Chefbetrug – so schützen sich Unternehmen


Die Sache verlangt höchste Vertraulichkeit, daran lässt die E-Mail keinen Zweifel. „Zurzeit bereiten wir eine Übernahme vor“, lässt der Chef die Mitarbeiterin ohne lange Einleitung wissen. Niemand werde darüber informiert, selbst im eigenen Haus nicht. Nur die Frau wird eingeweiht – sie soll die Zahlung vorbereiten: „Aufgrund ihrer Diskretion und bisher einwandfreien Arbeit möchte ich Ihnen die Verantwortung über das Projekt übertragen“, schmeichelt ihr der Vorgesetzte.

E-Mails wie diese gehen in vielen deutschen Unternehmen ein. Dahinter verbergen sich jedoch nicht Familienpatriarchen und Vorstände: Immer öfter versuche Kriminelle, Mitarbeiter in der Buchhaltung oder dem Rechnungswesen dazu zu bewegen, Geld auf ein Konto im Ausland zu überweisen – etwa wegen einer angeblichen Übernahme oder Fusion. Experten bezeichnen diese Betrugsmasche meist als „CEO Fraud“, auf Deutsch Chefbetrug. Der wohl bekannteste Fall: Der Autozulieferer Leoni machte vor einem Jahr einen Schaden von 40 Millionen Euro publik.

Konkrete Zahlen zum Ausmaß des Problems gibt es nicht. „Das Phänomen hat in den letzten Jahren stark zugenommen“, beobachtet aber Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch Praktiker berichten in Gesprächen mit dem Handelsblatt, dass ihre Firmen es mit immer mehr und immer besseren Betrugsversuchen zu tun bekommen. So zählen die Sicherheitschefs zweier deutscher Konzerne mit mehr als 10.000 Mitarbeitern durchschnittlich zwei professionelle Versuche pro Monat – und deutlich mehr laienhafte.


Viele Unternehmen sind darauf nicht vorbereitet. Das zeigt sich etwa daran, dass allein die Staatsanwaltschaft Köln mit ihrer Zentral- und Ansprechstelle Cybercrime (ZAC) derzeit in 158 Verfahren ermittelt, bei denen Schäden in Höhe von 56 Millionen Euro anfielen. Hätten die Banken nicht etliche Transaktionen stoppen können, wären bis zu 150 Millionen Euro abgeflossen. Im schlimmsten Fall ist die Existenz einer Firma bedroht. Dabei ist es durchaus möglich, sich dagegen zu schützen, wie Schönbohm betont: „Es gibt gute und wirksame Gegenmaßnahmen.“

Wie die Chefmasche funktioniert, und was dagegen hilft: Die beiden Sicherheitschefs geben dem Handelsblatt Einblicke. Da sie die Täter nicht provozieren wollen, wollen sie die Namen ihrer Arbeitgeber nicht öffentlich nennen – der Einfachheit halber nennen wir sie Konzern Nord und Konzern Süd.

Schulungen gegen „Fehler 40“

Ein Auftrag des Chefs, der höchste Diskretion erfordert – es ist verständlich, wenn Mitarbeiter in einer solchen Situation nervös werden. Dabei wäre Besonnenheit besonders wichtig: Würde der Vorstand wirklich per E-Mail bitten, große Summen ins Ausland zu überweisen, ganz ohne interne Absprachen? „Wir bezeichnen das als Fehler 40“, sagt der Sicherheitschef eines deutschen Industriekonzerns: Die Fehlerquelle sitze 40 Zentimeter vor dem Bildschirm.


Die Sensibilisierung der Mitarbeiter sei daher der wichtigste Schutz und könne die meisten Betrugsversuche dieser Art abwehren. Der Konzern veranstaltet deswegen regelmäßig Schulungen für Buchhaltung und Finanzabteilung und verschickt gelegentlich selbst fingierte E-Mails, um die Reaktionen zu testen. Und er bläut den Buchhaltern ein, im Zweifel einmal mehr zu fragen als einmal weniger.

„Nur weil wir das Thema innerhalb des Konzerns gemeinsam mit den Mitarbeitern angehen, erkennen wir die meisten Betrugsversuche.“ Bisher konnte sein Team jegliche Schäden verhindern – in wenigen Fällen erst nach der Überweisung, aber noch rechtzeitig, um die Transaktion zu stoppen.

Mit diesen Maßnahmen ist der Konzern nicht allein. BSI-Präsident Schönbohm beobachtet, dass größere Firmen die Gefahr erkannt haben – kleinere jedoch häufig nicht. „Wir müssen auf unsere Familienunternehmen und die Hidden Champions aufpassen“, betont der Behördenchef. Und auf die haben es einige Betrüger offenbar abgesehen: Ermittler berichten, dass eine erste Welle sich im Südwesten der Republik ausbreitete, wo viele erfolgreiche Maschinenbauer ihren Sitz haben.


Insider-Informationen von Xing und LinkedIn



Zurückhaltung bei Xing & Co.

Die Betrüger haben es allerdings oft leicht. Denn die Unternehmen stellen teilweise detaillierte Informationen über ihre Organisationsstruktur ins Netz, zudem sind viele Mitarbeiter in sozialen Netzwerken wie Xing, LinkedIn und Facebook aktiv – und verraten, womit sie sich bei der Arbeit und in der Freizeit beschäftigen. Das erleichtert „Social Engineering“, also zwischenmenschliche Manipulationen: Mit solchen Informationen können Kriminelle gezielt Mitarbeiter anschreiben und „Buzzwords“ fallen lassen, wie es der Sicherheitsbeauftragte eines Unternehmens formuliert.

„Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich sind“, warnt daher das Landeskriminalamt (LKA) Nordrhein-Westfalen in einer Broschüre über CEO Fraud. „Die Täter legen ihr Augenmerk insbesondere auf Angaben zu Geschäftspartnern und künftigen Investments.“

Auch die Aktivitäten der Mitarbeiter seien relevant: „Soziale Netzwerke, in denen Mitarbeiter ihre Funktion und Tätigkeit oder persönliche Details preisgeben, stellen ebenfalls eine wichtige Informationsquelle dar“, warnen die Ermittler. Insiderwissen können sich Täter häufig von außen beschaffen.

Interne Kontrolle

Konzern Süd wickelt jeden Tag tausende von Überweisungen ab, in vielen Fällen ohne lange Überprüfung. In der Branche gilt ein Prinzip: Trifft das Geld auf dem Konto ein, wird die Lieferung veranlasst. So lange dabei vertraute Kontodaten zum Einsatz kommen, sei das unkritisch, erklärt der Sicherheitschef – schließlich habe man darüber schon zahlreiche andere Geschäfte abgewickelt.


Seine Mitarbeiter wissen jedoch, wann sie genau hinsehen müssen. Das gilt zum einen, wenn ein Kunde oder Geschäftspartner die Kontodaten verändert. Denn hier ergeben sich Möglichkeiten für Betrügereien, etwa mit gefälschten E-Mails. „Unsere Leute sind angehalten, bei Kontoänderungen telefonisch nachzufragen“, lautet eine Regel. Zum anderen bekommen sie regelmäßig Schulungen über die gängigen Betrugsmaschen und sind im besten Fall gleich alarmiert. Wenn alles gut läuft, verfallen sie nicht in Panik, sondern melden sich beim Sicherheitsteam – und das stößt dann einen festgelegten Prozess an, unter anderem mit einer Strafanzeige.

Das BSI rät zu „guter Governance“, wie es Behördenchef Schönbohm ausdrückt. „Zahlungsprozesse können so angelegt werden, dass einzelne Person nicht ohne Weiteres hohe Summen ins Ausland überweisen können“, nennt er ein Beispiel. Das verhindert den Abfluss von Firmenmitteln nach China, wie es beim CEO Fraud oft passiert. Im besten Fall wirken Schulungen und Strukturen zusammen: Die Mitarbeiter sehen ungewöhnliche Anweisungen – und wissen, was sie dann zu tun haben.

Wie das konkret aussieht, zeigt eine Präsentation der Commerzbank für professionelle Kunden: „Identifizieren Sie risikobehaftete Prozesse und stellen Sie Kontrollen sicher“, heißt es darin. Und: „Halten Sie diese immer ein.“ So stelle sich die Frage, welche Mitarbeiter allein Zahlungen veranlassen können und welche dabei unlimitiert unterschreiben dürfen. Zudem müsse geklärt werden, ob „öffentlich bekannte Unterschriften“ für die Autorisierung bei der Bank hinterlegt seien – denn die können dreiste Täter aus dem Handelsregister kopieren.


Keine Angst vor der Polizei

Kontakte zu Behörden

Selbst wenn Kriminelle erhebliche Schäden anrichten, scheuen viele Unternehmen den Gang zu Polizei und Staatsanwaltschaft. „Dahinter steckt die Angst, dass die Behörden die Produktionsrechner beschlagnahmen“, schildert der Sicherheitschef des Industriebetriebs eine verbreitete Sorge. Eine weitere: Wenn die Ermittler genauer hinsehen und Mängel bei der IT-Sicherheit entdecken, machen sie womöglich das Unternehmen selbst für die Schäden verantwortlich. „Der Gang zur Staatsanwaltschaft“, sagt der Spezialist, „ist immer auch ein Risiko“.


Er selbst hat allerdings positive Erfahrungen gemacht: Die Staatsanwaltschaft in Köln mit ihrer Zentral- und Ansprechstelle Cybercrime, im Jahr 2014 eingerichtet, verstehe die Probleme. Die Cyberstaatsanwälte „kennen unsere Bedürfnisse und beschlagnahmen nicht gleich unsere Rechner“. Zudem verstehen sie die Materie und sprechen die gleiche Sprache wie die IT-Sicherheitsleute im Unternehmen.

Auch der Sicherheitschef des anderen Konzerns lobt die Zusammenarbeit. „Davor war es mitunter schwierig, einen geeigneten Ansprechpartner bei der richtigen Behörde zu finden“, sagt er. Wer in einem lokalen Polizeipräsidium anruft und etwas von „CEO Fraud“ erzählt, wird vermutlich Schwierigkeiten haben, einen verständigen Gesprächspartner zu finden. Neben Nordrhein-Westfalen haben auch andere Bundesländer Schwerpunktstaatsanwaltschaften für Cyberkriminalität eingerichtet.

Geschäftspartner schützen

Die großen Unternehmen schützen sich immer besser und machen es den kriminellen Banden schwer. Die suchen sich leichtere Opfer: „Wir beobachten seit etwa 18 Monaten, dass die Täter an unsere Kunden herantreten“, sagt der Sicherheitschef des Industriekonzerns. „Die großen Unternehmen bauen sich eine IT-Sicherheit auf, aber die kleinen Mittelständler sind angreifbar“, berichtet auch sein Kollege.


Typisch ist ein Fall, in dem eine kriminelle Gruppe in die IT-Systeme eines Unternehmens eindrang und dort manipulierte Rechnungen platzierte, auf denen eine Kontonummer im Ausland vermerkt war: Das Geld kam nie bei den offiziellen Rechnungsstellern an. Daran trägt das Unternehmen natürlich keine Schuld. „Wir wissen ja nichts davon“, sagt der Sicherheitschef. „Das Problem ist: Wir werden in den Fall reingezogen.“

Daraus ziehen die Sicherheitsexperten ihre Lehren. So bekommt jeder Kunde einen festen Ansprechpartner in ihren Unternehmen zugeteilt. „Wenn jemand anders anruft, sollten sie das hinterfragen“, so die Verfahrensweise im Konzern Nord. Und die Unternehmen warnen ihre Geschäftspartner selbst vor dem Problem.

KONTEXT

Wie Kriminelle beim CEO Fraud vorgehen

Gezieltes Ansprechen

Die Täter kundschaften genau aus, wer im Unternehmen eine Überweisung tätigen darf. "Über Xing und LinkedIn bekommen die Täter viele Informationen", berichtet der Sicherheitschef eines deutschen Konzerns. Auch das Organigramm vieler Unternehmen stehe im Netz - so ist es ein Leichtes, die richtige Person in der Buchhaltung zu identifizieren. Notfalls mit einem zusätzlichen Anruf.

Vertraute Themen

Den Betrügern gelingt es häufig, eine Vertraulichkeit herzustellen. Dafür nutzen sie beispielsweise Informationen aus Pressemitteilungen oder Vorträgen - so können sie "Buzzwords" verwenden, die im Unternehmen gerade herumschwirren, erläutert der Sicherheitschef eines deutschen Unternehmens. Das könnten etwa Übernahmegerüchte sein.

Psychologisches Geschick

Dass die Chefmasche erstaunlich häufig funktioniert, hat mit dem psychologischen Geschick vieler Betrüger zu tun. Einerseits schmeicheln sie Mitarbeitern, indem sie etwa deren Verlässlichkeit hervorheben. Andererseits machen sie Druck. "In ihren Emails bauen die Täter Zeitdruck und Stress auf", sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Überweisung müsse ganz schnell und ganz geheim erfolgen. Hinzu kommen hierarchische Strukturen, in denen die Mitarbeiter die Entscheidungen von Vorgesetzten nicht hinterfragen.

Technische Verschleierung

Die Anweisung klingt nach dem Chef, stammt aber nicht von ihm: Kriminelle fälschen häufig E-Mail-Adressen, bevor sie Buchhalter oder Finanzexperten kontaktieren. Einerseits tauschen sie einzelne Buchstaben, aus der Endung @firma.com wird beispielsweise dann firma.c0m - mit einer 0 statt einem o. Andererseits täuschen sie eine andere Absenderadresse vor. Experten sprechen vom Spoofing.

Geschichte Tarnung

Die Betrüger bauen eine geschickte Tarnung auf. So bestehen sie häufig darauf, aufgrund der hohen Vertraulichkeit ausschließlich per E-Mail zu kommunizieren. Für Nachfragen geben sie eine Telefonnummer an, unter der angeblich eine Anwaltskanzlei zu erreichen ist, die mit der Transaktion vertraut ist - das Telefon nehmen natürlich die Betrüger selbst ab. Zudem fälschen sie Unterschriften und Belege.

Verfeinerte Methoden

Vor einigen Jahren waren die meisten Betrugsversuche plump, inklusive Texten, die nach einer Übersetzung per Google Translate klangen. "Die Methodik hat sich verfeinert", beobachtet der Sicherheitschef eines Industriebetriebs. So klinge das Deutsch in vielen E-Mails professionell, zudem kundschafteten die Betrüger offenbar das Unternehmen genau aus.

KONTEXT

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software - wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

"Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort": Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein - obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. "Die Handbücher mit dem Passwort stehen oft im Internet", sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer - neben Kriminellen auch Geheimdienste - oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

KONTEXT

Schutz gegen Datendiebe

Passwörter gut schützen

Es klingt offensichtlich: Nutzer sollten ihre Passwörter gut schützen. Doch nicht wenige kleben ein Post-it mit Zugangsdaten an den Monitor oder speichern sie gar in einer Datei auf dem Rechner. Beides ist riskant - wenn Eindringlinge ins Büro oder auf den Rechner gelangen, können sie auch auf die E-Mails oder das Content Management System zugreifen.

Erst lesen, dann klicken

Es ist der Klassiker: In der E-Mail wird ein lustiges Katzenbild oder ein sensationelles Video angekündigt. Lädt man den Anhang herunter oder klickt auf den Link, fängt man sich aber einen Virus ein. Daher gilt nach wie vor die Regel, Anhänge und Links kritisch zu prüfen, ebenso Nachrichten von unbekannten Absendern.

Vorsicht mit USB-Sticks

Eine beliebte Angriffsmethode: Hacker lassen präparierte USB-Sticks auf dem Parkplatz oder in der Kantine liegen - und hoffen darauf, dass arglose Mitarbeiter das Gerät an den PC anschließen. Diese Masche funktioniert erschreckend gut. Die Lehre daraus: Nutzer sollten mit unbekannten Speichermedien extrem vorsichtig umgehen.

WLAN nur mit Verschlüsselung

Ob im Café oder am Flughafen: Wer mit seinem Smartphone oder Notebook ein öffentliches WLAN-Netzwerk nutzt, geht ein Risiko ein. Wenn man vertrauliche Daten abrufen will, sollte man das beispielsweise möglichst nur mit einer SSL-Verbindung tun. Weitere Tipps gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Weitere Tipps

Schutz gegen Mitleser

In der Bahn oder im Flugzeug können Mitreisende ohne Probleme einen Blick auf das Notebook oder Smartphone erhaschen - und bekommen so möglicherweise sensible Informationen mit. Sicherheitsexperten raten daher, sich nach sogenannten Schultersurfern umzusehen und im Zweifelsfall die Datei geschlossen zu lassen. Zudem raten sie dringend davon ab, das Gerät auch nur kurz aus dem Auge zu lassen.

Gesunde Skepsis bei Apps

Apps können das Leben leichter machen, aber auch unsicherer: Viele Anwendungen fragen Informationen ab, die die Nutzer vermutlich nicht weitergeben wollen. Gerade Android-Nutzer sollten genau überprüfen, welche Berechtigungen ein Programm einfordert und im Zweifelsfall lieber die Finger davon lassen. Gleiches gilt für PC-Nutzer, die Programme aus dem Nutzer herunterladen und installieren. Besonders illegale Kopien sind häufig verseucht.

Code fürs Smartphone

Es mag zwar vielleicht nerven, wenn man jedes Mal einen Code eingeben muss, bevor man das Smartphone nutzen kann. Doch eine Sperre ist höchst nützlich, wenn das Gerät verloren geht oder gestohlen wird. Viele Firmen schreiben eine solche physische Absicherung vor. Im Büro kann es durchaus sinnvoll sein, den Rechner zu sperren, während man eine Besprechung hat oder in die Mittagspause geht.

Software aktuell halten

Auch dieser Tipp ist bekannt, er wird aber trotzdem oft nicht beherzigt: Nutzer sollten die Software auf ihrem Rechner immer aktuell halten. Das gilt nicht nur für den Virenscanner, sondern auch das Betriebssystem und Anwendungsprogramme wie Browser oder Textverarbeitung. Potentiell können Angreifer viele Lücken ausnutzen, um schädliche Software auf das Gerät zu schleusen.