MenüZurück
Wird geladen.

30.08.2017

09:41

Cyberkriminalität

Chefbetrug – so schützen sich Unternehmen

Von: Christof Kerkmann, Lars-Marten Nagel

Dreist und erfolgreich: Kriminelle geben sich als Chefs aus und drängen Buchhalter per E-Mail dazu, Firmengelder ins Ausland zu überweisen. Die Betrugsmasche „CEO Fraud“ grassiert – wie sich Unternehmen vor ihr schützen.

Bei der Betrugsmasche „CEO Fraud“ (Symbolfoto) beweisen die Kriminellen großes psychologisches Geschick – sie bearbeiten Buchhalter mit einer Mischung aus Schmeichelei und Druck. Reuters

Hacker

Bei der Betrugsmasche „CEO Fraud“ (Symbolfoto) beweisen die Kriminellen großes psychologisches Geschick – sie bearbeiten Buchhalter mit einer Mischung aus Schmeichelei und Druck.

Düsseldorf Die Sache verlangt höchste Vertraulichkeit, daran lässt die E-Mail keinen Zweifel. „Zurzeit bereiten wir eine Übernahme vor“, lässt der Chef die Mitarbeiterin ohne lange Einleitung wissen. Niemand werde darüber informiert, selbst im eigenen Haus nicht. Nur die Frau wird eingeweiht – sie soll die Zahlung vorbereiten: „Aufgrund ihrer Diskretion und bisher einwandfreien Arbeit möchte ich Ihnen die Verantwortung über das Projekt übertragen“, schmeichelt ihr der Vorgesetzte.

E-Mails wie diese gehen in vielen deutschen Unternehmen ein. Dahinter verbergen sich jedoch nicht Familienpatriarchen und Vorstände: Immer öfter versuche Kriminelle, Mitarbeiter in der Buchhaltung oder dem Rechnungswesen dazu zu bewegen, Geld auf ein Konto im Ausland zu überweisen – etwa wegen einer angeblichen Übernahme oder Fusion. Experten bezeichnen diese Betrugsmasche meist als „CEO Fraud“, auf Deutsch Chefbetrug. Der wohl bekannteste Fall: Der Autozulieferer Leoni machte vor einem Jahr einen Schaden von 40 Millionen Euro publik.

Konkrete Zahlen zum Ausmaß des Problems gibt es nicht. „Das Phänomen hat in den letzten Jahren stark zugenommen“, beobachtet aber Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch Praktiker berichten in Gesprächen mit dem Handelsblatt, dass ihre Firmen es mit immer mehr und immer besseren Betrugsversuchen zu tun bekommen. So zählen die Sicherheitschefs zweier deutscher Konzerne mit mehr als 10.000 Mitarbeitern durchschnittlich zwei professionelle Versuche pro Monat – und deutlich mehr laienhafte.

Wie Kriminelle beim CEO Fraud vorgehen

Gezieltes Ansprechen

Die Täter kundschaften genau aus, wer im Unternehmen eine Überweisung tätigen darf. „Über Xing und LinkedIn bekommen die Täter viele Informationen“, berichtet der Sicherheitschef eines deutschen Konzerns. Auch das Organigramm vieler Unternehmen stehe im Netz – so ist es ein Leichtes, die richtige Person in der Buchhaltung zu identifizieren. Notfalls mit einem zusätzlichen Anruf.

Vertraute Themen

Den Betrügern gelingt es häufig, eine Vertraulichkeit herzustellen. Dafür nutzen sie beispielsweise Informationen aus Pressemitteilungen oder Vorträgen – so können sie „Buzzwords“ verwenden, die im Unternehmen gerade herumschwirren, erläutert der Sicherheitschef eines deutschen Unternehmens. Das könnten etwa Übernahmegerüchte sein.

Psychologisches Geschick

Dass die Chefmasche erstaunlich häufig funktioniert, hat mit dem psychologischen Geschick vieler Betrüger zu tun. Einerseits schmeicheln sie Mitarbeitern, indem sie etwa deren Verlässlichkeit hervorheben. Andererseits machen sie Druck. „In ihren Emails bauen die Täter Zeitdruck und Stress auf“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Überweisung müsse ganz schnell und ganz geheim erfolgen. Hinzu kommen hierarchische Strukturen, in denen die Mitarbeiter die Entscheidungen von Vorgesetzten nicht hinterfragen.

Technische Verschleierung

Die Anweisung klingt nach dem Chef, stammt aber nicht von ihm: Kriminelle fälschen häufig E-Mail-Adressen, bevor sie Buchhalter oder Finanzexperten kontaktieren. Einerseits tauschen sie einzelne Buchstaben, aus der Endung @firma.com wird beispielsweise dann firma.c0m – mit einer 0 statt einem o. Andererseits täuschen sie eine andere Absenderadresse vor. Experten sprechen vom Spoofing.

Geschichte Tarnung

Die Betrüger bauen eine geschickte Tarnung auf. So bestehen sie häufig darauf, aufgrund der hohen Vertraulichkeit ausschließlich per E-Mail zu kommunizieren. Für Nachfragen geben sie eine Telefonnummer an, unter der angeblich eine Anwaltskanzlei zu erreichen ist, die mit der Transaktion vertraut ist – das Telefon nehmen natürlich die Betrüger selbst ab. Zudem fälschen sie Unterschriften und Belege.

Verfeinerte Methoden

Vor einigen Jahren waren die meisten Betrugsversuche plump, inklusive Texten, die nach einer Übersetzung per Google Translate klangen. „Die Methodik hat sich verfeinert“, beobachtet der Sicherheitschef eines Industriebetriebs. So klinge das Deutsch in vielen E-Mails professionell, zudem kundschafteten die Betrüger offenbar das Unternehmen genau aus.

Viele Unternehmen sind darauf nicht vorbereitet. Das zeigt sich etwa daran, dass allein die Staatsanwaltschaft Köln mit ihrer Zentral- und Ansprechstelle Cybercrime (ZAC) derzeit in 158 Verfahren ermittelt, bei denen Schäden in Höhe von 56 Millionen Euro anfielen. Hätten die Banken nicht etliche Transaktionen stoppen können, wären bis zu 150 Millionen Euro abgeflossen. Im schlimmsten Fall ist die Existenz einer Firma bedroht. Dabei ist es durchaus möglich, sich dagegen zu schützen, wie Schönbohm betont: „Es gibt gute und wirksame Gegenmaßnahmen.“

Wie die Chefmasche funktioniert, und was dagegen hilft: Die beiden Sicherheitschefs geben dem Handelsblatt Einblicke. Da sie die Täter nicht provozieren wollen, wollen sie die Namen ihrer Arbeitgeber nicht öffentlich nennen – der Einfachheit halber nennen wir sie Konzern Nord und Konzern Süd.

Schulungen gegen „Fehler 40“

Ein Auftrag des Chefs, der höchste Diskretion erfordert – es ist verständlich, wenn Mitarbeiter in einer solchen Situation nervös werden. Dabei wäre Besonnenheit besonders wichtig: Würde der Vorstand wirklich per E-Mail bitten, große Summen ins Ausland zu überweisen, ganz ohne interne Absprachen? „Wir bezeichnen das als Fehler 40“, sagt der Sicherheitschef eines deutschen Industriekonzerns: Die Fehlerquelle sitze 40 Zentimeter vor dem Bildschirm.

Cyberkriminalität: Die Millionenfalle der falschen Firmenchefs

Cyberkriminalität

Die Millionenfalle der falschen Firmenchefs

Die Masche ist dreist wie erfolgreich: Kriminelle geben sich als Chefs aus und verleiten Buchhalter, Firmengelder zu überweisen. Weltweit ist der Schaden immens. Nun wurde der mutmaßliche Erfinder des Tricks verhaftet.

Die Sensibilisierung der Mitarbeiter sei daher der wichtigste Schutz und könne die meisten Betrugsversuche dieser Art abwehren. Der Konzern veranstaltet deswegen regelmäßig Schulungen für Buchhaltung und Finanzabteilung und verschickt gelegentlich selbst fingierte E-Mails, um die Reaktionen zu testen. Und er bläut den Buchhaltern ein, im Zweifel einmal mehr zu fragen als einmal weniger.

„Nur weil wir das Thema innerhalb des Konzerns gemeinsam mit den Mitarbeitern angehen, erkennen wir die meisten Betrugsversuche.“ Bisher konnte sein Team jegliche Schäden verhindern – in wenigen Fällen erst nach der Überweisung, aber noch rechtzeitig, um die Transaktion zu stoppen.

Mit diesen Maßnahmen ist der Konzern nicht allein. BSI-Präsident Schönbohm beobachtet, dass größere Firmen die Gefahr erkannt haben – kleinere jedoch häufig nicht. „Wir müssen auf unsere Familienunternehmen und die Hidden Champions aufpassen“, betont der Behördenchef. Und auf die haben es einige Betrüger offenbar abgesehen: Ermittler berichten, dass eine erste Welle sich im Südwesten der Republik ausbreitete, wo viele erfolgreiche Maschinenbauer ihren Sitz haben.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Frau Annette Bollmohr

30.08.2017, 16:46 Uhr

„Aufgrund ihrer (…) bisher einwandfreien Arbeit“

Ha! „Bisher“. Echt fies. Bisschen Druck, ganz subtil, hilft immer, was?

Aber nur, wenn „Fehler 40“ allzu abhängig von der Meinung und den Weisungen anderer ist, sprich: nicht genug Selbstvertrauen hat.

Selber denken und dann eigene Entscheidungen treffen (z.B. nachfragen) hilft. Und ein gesundes Misstrauen auch (leider). Sonst nichts.

Frau Annette Bollmohr

30.08.2017, 19:01 Uhr

"(...) Und ein gesundes Misstrauen auch (leider)"

"Leider" deshalb, weil an dem zynischen Spruch "Alle wollen nur Dein Bestes - Dein Geld" heute mehr denn je jede Menge dran ist.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×