Wirtschaftskriminalität – so wichtig ist die Sensibilisierung der Mitarbeiter

Hamburg, 03.03.2023 – Wäh­rend man me­di­al vor al­lem von An­grif­fen auf gro­ße Un­ter­neh­men oder In­sti­tu­tio­nen er­fährt, wer­den gleich­zei­tig Un­ter­neh­men je­der Grö­ße und bran­chen­un­ab­hän­gig zu Op­fern von Cy­ber­an­grif­fen. Die Schä­den sind oft be­trächt­lich und in der Ge­samt­heit kaum zu be­zif­fern.

Verschiedene Angriffsarten

Ver­bre­cher nut­zen ziel­si­cher die Me­ga­trends der Glo­ba­li­sie­rung und Di­gi­ta­li­sie­rung. Das be­deu­tet, der­ar­ti­ge An­grif­fe er­fol­gen:

• mit hoher Frequenz
• auf verschiedenen Wegen
• mit unterschiedlichen Medien
• häufig bei ausländischen Tochtergesellschaften

Ob­wohl spe­zi­ell die­se "Ma­schen" seit Jah­ren be­kannt sein dürf­ten, sind wei­ter­hin Schä­den aus den Be­rei­chen "Fake Pre­si­dent" und "Man in the Midd­le" zu ver­zeich­nen.

Zur Er­in­ne­rung: Die­se Tat­her­gän­ge las­sen sich wie folgt skiz­zie­ren:

Fake President

Der so­ge­nann­te Fake Pre­si­dent Fraud ist auch un­ter an­de­ren Be­zeich­nun­gen wie CEO-Fraud, En­kelt­rick 2.0 oder Chef-Ma­sche be­kannt. Da­bei ver­su­chen ex­ter­ne An­grei­fer ei­nen Mit­ar­bei­ter der Ab­tei­lung Fi­nan­zen oder der Buch­hal­tung zur Über­wei­sung von gro­ßen Be­trä­gen ins Aus­land zu be­we­gen, wo­bei ver­meint­lich gro­ße Ei­le ge­bo­ten ist. Da­bei wird die be­reits vor­han­de­ne Frei­ga­be durch den Vor­ge­setz­ten oder die An­wei­sung durch den Vor­ge­setz­ten selbst durch ge­fälsch­te E-Mails und/oder ge­schick­tes So­ci­al En­gi­nee­ring per Te­le­fon­an­ruf vor­ge­täuscht.

Man in the Middle-Angriff

Als Man in the Midd­le-An­griff be­zeich­net man ei­ne An­griffs­art, bei der sich der An­grei­fer bei­spiels­wei­se in den Mail-Ver­kehr zwi­schen dem Op­fer und ei­ner drit­ten Per­son ein­schal­tet. Der An­grei­fer ist so in der La­ge, sämt­li­che Kom­mu­ni­ka­ti­on ab­zu­fan­gen, zu le­sen und zu ma­ni­pu­lie­ren. Häu­fig kommt es vor, dass im Ver­lauf ei­ner sol­chen Kom­mu­ni­ka­ti­on der Auf­trag er­folgt, Über­wei­sun­gen zu tä­ti­gen oder die Emp­fän­ger­da­ten für ver­ein­bar­te Über­wei­sun­gen zu än­dern.
 

Unterschiedliche Standards

Hin­sicht­lich der uns in jün­ge­rer Zeit be­kannt ge­wor­de­nen Schä­den fällt auf, dass die­se da­durch be­güns­tigt wur­den, dass in aus­län­di­schen Ein­hei­ten an­de­re – nicht so ho­he – Stan­dards für Fi­nanz­trans­ak­tio­nen an­ge­wen­det wur­den als die, die im Stamm­haus gel­ten und ein­ge­hal­ten wer­den. Ähn­lich be­mer­kens­wert ist, dass die Zah­lun­gen au­ßer­halb des üb­li­chen Ab­laufs und "auf Zu­ruf" aus­ge­führt wur­den.

In al­len Fäl­len geht es um mitt­le­re bis ho­he 6-stel­li­ge Be­trä­ge. Die Be­gren­zung der Hö­he ei­ner Zah­lungs­frei­ga­be wur­de durch ei­ne Auf­tei­lung auf meh­re­re Zah­lungs­vor­gän­ge um­gan­gen. Der Ge­dan­ke, dass et­was nicht rich­tig ge­we­sen sein kann, kam erst, nach­dem ein Gro­ß­teil, der ei­gent­lich zu leis­ten­den Be­trä­ge, ge­zahlt war.
 

Handlungsempfehlungen

Es ist kaum mög­lich, sich da­vor zu schüt­zen, auf die­se Art an­ge­grif­fen zu wer­den. Um­so wich­ti­ger ist das rich­ti­ge Han­deln im Fal­le ei­nes sol­chen An­griffs.

Ger­ne tei­len wir ein paar Hand­lungs­emp­feh­lun­gen, die Ih­nen hel­fen kön­nen, sich bei An­grif­fen zu schüt­zen:

• Er­mu­ti­gen Sie Ih­re Mit­ar­bei­ter (welt­weit, schrift­lich und re­gel­mä­ßig!), miss­trau­isch zu sein, wenn sie ei­ne E-Mail von ei­nem Mit­glied der Ge­schäfts­lei­tung er­hal­ten, in der sie ge­be­ten wer­den, Zah­lun­gen in er­heb­li­cher Hö­he ins Aus­land vor­zu­neh­men. Si­gna­li­sie­ren Sie, dass Mit­ar­bei­ter sich bei un­ge­wöhn­li­chen Vor­gän­gen je­der­zeit rück­ver­si­chern kön­nen. Zah­lun­gen auf Zu­ruf soll­ten - egal in wel­cher Hö­he – nicht mög­lich sein. Wich­tig: Neh­men Sie die­sen Hin­weis auch beim On­boar­ding neu­er Mit­ar­bei­ter auf!
• Wei­sen Sie an, dass Ih­re Mit­ar­bei­ter sich un­ge­wöhn­li­che An­wei­sun­gen aus­nahms­los auf an­de­rem Weg be­stä­ti­gen las­sen, selbst wenn:
  – ausdrücklich um Verschwiegenheit gebeten wird
  – der Dienstweg außer Acht gelassen werden soll
  – für die Ab­wick­lung der Zah­lung an ei­ne ein­ge­schal­te­te Rechts­an­walts­kanz­lei ver­wie­sen wird, die sich in der Fol­ge in Ver­bin­dung set­zen wird, um wei­te­re An­wei­sun­gen zu er­tei­len
• Er­mu­ti­gen Sie Ih­re Mit­ar­bei­ter, miss­trau­isch zu sein, wenn ein Ge­schäfts­part­ner Zah­lun­gen auf ein an­de­res Kon­to als das lang­jäh­rig ver­wen­de­te wünscht. Wei­sen Sie an, sich Ver­än­de­run­gen in ge­eig­ne­ter Form vom An­sprech­part­ner bei dem je­wei­li­gen Ge­schäfts­part­ner be­stä­ti­gen zu las­sen. Wich­tig: Für Rück­fra­gen soll­ten in kei­nem Fall die Kon­takt­da­ten ver­wen­det wer­den, die in dem ak­tu­el­len Schrift­wech­sel ver­zeich­net sind!
• Sen­si­bi­li­sie­ren Sie Ih­re Mit­ar­bei­ter da­für, bei re­le­van­tem Schrift­ver­kehr re­gel­mä­ßig die E-Mail-Adres­sen zu über­prü­fen, al­so nicht nur den an­ge­zeig­ten Ab­sen­der, son­dern den tat­säch­li­chen. Die Tä­ter ver­wen­den oft E-Mail-Adres­sen, die ei­ner ech­ten und Ih­nen ver­meint­lich be­kann­ten ähn­lich sind, aber in ein­zel­nen Buch­sta­ben oder Zei­chen ab­wei­chen. Auf die­se Wei­se las­sen sie es ge­schickt so aus­se­hen, als sei al­les in Ord­nung.
• Re­geln Sie ein­deu­tig, mit wel­chen Me­di­en in Ih­rem Un­ter­neh­men kom­mu­ni­ziert wird. Wir emp­feh­len, Me­di­en wie Whats­App und pri­va­te E-Mail-Kon­ten aus­drück­lich aus­zu­schlie­ßen.
• Über­prü­fen Sie, wer wel­che Zah­lun­gen aus­lö­sen darf. Grund­sätz­lich soll­ten Zah­lungs­an­wei­sun­gen im 4-Au­gen-Prin­zip er­fol­gen. Bei hö­he­ren Be­trä­gen ist grund­sätz­lich und aus­nahms­los die Frei­ga­be durch das Ma­nage­ment emp­feh­lens­wert.
• Le­gen Sie fest, dass Zah­lungs­an­wei­sun­gen aus­nahms­los schrift­lich er­fol­gen müs­sen. Auch um im Ein­zel­fall bei Be­darf Ver­si­che­rungs­schutz zu er­lan­gen, ist ei­ne schrift­li­che Do­ku­men­ta­ti­on der An­wei­sung wich­tig.
• Über­prü­fen Sie, wer Emp­fän­ger­da­ten von Zah­lun­gen än­dern darf. Grund­sätz­lich soll­ten Än­de­run­gen im 4-Au­gen-Prin­zip er­fol­gen.
• Last but not least – bereiten Sie einen Notfallplan vor:
  – Wer ist zu informieren (inter/extern)?
  – Ken­nen Sie Ex­per­ten, an die man sich wen­den kann, um bei­spiels­wei­se Zah­lun­gen zu stop­pen und idea­ler­wei­se zu­rück­zu­ho­len?
   

Wir beraten Sie gern!

Die wich­ti­gen The­men Schutz bei Be­trug, Spio­na­ge und Ver­trau­ens­schä­den ver­tie­fen wir gern in ei­nem per­sön­li­chen Ge­spräch. Ru­fen Sie uns an oder bu­chen Sie hier di­rekt ei­nen Ter­min.

Wir freuen uns, von Ihnen zu hören!