Dieser Beitrag entstand während des Weiterbildungslehrgangs MAS Economic Crime Investigation und wurde von der Studienleitung als überdurchschnittlich bewertet.

Von Daniel Carreiras

Die weltweite Vernetzung über das Internet ist aus dem heutigen Wirtschaftsleben nicht mehr wegzudenken. Unternehmen präsentieren sich und werben über ihre Webseite und der Grossteil der Unternehmenskommunikation wird heutzutage elektronisch (E-Mail) abgewickelt. Allerdings haben auch Kriminelle die Nutzung des Internets für sich entdeckt: Computerkriminalität, auch als Cyberkriminalität (vom Englischen «Cybercrime») bekannt, ist mittlerweile allgegenwärtig und sorgt jährlich für Schäden in Milliardenhöhe.

Eine besonders lohnenswerte Betrugsmasche für Cyberkriminelle ist diejenige des Chefbetrugs, auf Englisch «CEO Fraud»: Kriminelle geben sich in E-Mails als vermeintliche Führungsmitglieder oder sogar als CEO einer Unternehmung aus und erwirken, dass deren Angestellte hohe Beträge an die Betrüger überweisen. Die Betrugsmasche ist auch als «Business E-Mail Compromise», «Fake President Fraud» oder «Bogus-Boss-E-Mail» bekannt [1]. Das FBI hat im Mai 2017 eine Statistik veröffentlicht, die den weltweiten Schaden durch CEO Fraud im Zeitraum zwischen Oktober 2013 und Dezember 2016 auf 5,3 Milliarden US-Dollar beziffert [2, 3]. Es sind auch Einzelfälle bekannt, bei denen die Täter hohe, zweistellige Millionenbeträge ertrügen konnten. Der deutsche Autozulieferer Leoni hat zum Beispiel im Jahr 2016 durch CEO Fraud einen Schaden von rund 40 Millionen Euro erfahren [4]. Beim österreichischen Luftfahrtzulieferer FACC entstand durch diese Betrugsmasche Ende 2015 sogar ein Schaden von insgesamt 50 Millionen Euro [5]. Die Aussicht aufsolch hohe Gewinne erklärt den hohen Aufwand, den die Betrüger auf sich nehmen.

Zu Beginn dieser Betrugsmasche steht das Ausspähen eines geeigneten Zielobjekts. Meist handelt es sich um Grossunternehmen, die über hohe Finanzmittel verfügen und aufgrund der Komplexität innerhalb des Unternehmens ein geringeres Risiko bieten, entdeckt zu werden [6]. Die Täter beginnen nun Informationen zu sammeln – beispielsweise welche Personen in der Finanzabteilung arbeiten, da diese für gewöhnlich eine Kontovollmacht besitzen und folglich auch Auszahlungen auslösen können. Informationen gewinnen die Täter meist über die Recherche im Internet und in sozialen Netzwerken. Sie hacken aber auch E-Mail Konten, um an sensible Informationen der Unternehmen zu kommen oder um das E-Mail Konto für die Durchführung des Betrugs zu «kapern».

Nachdem alle relevanten Informationen beschafft wurden, fängt die eigentliche Masche an. Ein geläufiges Szenario ist, dass ein Mitarbeiter der Finanzabteilung ein E-Mail mit der Aufforderung erhält, Geld an ein bestimmtes Konto zu überweisen. Vermeintlicher Absender ist ein hochrangiger Firmenvertreter wie der CEO oder der CFO. Tatsächlich handelt es sich bei dem Absender aber um die Täterschaft, sei es durch den Missbrauch der vom CEO oder CFO gekaperten E-Mail Adresse oder der Benutzung einer E-Mail Adresse, die sehr identisch aussieht und auf den ersten Blick nicht von der echten Adresse zu unterscheiden ist. Begründet wird die Überweisung oft mit einem „geheimen Projekt“, beispielsweise ein Firmenkauf, von welchem keiner erfahren darf. Zudem betont die Täterschaft, wie zeitsensitiv das „Projekt“ sei: Die entsprechenden Zahlungen müssten jeweils sehr dringend ausgeführt werden, da das Geschäft ansonsten nicht zustande komme.

Psychisch setzen die Täter die zuständige Person im Unternehmen enorm unter Druck: Sie erwähnen oft im weiteren Schriftverkehr, dass der betreffende Mitarbeiter bisher immer tadellose Arbeit geleistet habe und eine besondere Vertrauensstellung geniesse. Es wird erwartet, dass er absolute Diskretion gewahre und die Sache schnell über die Bühne bringe. Dadurch suggerieren die Täter, dass der Erfolg des Geschäfts vom Mitarbeiter abhänge. Die Angst, für einen Misserfolg verantwortlich gemacht zu werden – und dadurch allenfalls den Arbeitsplatz zu verlieren – in Kombination mit der Täuschung, es tatsächlich mit einer ranghohen Führungsperson zu tun zu haben, bringt den Mitarbeiter schlussendlich dazu, den Auftrag auszuführen. Das Geld wird auf das angegebene Konto überwiesen.

Das Empfängerkonto befindet sich meist in Asien: China oder Hong Kong sind beliebte Überweisungsziele. Die Konten sind meist bei namhaften Banken und gehören vermutlich einem Strohmann. Ist das Geld erst mal dorthin transferiert, wird dieses sofort sternförmig weiterverteilt [1]. Dadurch ist es in den meisten Fällen unmöglich, wieder an das Geld zu kommen.

Als wirksamer Schutz gegen CEO-Fraud hilft eigentlich nur Prävention: Intelligente E-Mail-Filter können eine höhere Sicherheit bieten, da diese verdächtige E-Mails anhand von bestimmten Kriterien identifizieren und diese unter Quarantäne stellen [7]. Allerdings kann ein solcher Filter nicht alle schädlichen E-Mails erfassen. Der Mensch selbst ist und bleibt das höchste Risiko. Schulungen können die Angestellten auf Hinweise einer Internet-Betrugsmasche à la CEO-Fraud sensibilisieren.

Zu möglichen Präventionsmassnahmen zählen:

1. E-Mails sollen auf die Absenderadresse und eine korrekte Schreibweise überprüft werden
2. Eine Zahlungsaufforderung soll über einen Rückruf oder über eine schriftliche Rückfrage unter Verwendung der korrekten E-Mail Adresse verifiziert werden
3. Der Angestellte nimmt Kontakt mit der Geschäftsleitung oder dem Vorgesetzten auf

Schliesslich kann die Geschäftsleitung selbst für eine wirksame Prävention sorgen, durch Einführung interner Kontrollmechanismen (zum Beispiel das 4-Augen-Prinzip) und klare Kommunikation, dass Zahlungsanweisungen niemals für solche «Geheimaktionen» in Auftrag geben werden. Es sollte ebenfalls kommuniziert werden, dass Angestellte bei Zweifel eine Anweisung hinterfragen können, statt diese wie selbstverständlich umzusetzen. Hinterfragen darf für die Mitarbeitenden keinerlei Konsequenzen haben. Wenn durch simples Fragen ein potentieller Betrug verhindert werden kann, ist dies die effektivste Art der Prävention.

Autor: Daniel Carreiras

Daniel Carreiras ist seit 2015 Senior Compliance Officer bei der Bank Julius Bär. Als Compliance Officer ist er bereits seit 2003 tätig und hat sich mittlerweile auf den Bereich Anti-Money-Laundering (AML) spezialisiert. Vor der Anstellung bei der Bank Julius Bär war er in der unabhängigen Vermögensverwaltung und im Family Office Bereich tätig. Er hat 2010 erfolgreich das DAS in Compliance Management am IFZ Zug absolviert und ist derzeit Student des MAS Economic Crime Investigation.

Literaturverzeichnis

1. Erling, J. (18.02.2016). Mit dieser Masche erbeuten Chinesen Millionen. Abgerufen am 11.03.2018
2. Federal Bureau of Investigation (04.05.2017). Public Service Announcement. Business E-Mail Compromise, E-Mail Account Compromise, The 5 Billion Dollar Scam. Abgerufen am 11.03.2018
3. Manage IT (10.05.2017). Schaden durch CEO-Betrugsmasche geht in die Milliarden. Abgerufen am 11.03.2018
4. Frankfurter Allgemeine Zeitung (16.08.2016). Autozulieferer Leoni um Millionensumme gebracht. Abgerufen am 11.03.2018
5. Dickstein, S. (04.02.2016). Wie der FACC 50 Millionen abhanden kamen. Abgerufen am 11.03.2018
6. Eisenkrämer, S. (27.03.2017). CEO-Betrug nimmt drastisch zu. Abgerufen am 11.03.2018
7. IT-Zoom (09.05.2017). Grosse Schäden durch Online-Betrug. Abgerufen am 11.03.2018