24. Februar 2016

Gefälschte E-Mails vom Chef und Eingehungsbetrug – handeln Sie, bevor Ihr Geld weg ist!

Stellen Sie sich bitte folgendes Szenario vor: Ihr Mitarbeiter / Ihre Mitarbeiterin erhält eine E-Mail vom Vorstandsvorsitzenden Ihres Unternehmens mit der Bitte, anderthalb Millionen Euro auf ein bestimmtes Konto zu überweisen. In dieser Mail wird Ihrem Kollegen / Ihrer Kollegin signalisiert, dass man gerade ihn/sie dafür ausgesucht hat, weil man ihn/sie als vertrauenswürdig ansehe. Es handele sich um ein streng geheimes Projekt, von dem sonst niemand etwas wisse, und das absolute Diskretion voraussetze. Das bedeutet, man möge den Vorstandsvorsitzenden auf keinen Fall darauf ansprechen, wenn man ihm irgendwo begegnet. Wenn man danach gefragt wird, solle man das Projekt leugnen.

Fake President

Wird Ihr Kollege das Geld überweisen? Oder sind Ihre Compliance-Richtlinien ausreichend, um einen solchen Schaden zu verhindern? Leider nicht, leider allen viel zu oft Unternehmen auf diese und ähnliche Maschen herein. Seit etwa zwei Jahren häufen sich diese Fälle, schrieb das Handelsblatt. Tendenz steigend.

Eingehungsbetrug Betrug
Die drei Brandenburger IHKs Ostbrandenburg, Potsdam und Cottbus veröffentlichten im Februar 2016 eine Umfrage unter den Unternehmen ihrer Kammerbezirke. Demnach sind die Fälle von Betrug und Hackerangriffen stark angestiegen. Und: Nur ein sehr geringer Anteil wird überhaupt angezeigt (17,7% der Betrugsfälle, 5,3 % der Hackerangriffe)

Beispiele?

  • Im Januar 2016 verliert der österreichische Luftfahrtzulieferer FACC 50 Millionen Euro. Eine „falscher Vorstand“ bat offenbar um Überweisungen an verschiedene Konten in China und der Slowakei – und wurde prompt erhört. Als erste Konsequenz verlor die Finanzchefin des börsennotierten Unternehmens ihren Job, nun muss noch weiter aufgeklärt werden (mehr dazu).
  • Den größten Einzelschaden im Jahr 2015 verursachten Betrüger bei der US-amerikanischen Agrarfirma Scoular Co. – 15 Millionen Euro wechselten hier ebenfalls mit der Fake-President-Methode allzu unbedarft den Besitzer (mehr dazu).
  • Mehr als 7000 Fälle mit einem Schaden von 740 Mio US Dollar sind alleine dem FBI bekannt, davon ging ein Großteil an Konten in Hongkong und China, schrieb die Zeitung „Die Welt“ in diesem Artikel.
  • Update: Im August 2016 meldet N24, dass Betrüger in Deutschland bereits 110 Millionen Euro erbeutet haben – mit der Chefmasche!

Doch nicht nur die „Fake President“-Masche treibt die Schadensquoten in der Vertrauensschadenversicherung in die Höhe. Auch folgendes Szenario ist derzeit allgegenwärtig:

Neue Kontoverbindung

Ein langjähriger Kunde bittet einen Ihrer Mitarbeiter, die Rechnung für eine Bestellung auf ein anderes Konto als bisher zu überweisen. Die Gründe hierfür sind vielfältig. Da sich der „Kunde“ auf bestimmte Auftrags- und Rechnungsnummern bezieht, ist an dieser Situation zunächst nichts Ungewöhnliches zu erkennen. Erst nach einiger Zeit stellt sich heraus, dass es sich hierbei um einen Betrug handelt – und man sein Geld verloren hat. (Wir berichteten.)

Erschnüffelt wird über das Netz

Wie kann es zu solchen Szenarien kommen? Beide Schadensfälle sind auf Hacker zurückzuführen. Diese verschaffen sich Zugang zu Ihren Systemen und erhalten so wichtige Insiderinformationen wie Auftragsnummern, Bestellmengen und Rechnungsnummern.

Was sie auch finden, sind Informationen darüber, welcher Mitarbeiter Überweisungen tätigen kann und wie mit diesem Mitarbeiter kommuniziert wird. An einem bestimmten Punkt übernehmen die Hacker dann die Kommunikation mit den Mitarbeitern. Die E-Mailadressen der Täter unterscheiden sich häufig nur in einem kleinen Detail von den Originalen – auf den ersten Blick fällt dies häufig gar nicht auf. Auf diese Weise kann der perfekte Betrug begangen werden, ohne dass jemand Verdacht schöpft.

Der Rechnungsempfänger, der nie bestellt hat

Ein weiterer Fall, der vor allem bei schnell verwertbaren Gütern wie Fleisch oder auch in der IT-Branche in der letzten Zeit sehr häufig auftritt, ist der sogenannte Eingehungsbetrug. Man erhält eine Bestellung von einem Unternehmen, das in der Regel groß und bekannt ist. Ein Kreditlimit bei Ihrem Versicherer zu erhalten ist kein Problem. Der Bestellvorgang nimmt seinen Lauf, kurz vor Lieferung bittet Sie die der „Abnehmer“ jedoch, an eine abweichende Adresse zu liefern. Diesem Wunsch wird in der Regel nachgekommen. Erst nachdem man die Rechnung an den vermeintlichen Besteller verschickt hat, erfährt man, dass dieser die Ware nie bestellt hat. Die Täter sind mit Ihrer Ware zu diesem Zeitpunkt schon über alle Berge. (Lesen Sie dazu auch: Eingehungsbetrug ist kein Bestandteil der WKV)

Konsequenzen

Cyberattacken nehmen zu, und sie werden immer professioneller. Sie treffen große wie kleine Unternehmen, den Bundestag und aktuell sogar Krankenhäuser. Der Versicherer Euler Hermes schätzt aufgrund aktueller Statistiken, dass jedes zweite Unternehmen bereits von Hacking betroffen war. Besonders betroffen seien neben Banken und Versicherungen die Automobil-, Chemie- und Pharmabranche sowie Mittelständler (aller Branchen) – in vielen Fällen mit Unterstützung von eigenen Mitarbeitern.

Doch was können Sie tun, um Schäden zu vermeiden? Fixieren Sie eine bestimmte Vorgehensweise in Ihrem Unternehmen – schriftlich. Weisen Sie Ihre Kollegen auf den Fake-President-Fall hin und stellen Sie klar, dass kein Vorstand oder Geschäftsführer zu irgendeinem Zeitpunkt die Anweisung geben wird, eine größere Summe Geld auf ein fremdes Konto zu überweisen. Zeigen Sie anhand der verschiedenen Artikel auf, dass Betrugsabsichten dahinter lauern.

Beste Strategie: Wachsamkeit

In der Regel ist davon auszugehen, dass die Täter Ihre E-Mails abfangen, um sich oben genanntes Detailwissen zu verschaffen. Mit diesem Wissen haben die Täter immer wieder leichtes Spiel, da niemand Verdacht schöpfen wird. Immer dann, wenn Ware in ein anderes Lager oder Geld auf ein anderes Konto überwiesen werden soll, ist besondere Vorsicht geboten. Dies gilt insbesondere dann, wenn es sich um Neukunden und/oder Kunden aus dem Ausland handelt oder die Anfrage einfach per E-Mail kommt. Sollte dies der Fall sein, empfehlen wir Ihnen Folgendes:

  • Wie oben bereits erwähnt, werden die Email-Adressen für gewöhnlich leicht verändert. Gleichen Sie die Adressen daher genau ab, um einen Betrug zu vermeiden. So kann zum Beispiel aus mitarbeiter@firma-xy.xx ganz einfach mitarbeiter@firmaxy.xx werden. Dies fällt auf den ersten Blick nicht unbedingt auf – prüfen Sie dies genau.
  • Leiten Sie Ware oder Geld auf keinen Fall ohne gründliche Prüfung um!
  • Bei Bestandskunden: Rufen Sie das Unternehmen an und klären die Richtigkeit der Anweisung. Wählen Sie hierfür nicht die Telefonnummer aus der E-Mail, sondern kontaktieren Sie Ihren üblichen Gesprächspartner über die bei Ihnen hinterlegte Telefonnummer oder die Zentrale.
  • Bei Neukunden: Googeln Sie das bestellende Unternehmen. Rufen Sie danach auch hier an – über die Telefonnummer, die auf der Homepage angegeben ist. Im Idealfall lassen Sie sich über die Zentrale verbinden.

Mit diesen Vorsichtsmaßnahmen lassen sich die Risiken von Betrugsschäden vermindern – komplett vermeidbar sind diese jedoch nicht. Allein in unserer Mandantschaft wurden im letzten Jahr über 1 Million Euro Betrugsschäden ausgezahlt. Wir können wirklich nur empfehlen, sich rechtzeitig über Vorsorge- und Absicherungsmaßnahmen zu informieren.

Leider kann keine Versicherung direkt gegen solche Schäden schützen. Die Vertrauensschadenversicherung kann aber den Vermögensschaden absichern, der durch die oben genannten Beispiele entsteht. Das gilt selbst für zielgerichtete Angriffe auf Ihre ausgelagerten Daten (Cloud).

Sprechen Sie uns an!

Stichwörter: , , , , , ,