CEO-Fraud erfordert besondere Aufmerksamkeit im Home-Office


 

In der aktuellen Corona-Krise nehmen Cyberangriffe durch die Betrugsmasche „CEO-Fraud“ auf Mitarbeiter im Home-Office zu. Insbesondere wird versucht, durch geschickte Täuschung eines Mitarbeiters der Abteilung Finanzen oder der Buchhaltung vorhandene Prozesse zu umgehen bzw. unautorisiert zu nutzen.

 

 

Praxis-Info!

 

Problemstellung

Aus bekanntem Anlass ermöglichen derzeit viele Unternehmen ihren Mitarbeitern, ihre Aufgaben per Remote-Arbeit im Home-Office zu verrichten. Hierbei werden aber häufig Sicherheitsaspekte nicht genügend beachtet. Dies wird zunehmend von Cyberkriminellen für sog. Phishing-Attacken ausgenutzt. Mittels „Social Engineering“ werden die im Home-Office isolierten Mitarbeiter ausgespäht und dann per E-Mail, SMS oder Anruf angegriffen. Aus Sicht der kaufmännischen Abteilungen ist hierbei der „CEO-Fraud“ besonders relevant, der auch unter dem Begriff „Chefbetrug“ bekannt ist. Eine aktuelle PwC-Studie zur Wirtschaftskriminalität zeigt deutlich, dass diese Betrugsmasche sich zu einer relevanten Bedrohung für den deutschen Mittelstand entwickelt hat. So berichteten 40% der befragten Firmen, sie seien innerhalb der vergangenen 24 Monate zumindest einmal Ziel einer „CEO-Fraud“-Attacke geworden. In 5% der Fälle waren die Kriminellen erfolgreich.

Hierzu wurde am 29.4.2020 das Whitepaper „CEO-Fraud: So erkennen und vermeiden Sie den Unternehmensbetrug“ veröffentlicht, in dem diese Phishing-Attacke erklärt und präventive Schutzmaßnahmen empfohlen werden. Die Täter nutzen demnach bei einem CEO-Fraud Informationen, die Unternehmen in Wirtschaftsberichten, im Handelsregister, auf ihrer Website oder in Werbebroschüren veröffentlichen. Die Betrüger legen ihr Augenmerk insbesondere auf Angaben zu Geschäftspartnern und künftigen Investments. Für das Beschaffen von Erst-Informationen über das Unternehmen werden in erster Linie soziale Netzwerke genutzt. LinkedIn ist für Betrüger besonders interessant, da dort Informationen über geschäftliche Beziehungen oder die Identität und Funktion von Mitarbeitenden zu finden sind. Sind die benötigten Daten nicht online verfügbar, kontaktieren die Betrüger direkt die Firma, um die Betrugsmasche trotzdem durchführen zu können.

Zu den gesuchten Daten gehören nach Erfahrungen von Cybersicherheitsexperten hauptsächlich die Mailadressen der Mitarbeitenden in der Buchhaltung, die am Ende die Zahlungen für die Betrüger vornehmen sollen. Mit den Angaben aus diesen Erstkontakten werden dann gezielte E-Mails mit für das jeweilige Unternehmen plausiblen Angaben verschickt.

Die Strategie der Betrugsmasche sehen Mitarbeiter der darauf spezialisierten Beratungsboutique Carmasec klar in der Umgehung bzw. unautorisierten Nutzung von vorhandenen Prozessen durch geschickte Täuschung eines Mitarbeiters der Abteilung Finanzen oder der Buchhaltung ausgelegt. Dabei werde meist sozialer Druck auf Mitarbeitende ausgeübt, indem in der Nachricht des vermeintlichen CEO betont wird, dass die Angelegenheit streng vertraulich sowie besonders zeitkritisch ist. Außerdem wird gewarnt, dass die erhaltene E-Mail nicht mit dem direkten Vorgesetzten besprochen werden darf, da geheime Informationen wie beispielsweise eine Firmenübernahme o.Ä. unter Verschluss bleiben müssen. Es handelt sich hierbei also einerseits um ein technisches Delikt, andererseits aber auch um die Manipulation von Menschen. Folglich zielen Kriminelle gleich auf zwei potenzielle Schwachstellen von Unternehmen ab.

 

 

Lösung

Vor diesem Hintergrund ist Unternehmen aktuell dringender als je zuvor zu empfehlen, präventive Maßnahmen zu ergreifen, um sich gegen „CEO-Fraud“ zu schützen. Wichtige Bausteine eines erfolgreichen Sicherheitskonzepts sind die Analyse interner Zahlungs- und Abstimmungsprozesse und die Einführung eines Vier-Augen-Prinzips auch für Remote-Arbeit. Weiterhin sollten Mitarbeiter gezielt sensibilisiert und geschult werden, um betrügerische Kontaktaufnahmen direkt zu erkennen.

Der Gestaltung sicherer Zahlungsprozesse fällt in Unternehmen daher eine entsprechende Bedeutung zu. Aktuelle Diskussionen sind – so die Carmasec-Experten – zu stark auf die eher trivialen Angriffsszenarien fokussiert. Der besonderen Situation eines in den Vorfall involvierten Mitarbeiters werde so nicht ausreichend Rechnung getragen: „CEO-Fraud-Attacken werden oftmals nicht erkannt, da Kriminelle versuchen, möglichst perfekte Fälschungen zu versenden, die weder auf den ersten noch auf den zweiten Blick von Mitarbeitenden erkannt werden können. Das wird mit der „Angst“ der Mitarbeitenden vereint, die Entscheidungen des obersten Chefs zu hinterfragen. Ein Angestellter aus der Buchhaltung kann sich nicht leisten, bei jeder Zahlung, die er buchen soll, viele Fragen zu stellen, statt unverzüglich der Aufforderung nachzukommen.“

Problemverschärfend kommt hinzu, dass für Führungskräfte oft Ausnahmen von der Regelgelten. Insbesondere der CEO selbst wird in vielen Unternehmen keinen Kostenantrag stellen oder von anderen Personen freigeben lassen müssen. Wenn er sagt, dass Summe X an Partei X gezahlt werden soll, wird das auch so gemacht. Besonders gefährdet sehen die Carmasec-Experten daher zu Recht vor allem Unternehmen, in denen noch sehr hierarchische und von Autorität geprägte Strukturen bestehen.

 

 

 

Praxishinweise:

  • Besonders wichtig dürfte daher die Etablierung eines Freigabekonzepts für Zahlungen sein. Ab einer bestimmten Mindestsumme (festzulegen auch in Abhängigkeit von der Unternehmensgröße, z.B. 5.000 €) muss die Buchhaltung jeden einzelnen Fall prüfen, egal ob die weitergeleitete Rechnung oder Zahlungsanweisung vom CEO oder vom Praktikanten kommt. Am einfachsten geht das, wenn dabei das sog. „4-Augen-Prinzip“ angewendet wird.
  • Obwohl das 4-Augen-Prinzip und die Funktionstrennung wichtige Elemente eines jeden internen Kontrollsystems sind, handelt es sich hierbei aber nicht um eine Wunderwaffe. „Entscheidend ist, durch entsprechendes Prozessdesign die Unabhängigkeit der kontrollierenden Person zu gewährleisten und die kontrollierenden Mitarbeiter zu schulen sowie die Kontrollarbeit angemessen zu honorieren“, so das Fazit in einem von Christian Thurow unter dem Titel „IKS – Mit vier sehenden Augen in den Betrugsfall“ in BC 10/2018 veröffentlichten Beitrag.
  • Dass allerdings auch mehr als angemessene Honorierung nicht vor Betrug schützt, zeigt der Blick auf Millionäre oder etwas weniger bemittelte Gutverdienende, die in offensichtlicher Gierschlund-Mentalität nicht vor Regelbrüchen zurückschrecken. Hunderte, wahrscheinlich eher Tausende von Cum-ex-Geschäftsbetreibern dürfen sich hier persönlich angesprochen fühlen und bleiben bisher weitgehend unbehelligt, so berichtet es jedenfalls die Badische Zeitung am 25.4.2020 und nennt ein Schadensvolumen von mindestens 55,2 Mrd. €. Alte Lateiner wussten es schon: „Die Gerechtigkeit (und das Recht) sind wie ein Spinnennetz – die Kleinen hält es fest – die Großen zerreißen es einfach.“
  • Das Carmasec-Whitepaper kann kostenfrei heruntergeladen werden.
  • Die PwC-Studie zur Wirtschaftskriminalität wurde unter dem Titel Global Economic Crime and Fraud Survey“ am 3.3.2020 veröffentlicht.

 

 

Dipl.-Kfm. Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld

 

 

BC 6/2020