Inhaltsverzeichnis
Keiner spricht gerne darüber, viele trifft es: Betrug durch Außenstehende oder – besonders bitter – durch eigene Mitarbeiter. Allein im Jahr 2015 sind bei unseren Kunden Schäden von annähernd einer Million Euro durch die Vertrauensschadenversicherung entschädigt worden. Über zwei dieser Fälle berichten wir hier.
1. Fall: Eingehungsbetrug 2.0
Was ist passiert?
Unser Kunde – der Versicherungsnehmer – wurde von einem Geschäftspartner mit einer einfachen Begründung gebeten, die noch ausstehende Rechnungssumme auf ein anderes Konto als üblich – nämlich das „einer Schwestergesellschaft“ – zu überweisen. Da man mit diesem Lieferanten schon seit Jahren gute Erfahrungen gesammelt hatte und er ohne zu zögern eine neue Rechnung für die bereits erhaltene Ware mit der neuen Bankverbindung zusandte, hatte der Versicherungsnehmer zunächst keinen Grund zu zweifeln. Dennoch: Das Geld war weg – und zwar nicht beim eigentlichen Lieferanten.
Was ist wirklich passiert?
Mit hoher Wahrscheinlichkeit wurde der E-Mailverkehr einer der Beteiligten abgefangen, so konnte(n) der oder die Betrüger überhaupt von der Geschäftsbeziehung, Umfang der Lieferung und Rechnungssummen wissen.
Auf dieser Grundlage nahmen sie Kontakt zum Geschädigten auf. Bei der späteren genauen Durchsicht des E-Mailverkehrs ist ein kleiner, aber feiner Unterschied in der E-Mailadresse aufgefallen: Die Mail, die um Überweisung an eine andere Kontoverbindung bat, kam nicht wie üblich von Mitarbeiter@Firma.XX, sondern wurde über die Adresse Mitarbeiter@Firma-ab.xx korrespondiert.
Hier hat man sich sowohl soziale als auch technische Schwachstellen zunutze gemacht:
- Es bestand bereits eine vertrauensvolle Zusammenarbeit zwischen beiden Unternehmen, so dass der Mitarbeiter arglos war.
- Es erfordert in der Regel mindestens einen Klick mehr, die tatsächliche Absenderadresse im Postfach angezeigt zu bekommen. In aller Regel stellen Mailprogramme den Namen des Absenders dar. An dieser Stelle lässt sich die wahre Identität sehr leicht verschleiern.
Wir haben es so mit der Weiterentwicklung eines Eingehungsbetruges zu tun: Statt selbst beispielsweise Waren zu ordern, obwohl man nie vor hat, diese zu bezahlen, geben die Betrüger sich als jemand anderes aus. Als jemand, zu dem Sie längst Vertrauen aufgebaut haben. Das setzt einiges Wissen voraus, dass die Betrüger sich vorab beschaffen.
Wie kann man sich davor schützen?
Am wichtigsten ist, gerade Zahlvorgänge immer und immer wieder genau zu prüfen. Bei einem Eingehungsbetrug suchen sich die Betrüger durchaus attraktive Deckmäntel aus: Beispielsweise geben sie sich die Namen von Personen, die auf der Webseite des Unternehmens nachlesbar sind und bestellen dann in deren Namen bei Ihnen Ware.
Bleiben Sie hier skeptisch: Warum sollte etwa der Einkaufsleiter eines Konzerns mit mehreren Millionen Euro Umsatz persönlich bei Ihnen einen verhältnismäßig kleinen Auftrag platzieren? Wäre es nicht viel wahrscheinlicher, dass dieser Einkaufsleiter dafür Angestellte hat?
Hinterfragen Sie Ihre Neuaufträge: Googeln Sie Ihre Neukunden und vergleichen Sie die Angaben der Unternehmenswebseite mit denen, die im Auftrag stehen. Ist die URL der Website identisch mit der, die in der E-Mailadresse Ihres Ansprechpartners? Im Zweifelsfall sollten Sie das Unternehmen, das Sie über Ihre Google-Recherche gefunden haben, anrufen und sich mit Ihrem Ansprechpartner verbinden lassen.
Wichtig: Bitte rufen Sie niemals die Telefonnummer aus der potenziell gefälschten E-Mail an, sondern gehen Sie den Umweg über eine Suchmaschine. Spätestens jetzt wäre auch im oben dargestellten Fall ein Schaden verhindert geworden. Gerade dann wenn Geld oder Waren an einen neuen Empfänger bekommen, sollten Sie vorsichtig sein.
Was könnte noch passieren?
Leider geht es noch perfider als im von uns beschriebenen Fall: Die Süddeutsche Zeitung berichtete kürzlich von einer Masche, bei der die Betrüger sich als „President“ der internationalen Konzernzentrale ausgeben und telefonisch um diskrete Überweisung von hohen Beträgen an entfernte, angebliche Unternehmenstöchter bitten. Natürlich mit schmeichelndem Gesäusel: „Ich vertraue Ihnen persönlich.“ Ein Vorgehen, das immer häufiger festgestellt und inzwischen als „Fake President“-Trick bekannt ist.
2. Fall: Die Lücke im System
Wachsamkeit nach außen: naheliegend. Was aber, wenn der eigene Mitarbeiter das Vertrauen ausnutzt? Bei einem weiteren Großschaden, den einer unserer Kunden in diesem Jahr melden musste, wurden ganze 750.000 Euro auf einmal entschädigt.
Was ist (wirklich) passiert?
Das geschädigte Unternehmen handelte zunächst einmal vorbildlich: Man stellte einen Mitarbeiter dazu ab, Risiken zu erkennen und diese dann abzustellen. Dieser offensichtlich sehr begabte Mitarbeiter jedoch war es, der – ausgestattet mit einem guten Gesamtüberblick – über mehrere Jahre eine der entdeckten Sicherheitslücken für sich genutzt hat. Durch falsche Abrechnungen häufte sich ein Schaden von mehreren hunderttausend Euro an.
Wie kann man sich davor schützen?
Den vorliegenden Fall – unser größter Schadensfall in diesem Jahr – kann man als klassischen Betrug bezeichnen. Wie soll man auch mit seinen Angestellten zusammenarbeiten, wenn man ihnen nicht vertrauen kann? Erst recht in einer solchen Position? Dennoch: Hier gilt es, im Interesse aller Schutzmechanismen einzurichten, beispielsweise ein hier naheliegendes 4-Augen-Prinzip.
Risiko absichern
Fälle wie diese sind leider keine Seltenheit. Leider kommt es immer wieder zu Vertrauensmissbrauch durch eigene Mitarbeiter oder gar zu Betrug durch dritte Personen. Neben der Installation entsprechender Sicherheitsvorkehrungen – technisch sowie auch strukturell in den Arbeitsprozessen und der präzise geplanten „Rechtevergabe“ an das Personal – können Sie Ihr Risiko über eine Vertrauensschadenversicherung versichern.
Sprechen Sie uns an, wir entwickeln mit Ihnen gemeinsam den für Sie passenden Weg der Absicherung.