Das Szenario
Die Email erreichte den Einkäufer am hektischen Montagvormittag, dass die Rechnungsabteilung neue Bankverbindungen für Zahlungsvorgänge eingerichtet hat. Angeblich waren Änderungen bei den Konten der Geschäftsbank die Ursache. Im Zuge dieser Email wurde auch um eine dringende Überweisung einer fünfstelligen Summe auf das im Anhang befindliche Konto gebeten. Diese Nachricht erregte kein Misstrauen beim Empfänger in der Einkaufsabteilung. Sie enthielt doch den richtigen Absender, die angemessene Anrede und auch der am Ende befindliche Anhang, der vorangegangenen Unternehmenskommunikation wirkte authentisch. Da der Vorgesetzte im Text auf eine schnelle Abwicklung der Überweisung drängte, wurde die Transaktion zeitnah getätigt. Erst bei der monatlichen Abrechnung musste sich der überraschte Angestellte den unangenehmen Fragen der Finanzabteilung stellen.
Der Schaden
Ob "CEO Fraud", "Bogus Invoice", "Business Email Compromise" oder "Scam" (Vorschussbetrug) - die Bezeichnungen variieren, die Vorgehensweise ist identisch. Das Deutsche Institut für Wirtschaftsforschung beziffert den Gesamtschaden durch Internetkriminalität in Deutschland im Jahr 2015 auf 3,4 Milliarden Euro [1] . Dies beinhaltet unter anderem das sogenannte "Phishing", den Identitätsbetrug und Angriff mittels sogenannter Schadsoftware (Viren, Trojaner, Ransomware u.a.). Alle diese kriminellen Methoden kommen in unterschiedlicher Form auch im vorgestellten Betrugsmodell zum Einsatz. Allein in Großbritannien wurden im 2. Halbjahr 2015 fast 1000 Fälle solcher Art verzeichnet [2] . Anfang 2016 überwies die Finanzabteilung einer belgischen Bank 70 Millionen Euro aufgrund einer gefälschten Anweisung der Geschäftsführung [3] . Ein österreichischer Hersteller von Flugzeugteilen musste den Verlust von 50 Millionen Euro bekanntgeben nachdem die Finanzabteilung der angeblichen Zahlungsanweisung des CEO Folge geleistet hat. Die Gelder verschwanden in Asien und Osteuropa [4]. Eine Rückholung der Gelder erweist sich in vielen Fällen als aussichtslos, da die Täter zeitnah die Vermögenswerte weiterleiten oder abheben. Die durchschnittlichen Schadenssummen in den mittelständischen und kleinen Unternehmen rangieren eher im Bereich von 50.000 Dollar, so schätzen die Branchenexperten. Allerdings handelt es sich um Summen, die durch Versicherungen nicht gedeckt sind und für viele KMUs das finanzielle Aus bedeuten können.
Die Betrugsstrategie
Die Strategie der gefälschten Email kann auf zwei Grundlagen erfolgen. Der Email-Account des Geschäftsführers oder eines führenden Mitarbeiters kann kompromittiert sein. D.h. sein Emailkonto ist durch einen Trojaner, Keylogger oder andersartige Malware im System für fremden Zugriff zugänglich. In solch einem Szenario wird die Kommunikation der Geschäftsführung gezielt auf Finanzbegriffe wie Überweisung, Zahlung oder Rechnung überwacht. Alternativ können durch gezieltes Ausspähen der firmeninternen IT-Strukturen ("Social Engineering") Emailsignaturen, firmeninterne Textformen oder Ressortverantwortlichkeiten ermittelt werden. In der Folge werden ähnlich klingende Domains gesichert und Emails mit offiziellem Charakter verschickt. Dass der Absender statt mayer@firm.de das optische ähnliche mayer@firrn.de verwendete, überliest man zügig, wenn Worte wie "Dringend", "Schnellstmöglich" oder "Umgehend" den Text dominieren. Zumal in vielen Fällen auch eine gleichzeitig erbetene Diskretion dem Mitarbeiter, angesichts des unerwarteten Vertrauens der Geschäftsführung, schmeichelt. Eine persönliche Nachfrage an den CEO scheint unangebracht, befindet er sich doch momentan auf einer Fachkonferenz. Ein Sachverhalt wie es auch für die Täter aus den öffentlich verfügbaren Rednerlisten auf der Homepage des Ausrichters ersichtlich ist. Solche Zeitpunkte sind besonders günstig für Scam-Angriffe.
Die Lösung
Die Geschwindigkeit des globalen Handels begünstigen solch betrügerische Machenschaften. Auch verunsichertes Personal will nicht durch übertriebene Nachfragen an die Geschäftsführung Unmut erzeugen. Das Betrugsmodell überwindet alle internen Sicherheitsmechanismen, da das Opfer der Ausführende ist. Rein technische Abwehrmaßnahmen sind in solch einem Fall nicht ausreichend.
System360 bietet maßgeschneiderte Trainings für Entscheidungsträger und relevante Firmenstrukturen wie Rechnungs- oder Einkaufsabteilungen an. Das
• Erkennen von Betrugsversuchen,
• eine Steigerung der Awareness gegenüber Social-Engineering und Business Mail Compromise,
• ein adäquates Notfall-Management oder
• angeleitetes Self-Assessment
kann durch System360 in Form von Seminaren oder Workshops erfolgen.