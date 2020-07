14.07.2020

E-Mail-Betrug CEO-Fraud: Wenn sich Betrüger als Chef ausgeben

Viele Arbeitnehmer sind in der Corona-Krise nach wie vor von zu Hause aus tätig. Doch die virtuelle Zusammenarbeit mit den Kollegen bietet Einfallstore für Kriminelle. Besonders beliebt: der sogenannte CEO-Fraud, bei dem Trickbetrüger die Betriebe mithilfe gefälschter Mails abzocken. Wie die Methode funktioniert – und wie sich Firmen und Mitarbeiter schützen können

Von Harald Czycholl

40 Millionen Euro – um diesen Betrag erleichterten Internetbetrüger 2016 den Nürnberger Automobilzulieferer Leoni. Zum Einsatz kam ein sogenannter CEO-Fraud, was frei übersetzt so viel wie "Chef-Betrug" bedeutet: Mithilfe gefälschter Mails gaben sich die bis heute unbekannten Betrüger gegenüber Mitarbeitern der rumänischen Tochtergesellschaft des Unternehmens als hochrangige Leoni-Manager aus und ordneten zahlreiche Überweisungen in zumeist einstelliger Millionenhöhe auf ausländische Konten an. "Das Ganze lief über einen Zeitraum von drei Wochen. Das ging so schnell, dass für uns keine Reaktionszeit blieb, die über ein weit verzweigtes Netz laufenden Geldtransfers zu stoppen", erklärte der damalige Leoni-Finanzvorstand Karl Gadesmann einige Monate später bei der Bilanzkonferenz seines Unternehmens. "Wir rechnen nicht damit, das Geld substanziell zurückbekommen zu können."

Cyberattacken: Homeoffice erhöht Risiken

Mit derartigen Problemen sind Unternehmen nun, da viele Menschen aufgrund der Coronavirus-Pandemie immer noch im Homeoffice arbeiten, häufiger konfrontiert. Laut Angaben des Digitalverbands Bitkom setzen viele Arbeitgeber weiterhin auf ortsunabhängiges Arbeiten. Bei jedem dritten Berufstätigen (33 Prozent) wurde aufgrund der Corona-Restriktionen erstmals Homeoffice eingeführt, bei 43 Prozent wurden bestehende Homeoffice-Regelungen durch den Arbeitgeber ausgeweitet. Bei 45 Prozent der Berufstätigen ersetzen Telefon- und Webkonferenzen die bisherigen Treffen mit persönlicher Anwesenheit. "Dass mobiles Arbeiten zum Standard werden könnte, schien bislang undenkbar", so Bitkom-Präsident Achim Berg. Die Pandemie habe wie unter einem Brennglas die immensen Potenziale sichtbar gemacht, die digitale Technologien bieten.

Das gilt allerdings auch für die damit verbundenen Risiken. Denn wo viele Arbeitnehmer von zuhause aus arbeiten und digital mit ihrem Arbeitgeber und den Kollegen kommunizieren, bieten sich auch Cyberkriminellen neue Einfallstore. So werden am heimischen Rechner oftmals weniger sichere Passwörter benutzt – und in Zeiten der virtuellen Zusammenarbeit mit den Kollegen sind die Menschen auch anfälliger für manipulative Trickbetrügereien. "Man muss sich auf Cyberattacken einstellen", betont Frank Braun, Chief Legal & Compliance Officer bei Meag Munich Ergo Asset Management in München. "Das Thema IT-Sicherheit hat eine hohe Bedeutung, denn es drohen nicht nur wirtschaftliche Schäden, sondern auch ein Vertrauensverlust bei den Kunden."

CEO-Fraud technisch unaufwändig

Schon in Vor-Corona-Zeiten war die Lage in dieser Hinsicht kritisch: Laut Bitkom-Angaben hatte innerhalb der vergangenen zwei Jahre für gut acht von zehn befragten Unternehmen (84 Prozent) die Anzahl der Cyberattacken zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. Denn die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie Industrie 4.0 bieten Cyber-Angreifern dabei weit reichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern.

Der CEO-Fraud, dem auch Leoni zum Opfer fiel, ist in der aktuellen Situation besonders beliebt, weil er technisch unaufwändig ist. Das Vorgehen der Trickbetrüger ist denkbar einfach: "Sie schicken täuschend echte E-Mails an Arbeitnehmer, in denen sie sich als Geschäftsführer oder Finanzchef der entsprechenden Firma ausgeben und eine Überweisung von Firmengeldern auf ihre Konten in Auftrag geben", erklärt Nicole Nebelung, Digitalexpertin bei der Ergo Versicherungsgruppe. "Dabei handelt es sich in der Regel um hohe, häufig fünf- oder sechsstellige Beträge." Die Kriminellen gehen dabei mittlerweile so raffiniert vor, dass immer mehr Arbeitnehmer auf diese Masche hereinfallen: "Die Täter informieren sich vorab umfassend über die entsprechende Firma, sprechen ihr Opfer in der E-Mail persönlich mit Namen an, vermeiden Rechtschreibfehler, übernehmen individuelle Angaben aus Karriereportalen oder Social-Media-Accounts und kopieren die Adresse und die Telefonnummer des Vorgesetzten", so Nebelung.

Mitarbeiter sollten sensibilisiert werden

Das zeigt: Ein fähiger IT-Dienstleister, der die Technik im Griff hat, Virenschutz und Firewalls auf dem neuesten Stand hält und mögliche Sicherheitslücken sofort erkennt und schließt, ist nur die eine Seite der Medaille. "Mindestens genauso wichtig sind gut geschulte und für die Problematik sensibilisierte Mitarbeiter", betont MEAG-Jurist Braun. "Man muss die Mitarbeiter jeden Tag abholen und sie sensibilisieren. Wir nutzen dafür auch das Intranet und haben auch schon mit Aufklebern an den Bürotüren dafür geworben." Dass solche Maßnahmen wichtig sind, haben allerdings längst noch nicht alle Firmen erkannt, wie eine Bitkom-Umfrage offenlegt: Demnach bietet nur ein Viertel (25 Prozent) aller Betriebe seinen Mitarbeitern Schulungen zu Sicherheitsthemen an. Selbst in großen Unternehmen ab 500 Mitarbeitern sind es nur 30 Prozent.

Auf Angriffe aus dem Cyberspace müsse jedes Unternehmen vorbereitet sein, betont Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research bei Corporate Trust Business Risk & Crisis Management. "Aus technisch-organisatorischer Sicht erwarte ich im ersten Schritt ein durchgehendes Sicherheitskonzept, dass mindestens einmal jährlich auf Angemessenheit und Wirksamkeit geprüft wird und in dem auch der Schutzbedarf klar definiert wurde", sagt Wimmer. Neben den technischen Maßnahmen wie einer regelmäßigen Datensicherung, Backups, Hackerresistenz und einem Sicherheitsmonitoring gelte es, "die handelnden Personen mit auf die Reise zu nehmen und entsprechend zu schulen", so der IT-Sicherheitsexperte. Denn grundsätzlich gilt, dass jedes System nur solange sicher ist, wie sich sein Benutzer an zuvor vereinbarte Standards hält.

Zuständigkeiten klar zuweisen

"Eine Kette ist immer nur so stark wie ihr schwächstes Glied", bestätigt Johanna M. Hofmann, Rechtsanwältin in der Wirtschaftskanzlei CMS in München und Expertin für IT- und Datenschutzrecht. "Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen." IT-Sicherheit betreffe prinzipiell alle Abteilungen im Unternehmen – und sämtliche Mitarbeiter. "Alle sollten an einem Strang ziehen", so Hofmann. "Zuständigkeiten sollten klar zugewiesen sein, es sollte einen Ansprechpartner für Fragen der IT-Sicherheit geben." Die Unternehmen seien in der Pflicht, ihre Mitarbeiter bestmöglich vor den Gefahren in der digitalen Sphäre zu schützen.

Aber natürlich sind auch die Mitarbeiter gefordert, nicht zu naiv und gutgläubig zu agieren. Mitunter helfe schon eine Prise gesunde Skepsis, um nicht auf einen CEO-Fraud hereinzufallen, sagt Digitalexpertin Nebelung. "Man sollte vorsichtig sein." Wenn der Absender beispielsweise Druck ausübt, indem er auf eine angebliche Deadline verweist, könne das ein Hinweis auf Betrug sein. "Immer, wenn eine Zahlungsanweisung ungewöhnlich erscheint, sollten die Mitarbeiter E-Mail-Adresse und Inhalt genau prüfen und zur Sicherheit direkt beim Chef nachfragen", so Nebelung.

Geld floss nach Russland und China

Denn fragen kostet bekanntlich nichts – und wie kostspielig umgekehrt Nachlässigkeiten sein können, hat nicht zuletzt der Betrugsfall beim Automobilzulieferer Leoni eindrucksvoll vor Augen geführt. Als Konsequenz feuerte der Vorstand vier Mitarbeiter und mahnte einen für Personalfragen zuständigen Geschäftsführer ab. Firmeninterne Untersuchungen hätten ergeben, dass Fehlverhalten und Regelverstöße einiger Mitarbeiter die millionenschweren Betrügereien begünstigt hätten, erklärte das Unternehmen. Als Sofortmaßnahmen habe man die Abläufe im Zahlungsverkehr unter die Lupe genommen, Mitarbeiter geschult und das interne Kontrollsystem überprüft. Das beugt zwar ähnlichen Vorfällen in der Zukunft vor – die 40 Millionen Euro sind aber unwiederbringlich verloren. Die Ermittlungen ergaben, dass das Geld auf Konten in Russland und China landete. Dort verläuft sich dessen Spur. Immerhin: Eine Vertrauensschaden-Versicherung kam für einen Teil des Schadens auf, die Rede ist von fünf Millionen Euro.