In Zeiten der Corona-Pandemie boomen Betrugsmaschen wie der „CEO-Fraud“. Erfahren Sie hier, wie die Masche funktioniert und wie Sie sich wehren können.
Die Corona-Krise hat dazu geführt, dass viele Mitarbeiter – darunter auch aus dem Controlling von Unternehmen – im Home Office gearbeitet haben. Da sich das Konzept in zahlreichen Fällen bewährt und als Win-Win-Situation für Arbeitnehmer und Arbeitgeber herausgestellt hat, wird es vermutlich auch in Zukunft beibehalten. Eine aus der Situation resultierende Herausforderung ist für alle Betroffenen gleich: die direkte Kommunikation mit Vorgesetzen und Kollegen wird erschwert. Hiervon profitieren vor allem Cyber-Kriminelle, die die Betrugs-Strategie des „CEO Fraud“ bzw. des „Fake President“ anwenden.
„CEO Fraud“ gelingt durch mangelnde Kommunikation
Kürzlich ist ein mittelständisches Unternehmen in Hamm einem solchen Cyber-Betrug aufgesessen. Eine Mitarbeiterin der Firma erhielt mehrere E-Mails, die anscheinend von einem Mitglied der Unternehmensführung kamen. In diesen Nachrichten forderte der vermeintliche Geschäftsführer die Angestellte dazu auf, Geldbeträge in mehreren Tranchen von einem Konto des Unternehmens auf ein fremdes Konto in Großbritannien zu transferieren. Die Überweisungen wurden ohne Nachfrage ausgeführt. In Zeiten von Corona kommt diese Konstellation oft zustande, weil persönliche Rückversicherungen erst gar nicht in Erwägung gezogen werden, nicht möglich sind oder die Telefonnummer des angeblich anweisenden Vorgesetzten nicht bekannt ist. Es ist nicht unwahrscheinlich, dass der Geldbetrag in Höhe von 240.000,00 EUR nach Buchung auf dem Konto in Großbritannien direkt auf ein Konto im außereuropäischen Ausland weitergeleitet worden ist. Die Erfahrung zeigt, dass der Betrag in den meisten Fällen abgeschrieben werden muss. Solche Cyber-Angriffe bedrohen Unternehmen und können auch eine Haftung des verantwortlichen Geschäftsführers nach sich ziehen.
Klare Regeln können helfen
Um solchen Betrugsmaschen vorzubeugen, müssen adäquate Maßnahmen ergriffen werden. Hier einige Beispiele:
-
Implementieren Sie Berechtigungs- sowie Zugriffs- und Zutrittskontrollkonzepte
-
Setzen Sie auf zusätzliche Überprüfungen nach dem Vier-Augen-Prinzip
-
Schulen Sie Ihre Mitarbeiter und ordnen Sie an, dass bei ungewöhnlichen Zahlungsaufforderungen die Absenderadressen und korrekten Schreibweisen besonders gründlich geprüft werden
-
Fordern Sie die Mitarbeiter dazu auf, durch einen Rückruf beim Auftraggeber finale Berechtigung zum Transfer zu erhalten
Geschäftsführer sind haftbar
Ist ein „CEO Fraud“ erfolgreich, stellt sich die Frage, ob der verantwortliche Geschäftsführer schadensersatzpflichtig ist. Grundsätzlich ist es so, dass der für die IT-Sicherheit zuständige Geschäftsleiter ein IT-Sicherheitssystem einrichten muss, das möglichen Risiken begegnet. Die dazugehörigen Maßnahmen sind regelmäßig daraufhin zu überprüfen, ob sie korrekt umgesetzt werden oder anzupassen sind. Darüber hinaus gilt, dass der Umfang der zu ergreifenden IT-Sicherungsmaßnahmen an der Bedeutung der Unternehmensdaten, den möglichen Schäden und den Kosten auszurichten ist. Für das Beispiel des „CEO Fraud“ bedeutet dies, dass die für die Zahlungsabwicklung zuständigen Mitarbeiter des Unternehmens einerseits sorgfältig auszuwählen und andererseits ebenso einzuweisen und zu überwachen sind.
Als Fazit bleibt festzuhalten, dass ein Unternehmen dafür sorgen muss, dass Mitarbeiter klare Regeln kennen, die eine Cyber-Attacke verhindern oder deutlich erschweren. Hierzu ist eine offene Kommunikation innerhalb des Unternehmens notwendig. Sie erlaubt es den Mitarbeitern einen Vorgesetzten unmittelbar und jederzeit zu kontaktieren. Gerne erläutern wir Ihnen weitere Schritte zur Absicherung Ihres Unternehmens gegenüber Cyber-Betrug in einem persönlichen Gespräch.
