40 Millionen Euro Verlust musste der nürnbergische Autozulieferer LEONI am 16. August 2016 öffentlich bekanntgeben [1] . Die Ursache thematisierte System 360 bereits im Juli diesen Jahres in einem Beitrag [2]. Nach einer belgischen Bank und einem österreichischen Flugzeugzulieferer Anfang 2016 ist erneut ein Konzern Opfer der sogenannten „Chef-Masche“ geworden. Unter der Vortäuschung falscher Tatsachen wurden durch die verantwortlichen Mitarbeiter ca. 40 Millionen Euro auf ausländische Konten transferiert. Wieder versagten interne Prüfmechanismen und auch menschliches Versagen muss als Grund für solche Betrugsdelikte vermutet werden. Der Betrug erfolgte unter „Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“, so die offizielle Verlautbarung. Zum genauen Verlauf des Vorfalls hält sich der Konzern auch aus ermittlungstaktischen Gründen bedeckt.
Jedoch ist zu vermuten, dass der Aktion eine intensive Phase der Ausspähung von Personal- und IT-Strukturen vorangegangen sein muss (Phishing und Social Engineering). Die Täter führten mit hoher Wahrscheinlichkeit Anrufe in den betreffenden Abteilungen durch, suchten nach Informationen von Mitarbeitern in sozialen Netzwerken und anderen öffentlichen Quellen und analysierten die Geschäftsablaufe in den finanzrelevanten Bereichen wie Buchhaltung oder Ein- und Verkauf. Die Fälschung von elektronischen Dokumenten erfolgte mutmaßlich durch die Imitierung interner Emails unter Benutzung real existierender Mitarbeiter und Abteilungen. Systematisches und scheinbar harmloses Anschreiben von Schlüsselpersonal müssen es ermöglicht haben an Mailstrukturen wie Titelsystematiken und Signaturen zu gelangen und in eigene gefälschte Emails zu kopieren. Ähnlich klingende Emailadressen, die für diesen Zweck eingerichtet wurden, werden oftmals im Tagesgeschäft überlesen, so dass mitunter regelrechte Scheinkorrespondenzen zwischen Täter und Opfer ohne Schöpfung von Verdacht entstehen. In dieser Vorbereitungsphase verdichtet sich zunehmend das Wissen der Täter um die Geschäftsabläufe in den relevanten Abteilungen. All diese Anstrengungen der Täter dienten der Vorbereitung des eigentlichen Betruges. Vornehmlich zum Wochenende hin erhält ein Mitarbeiter mit Zahlungsvollmacht die gefälschte Mail des Geschäftsführers oder CFO mit Bitte um zeitnahe Überweisung auf eine beiliegende Bankverbindung. Dies erfolgt häufig auch mit der Aufforderung nach Diskretion oder Geheimhaltung. Häufig wird auch die überragende Bedeutung des Geschäfts für das eigene Unternehmen hervorgehoben. Prüfmechanismen wie 4-Augenprinzip oder persönliche Rückversicherung werden durch solche Anweisungen schon teilweise außer Kraft gesetzt. Herrscht in einem Unternehmen ein autoritärer Führungsstil wird mitunter bei den Mitarbeitern auf die Nachfrage verzichtet. Ist das Geld transferiert, erfolgt zeitnah eine Abhebung dieser Gelder oder ein Transfer auf andere, für die Strafverfolgungsbehörden unerreichbare Konten.
„IT-Infrastruktur sowie Datensicherheit sind von den kriminellen Aktivitäten nicht betroffen.“ So lautete der schließende Satz der Verlautbarung der LEONI-Pressemitteilung. Warum auch? Die Überweisung wurde genaugenommen durch den Konzern selbst ausgeführt. Datensicherheit im Unternehmen ist kein alleiniger Auftrag der IT-Abteilung sondern eines jeden Mitarbeiters. Schulungen dieser mit Vermittlung der Täterstrategien, eine wirksame Zielgruppensensibilisierung verbunden mit techn. Lösungen stellen eine wirksame Präventionsmaßnahmen dar.
Der Finanzmarkt würdigte den Vorfall auf seine Weise. Die Aktie des MDAX-Unternehmens LEONI fiel am Tag des Bekanntwerdens um sieben Prozent.