsch auch CEO-Fraud genannt, sind laut einer Studie der Berater von PwC immer mehr Firmen des deutschen Mittelstandes betroffen. „Dabei handelt es sich im Prinzip um die moderne Version des Enkeltricks – angepasst auf Unternehmen. Mit plausibel klingenden E-Mails oder Anrufen werden Mitarbeiter dazu veranlasst, hohe Geldsummen auf ein fremdes Konto zu überweisen“, erläutert Jan Wolter, Geschäftsführer bei der Allianz Sicherheit in der Wirtschaft e.V. (ASW), die Vorgehensweise.

Dabei gibt sich der Absender oftmals als Teil der Geschäftsführung aus und bezieht sich auf interne Vorgänge, über die er sich mittels Social Engineering, d.h. über das Ausspähen persönlicher Informationen, Zugang verschafft hat. Neben Geldforderungen können Angestellte auch dazu bewegt werden, sensible Firmeninformationen preiszugeben. Dabei baldowern die Cyber-Kriminellen über die Finanzabteilung hinaus weitere Bereiche im Unternehmen aus. „So kann etwa die Personalabteilung zur Auskunft sensibler Mitarbeiterdaten und Steuerinformationen veranlasst werden“, berichtet Monika Schaufler, Regional Director DACH bei Proofpoint. Oder die Forschungs- und Entwicklungsabteilungen werden mithilfe gefälschter Geschäftsführeridentität zur Herausgabe geistigen Eigentums veranlasst.

Merkmale von CEO-Betrug

  • Absender stammt oftmals aus den Reihen von Vorstand oder Geschäftsführung
  • Absender kann unbekannt sein oder auch bekannt
  • Bestehende Geldflüsse sollen umgeleitet werden
  • Neue Gelder sollen auf ein bis dato unbekanntes Konto fließen
  • Beträge müssen nicht hoch sein
  • Verschwiegenheit wird gefordert
  • Häufig Drang zu großer Eile

Quelle: asw-bundesverband.de/leitblaetter

Doch wie kommen die Angreifer überhaupt an die für solche Betrügereien notwendigen Informationen? „Um glaubwürdig zu wirken, recherchieren die Unbekannten im Rahmen von Social Engineering beispielsweise Name und E-Mail-Adresse des Firmenchefs und von Personen, die zahlungsberechtigt sein könnten“, berichtet Bernhard Hecker, Director Product Management bei Retarus. In der E-Mail werde dann mit angeblichen Deadlines zusätzlicher Handlungsdruck auf die Empfänger ausgeübt. Auto-Reply-Mails mit Abwesenheitsmeldungen kommen den Betrügern bei ihrer Masche ebenso entgegen wie öffentliche Social-Media-Posts: „Befindet sich der Geschäftsführer gerade auf einer Geschäftsreise in Asien, ist in der E-Mail etwa von einem Firmenkauf vor Ort oder sogar einer Schadensersatzforderung nach einem Autounfall die Rede“, führt Hecker weiter aus.

Auch allgemeine Ferienzeiten bieten ein ideales Umfeld für Kriminelle, denn fast alle Betriebe arbeiten mit reduziertem Personal und dadurch mit einem geschwächten Kontrollumfeld. „Ist der Chef im Urlaub, wird aus Rücksichtnahme häufig nicht persönlich rückgefragt und die Wahrscheinlichkeit einer problemlosen Überweisung liegt höher“, glaubt Hecker.

Ergänzend hierzu betont Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservice im Eco – Verband der Internetwirtschaft: „Bei Mittelständlern fällt es Kriminellen außerdem leichter, die Verantwortlichen in der Buchhaltung inklusive Kontaktdaten zu bestimmen, indem sie über die Firmenwebseite oder in Netzwerken wie Linkedin oder Xing recherchieren.“

Haben die Angreifer erste Daten abgegriffen, komme schließlich noch der Faktor „Mensch“ hinzu. Denn um die Mitarbeiter dazu zu bewegen, große Summen zu überweisen, nutzen Cyber-Kriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Neugier und Angst aus. „Diese Form der personalisierten Manipulation hat Hochkonjunktur und ergänzt immer stärker technische Angriffe“, berichtet Markus Schaffrin mit Blick auf die Praxis.

Mittelstand als beliebtes Angriffsziel

Wer denkt, allein Großunternehmen fungieren als potentielle Betrugsopfer, der irrt gewaltig. Vielmehr macht die virtuelle Betrugsmasche auch vor mittelständischen Unternehmen nicht Halt, die mittlerweile als äußerst beliebte Angriffsziele gelten. So bemerken die Analyseteams der R-tec IT Security insbesondere im gehobenen Mittelstand und hier bei inhabergeführten Familienunternehmen eine Zunahme der Angriffe mit Schäden im sechsstelligen Bereich je Vorfall. „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Kreditversicherer gehen von einer bekannten Schadenshöhe von über 100 Millionen Euro in den letzten zwei bis drei Jahren aus. Die Dunkelziffer dürfte aber deutlich höher liegen“, berichtet Dr. Stefan Rummenhöller, Geschäftsführer bei der R-tec IT Security GmbH.

Nach Ansicht von Markus Schaffrin sind Mittelständler deshalb so gefährdet, da viele die Sicherheit ihrer digitalen Arbeitswege noch nicht an aktuelle Anforderungen angepasst haben. Dies gelte vor allem für Firmen, die sehr schnell gewachsen sind. Desweiteren seien laut Jan Wolter gerade in familiengeführten oder patriarchalisch geprägten Betrieben exzentrischere Aufträge nicht unüblich und kritisches Nachfragen weniger gewollt. „Wenn der Eigentümer entscheidet, spontan ein Wohltätigkeitsprojekt zu finanzieren oder Kunstwerke zu kaufen, von dem bislang noch niemand etwas wusste, dann macht man das mit – ohne nachzufragen, ob das auch stimmt“, glaubt Wolter. In diesem Zusammenhang können die Angreifer dann sogar hohe sechsstellige Beträge erzielen.

Das große Potential von CEO-Betrugsfällen im Mittelstand beweist eine kürzlich erschienene Untersuchung des IT-Sicherheitsanbieters Proofpoint, die sich mit Angriffsversuchen auf mehr als 5.000 Firmenkunden in den USA, Kanada, UK, Deutschland, Frankreich und Australien beschäftigt. Die Studie bringt zutage, dass digitale Betrugsversuche in den letzten drei Monaten des Jahres 2016 im Vergleich zu den vorangegangenen Monaten einen Anstieg von 45 Prozent aufweisen.

„Während dieser Zeitspanne haben Angreifer bei 75 Prozent unserer Kunden mindestens einmal einen Betrugsangriff versucht, wobei die Angriffe aber in jedem Fall abgewehrt werden konnten“, berichtet Monika Schaufler. Nicht zuletzt zeigen auf internationaler Ebene die FBI-Zahlen seit Januar 2015 einen Milliardenverlust durch auf Betrug ausgelegte Cyber-Attacken und einen durchschnittlichen Schaden von 140.000 US-Dollar pro Angriff, so Schaufler weiter.

Schnelle Reaktionen

Haben Mitarbeiter den Eindruck, Opfer einer Betrugsattacke geworden zu sein, ist schnelles Handeln gefragt. Am besten wurden bereits im Vorfeld feste Prozesse für solche Angriffsszenarien aufgesetzt. „Schöpfen Mitarbeiter Verdacht, wenden sie sich an den internen Sicherheitsbeauftragten oder bei dessen Fehlen an die IT-Abteilung. Die Verantwortlichen wiederum sind bei ersten Anzeichen solcher Angriffe beraten, sich an die Polizei und Kriminalämter zu wenden. Denn es handelt sich hierbei um Verbrechen, die angezeigt werden sollten“, betont Richard Werner, Pressesprecher und Consultant bei Trend Micro Deutschland.

Die nächsten Schritte können laut Werner dann eine Strafanzeige und die weitergehende Rechtsberatung sein. „Da es in der Regel um verschwundene Gelder oder entwendete Ware geht, hat das Ganze oftmals auch ein steuerrechtliches Nachspiel“, so der Berater.

Auch Jan Wolter befürwortet das umgehende Einschalten der Polizeibehörden: „Tatsächlich konnte dadurch in vielen Fällen das Geld wieder zurückgeholt werden.“ Wichtig sei ein für solche Fälle aufgesetzter Notfallplan: Wen ruft man bei seiner Bank an? Oder besitzt man einen Ansprechpartner bei der Polizei? Hier ist es laut Wolter kein Problem, sich bei den Behörden für den Fall der Fälle nach einem Kontaktbeamten zu erkundigen.

Generell werden für die Berichtserstattung an Behörden oder Finanzinstitute laut Monika Schaufler folgende Informationen für die mögliche Rekonstruktion des Vorfalls benötigt:

  • Ursprungsname, Ort, Bankname und Kontonummer
  • Empfängername, Bankname, Kontonummer, Ort (falls verfügbar) und der dazwischen geschaltete Bankname (falls verfügbar)
  • Swift-Nummer, das Datum, der Betrag der Transaktion und jede zusätzliche Information wie etwa Kredite

Um virtuelle Betrugsvorfälle künftig zu vermeiden, sollten die Mitarbeiter entsprechend geschult werden. Doch aller Aufklärung zum Trotz „ist eine Firmenkultur entscheidend, in der Mitarbeiter sich trauen, verdächtige E-Mails und Vorfälle zu melden und Rücksprache zu halten“, sagt Markus Schaffrin. Dabei sei ein offenes Betriebsklima hilfreich, in dem man sich bei Fragen auch an den Geschäftsführer wenden kann.

Im Zuge der Sensibilisierung für Sicherheitsvorfälle können die Mitarbeiter „Fake-E-Mails“ an einigen Merkmalen relativ leicht erkennen: Cyber-Kriminelle manipulieren gerne den Anzeigenamen von E-Mails, weshalb man stets den angezeigten Namen des Senders und dessen Authentizität kontrollieren sollte. Denn laut Monika Schaufler lassen sich oftmals auch inmitten der E-Mail-Adresse Manipulationen finden. Zudem enthalten offizielle Nachrichten in der Regel kaum Rechtschreibfehler oder eine schlechte Grammatik.

„Darüber hinaus sollten Mitarbeiter Vorsicht walten lassen, wenn hochrangige Führungskräfte ungewöhnliche Informationen anfordern, etwa wenn Geschäftsführer plötzlich die Steuerdaten einzelner Mitarbeiter überprüfen möchten, betont Schaufler. Nicht zuletzt könnte selbst das Fehlen von Kontaktdaten schon ein Anzeichen für einen Angriff sein."

Zudem erweisen sich gängige Sicherheitsverfahren zur Abwehr von Betrugsangriffen als praktikabel. Laut Stefan Rummenhöller ist bereits der Einsatz von Filtern für den Internetverkehr, die aktuelle Bedrohungen wie Malware oder Viren erkennen, ein „Must have“. „Die eigenen Mailsysteme sollten so konfiguriert werden, dass sie keine Mails von extern annehmen, die interne Namensbezeichnungen oder Unternehmens-Domains als Absender haben. Für größere Unternehmen empfehlen wir Security Incident and Event Management System (SIEM), um Transparenz zu schaffen, relevante Sicherheitsvorfälle frühzeitig zu erkennen und eine zentrale Übersicht über die eigene Sicherheitslage zu erhalten“, so Rummenhöller.

In Ergänzung bieten Threat-Intelligence-Systeme die Möglichkeit, neue und zum Teil noch unbekannte Bedrohungen zu erkennen. „Und auch die Einführung des Vier-Augen-Prinzips zur Kontrolle von Überweisungen kann hilfreich sein“, erklärt Rummenhöller.

Ergänzend dazu rät Bernard Hecker, grundsätzliche Höchstgrenzen für Überweisungen sowie klar definierte Kontroll- und Freigabeprozesse festzulegen. Schließlich verweist Richard Werner auf feste Leitlinien, mit denen folgende Fragen eindeutig geregelt sein sollten: Ab welcher Summe sollen die Mitarbeiter beim Chef Rücksprache halten? Wie viel Verzögerung ist bei der Prüfung von Transaktionen tolerierbar?

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH