Deepfakes, social engineering unD Die schwachstelle Mensch - WWW.eulerhermes.De
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WWW.eulerhermes.DE Deepfakes, Social Engineering und die Schwachstelle Mensch Die Betrugsmaschen der Cyberkriminellen von heute und wie sich Unternehmen davor schützen können Ein Unternehmen der
Kreativ und
künstlich intelligent –
Die neuen Maschen
der Cyberkriminellen
Cyberkriminelle sind kreativ und gehen mit der Zeit.
Sie nutzen opportunistisch neue Situationen aus. Die
Pandemie, Homeoffice und hybride Arbeitswelten öffnen
ihnen neue Einfallstore. Aber auch der technologische
Fortschritt mit künstlicher Intelligenz (KI) und Deepfakes
bietet ihnen neue Spielfelder.
Zuletzt gingen TikTok-Videos von Schauspieler Tom Cruise
viral – eine täuschend echte Fälschung, erstellt mit künst-
Inhalt licher Intelligenz. Niederländische Politiker fielen in einem
Video-Call auf einen gefälschten Nawalny-Mitarbeiter he-
Kreativ und künstlich rein. Betrüger bauten für eine „Fake President“-Attacke ein
intelligent – Die neuen Maschen ganzes Büro nach, um maximales Vertrauen in die Echtheit
der Cyberkriminellen 02 der Videokonferenz und der erteilten Zahlungsaufträge
herzustellen. Und in Hongkong erbeuteten Kriminelle mit
Cybercrime: Aktuelle Zahlen 03 einem gefälschten Stimmprofil umgerechnet rund 30 Millionen
Euro von einer Bank.
New Work – New Risks 04
Noch sind es Einzelfälle, noch ist der Aufwand relativ groß –
Interview: „Kein Opfer werden!“ 05 aber die Entwicklung zeigt, was technisch möglich ist.
Insofern dürfte es lediglich eine Frage der Zeit sein, bis
Cybercrime & Deepfakes „massentauglich“ werden. Dabei müssen Betrüger
die Schwachstelle mensch 07 gar nicht selbst professionelle Hacker sein: Im Darknet gibt
es schon entsprechende „Software-as-a-Service“-Angebote
Zahlen & Fakten: inklusive entsprechender Schulungen.
Euler Hermes SchadenSstatistiken 09
Und wie können sich Unternehmen schützen? Auch ihnen
Betrugsszenarien digital 10 hilft KI, ebenso wie hohe Sicherheitsstandards, durchdachte
Prozesse und Notfallpläne. Den größten Hebel haben sie
Fallbeispiele Cybercrime 12 aber an anderer Stelle: Der Mensch ist weiterhin die größte
Schwachstelle im System. Wer hier ansetzt, sensibilisiert und
Leichtes Spiel: schult, kann Risiken erheblich reduzieren.
Hacking as a Service 13
Wann die Alarmglocken schrillen sollten, welche Fehler man
Evolutionsstufen vermeiden sollte, mit welchen Tricks die Cyberkriminellen
„Fake President“-Betrug 15 arbeiten und welche Tipps es gibt zur Prävention und im
„Worst Case“, erfahren Sie auf den folgenden Seiten von
Risikofaktoren – verschiedenen Betrugs- und Cyberexperten.
Sicherheitslücken schliessen 16
Managerhaftung –
Plötzlich am Pranger 17
10 TIPPS ZUM SCHUTZ
VOR CYBERCRIME 19
2
“9 von 10
“ 52,5 Milliarden Euro
„
Schaden durch Cyber-Angriffe
Unternehmen alleine im Homeoffice in Deutschland.
„ “
in Deutschland (88 Prozent) Institut für Deutsche Wirtschaft Köln, 2021
von digitalen Angriffen betroffen.
Bitkom-Umfrage 2020/21
“
29 %
Anstieg der
Cyber-Attacken
“ 777
jeder 2. 2021 weltweit. Cyber-Angriffe in Europa
„
durchschnittlich pro Woche
Cyber-Angriff im Homeoffice „Cyber Attack Trends: pro Unternehmen.
„ „
ist erfolgreich. 2021 Mid-Year Report“,
Computerworld „Cyber Attack Trends:
Institut für Deutsche Wirtschaft 2021 Mid-Year Report“,
Köln, 2021 Computerworld
Cybercrime unterschätzen?
Lieber nicht.
Es ist paradox: Laut Allianz Risk Barometer sehen deutsche Unternehmer
Cyber-Vorfälle aktuell als zweitgrößtes Geschäftsrisiko an (nach Betriebsunterbrechung).
Doch: Entsprechende Vorsorgemaßnahmen treffen längst nicht alle. Aktuelle Zahlen zeigen,
“
dass Unternehmen gut beraten sind, das Thema ernst zu nehmen.
223 Milliarden Euro
Gesamtschaden im Jahr
“ 80 %
der Cyber-Schäden wegen einfacher Fehler,
„
durch Cyberangriffe
ì
wie Sicherheitslücken oder veraltete Systeme.
„
in Deutschland.
(2018/19: 103 Millarden). Cyber-Report Allianz Global Corporate &
Specialty, 2021
Bitkom-Umfrage 2020/21
“
19.369 “ 144 Millionen
“ 35 %
„ „
„Fake President“-Fälle weltweit mehr Payment Diversion Fälle.
Schadprogramme aktuell,
mit Schäden von 1,9 Mrd. USD.
„
täglich kommen 553.000 Euler Hermes Schadensstatistik
FBI Internet Crime Report 2020 neue Varianten hinzu.
Bitkom-Umfrage 2020/21
3
RISIKO HOMEOFFICE
New Work,
New Risks
Das Arbeiten im Homeoffice ist in vielen Unter- Neben der Unachtsamkeit sind aber auch die
nehmen immer noch das Gebot der Stunde, die mangelnde Kommunikation und die fehlenden
Pandemie wird die Arbeitswelt voraussichtlich Kontrollen teilweise ein Problem – in manchen
nachhaltig verändern. Das hat viele Vorteile, Unternehmen sind nicht alle Compliance-Richtlinien
birgt aber auch erhebliche Risiken. Firmen sollten oder Sicherheitsprozesse wie beispielsweise das
dabei ihren eigenen Schutz nicht aus den Augen 4-Augen-Prinzip komplett mit ins Homeoffice ge-
verlieren – vor Cybercrime, Betrug und anderen zogen. Die soziale Distanz schafft nahezu perfekte
Vertrauensschäden. Voraussetzungen für „Social Engineers“. So verwun-
dert es wenig, dass Mitarbeiter im Homeoffice ohne
Eine veraltete IT-Infrastruktur, Sicherheitslücken, der große Nachfragen Kontodaten von Lieferanten ein-
laxe Umgang mit Hardware, Daten und Server-Zu- fach abändern oder auf „Fake President“-Attacken
gängen öffnet findigen Kriminellen Tür und Tor. Ob hereinfallen.
Diebstahl, Spionage oder Erpressung – die Liste der
möglichen Bedrohungen ist lang. Experten warnen Nicht zu vernachlässigen sind auch jene Schäden,
vor einem starken Zuwachs an Cybercrime-Delikten. die Angestellte nicht aus Unwissenheit und Leicht-
Phishing- und Vishing-Attacken sind gerade im fertigkeit verursachen, sondern mit purer Absicht.
Homeoffice eine nicht zu unterschätzende Gefahr. Gelegenheit macht bekanntlich Diebe und Innen-
täter verursachen immer noch den größten Teil
Laut einer repräsentativen Befragung von G DATA, der Schäden bei Betrugsdelikten – auch hier ist die
brand eins und Statista verursachen beispielsweise Dunkelziffer hoch.
Phishing-Mails im Homeoffice deutlich höhere
Schäden als im Büro oder auch im Privaten. Prävention: Schulungen und
Unternehmenskultur entscheidend
Kurz abgelenkt: Mehr Schäden im Homeoffice
Fakt ist: Hybride Arbeitswelten werden Unterneh-
Laut der Studie ist jede fünfte Phishing-Mail im men auch in den kommenden Jahren begleiten.
Homeoffice so erfolgreich, dass Zugangsdaten oder Deshalb sollten sich diese auf die Risiken einstellen,
persönliche Daten in die falschen Hände geraten. entsprechende Sicherheitsvorkehrungen treffen,
Im Büro sind es hingegen „nur“ 14,6 Prozent. Schon in die Infrastruktur investieren und vor allem ihre
zu Beginn der Pandemie hatten Experten davor Mitarbeiter sensibilisieren. Wer wachsam ist und
gewarnt, dass Mitarbeitende im Homeoffice teil- nachfragt, schützt das Unternehmen – gerade bei
weise mehr Stress haben und deshalb anfälliger Social Engineering. Deshalb spielt auch die
für Angriffe sind. Wenn in der Videokonferenz kurz Unternehmens- und Fehlerkultur eine entschei-
ein Fenster aufpoppt, die „lieben Kleinen“ nerven dende Rolle bei der Prävention von finanziellen
oder der Paketbote gerade klingelt, ist ein schneller, Schäden durch Betrug und Cybercrime.
unachtsamer Klick oft fatal.
4
Andreas Dondera
ist Experte für Cyberkriminalität im
Landeskriminalamt in Hamburg.
Interview
„Kein Opfer
werden!“
Cybercrime wird immer arbeitsteiliger, inter- datenschutzrechtlich natürlich Konsequenzen für
nationaler und ist für die Täter oft hoch lukrativ. die Unternehmen, nicht nur was die Verfügbarkeit
Andreas Dondera, Experte für Computerkrimi- betrifft, sondern vor allem die Vertraulichkeit. Mit
nalität im LKA in Hamburg, berichtet über neue der Drohung, die erlangten Daten zu veröffent-
Entwicklungen, alte Fehler und wann in jedem lichen, bauen sie somit neben der Verschlüsselung
Unternehmen die Alarmglocken schrillen sollten. ein zweites Druckmittel auf.
Herr Dondera, wie sieht’s aus: Steigt die Zahl der Wie ist die Entwicklung bei Deepfake-Delikten?
Cyber-Kriminellen? Die Entwicklung bei der Technologie schreitet mit
Zumindest registrieren wir eine steigende Zahl künstlicher Intelligenz stark voran, und es tauchen
von Cybercrime-Delikten. Weil sich ein Teil des teilweise täuschend echte Deepfakes auf. In Frank-
gesellschaftlichen Lebens ins Internet verlagert hat, reich haben Betrüger sogar ein ganzes Büro nach-
haben sich auch viele Straftaten dorthin verlagert. gestellt, sodass es im Video-Call aussah, als spräche
Und das Internet bietet Tätern die Möglichkeit, inter- man mit dem echten Geschäftsführer in seinem
national zu agieren, ohne Grenzen überschreiten echten Büro. In Deutschland gab es vereinzelt auch
zu müssen. Fälle, bei denen Geschäftsführer mit gefälschten
Stimmprofilen ihre Hausbank angerufen haben. Die
Womit macht man denn als Cyber-Krimineller im große Welle an Fällen ist bisher aber ausgeblieben.
B-to-B-Segment am meisten Geld?
Wir haben aktuell zwei Schwerpunkte: Business Suchen sich die Täter ihre Angriffsziele eigentlich
E-Mail Compromise, zu denen auch Payment überlegt aus, etwa weil sie mutmaßen, dass dort
Diversion Fraud und Fake President gehören, und solche sensiblen Daten liegen oder Geld zu holen ist?
Ransomware. Die initialen Angriffe sind nach unseren Erkenntnis-
sen immer noch eher zufällig. Die Täter scheinen
Gibt es Trends bei diesen Delikten? einfach zu gucken, wo sie eine Sicherheitslücke
Ja. Die Betrüger werden immer professioneller. Als finden. Erst nach dem Einstieg prüfen sie, wo sie
Ransomware-Delikte 2016 aufkamen, waren sie eigentlich sind: Bei einem Handwerksbetrieb? In
eher schlicht gehalten, oft in Form einer Bewerber- einem Krankenhaus? Oder einer Bank? Je nach Ort
Mail, die an alle möglichen Unternehmen ging. können die Täter dann entscheiden, wie sie weiter
Meist waren nur lokale Rechner betroffen und vorgehen.
vielleicht noch die Netzlaufwerke. Mittlerweile
haben die Täter deutlich komplexere Ransomware Das heißt, dass alle Unternehmen gleichermaßen
entwickelt. Seit einigen Monaten geht der Trend gefährdet sind?
außerdem dahin, die betroffenen Daten nicht nur zu Erstmal ja. Die Chance auf viel Geld ist für die Täter
verschlüsseln, sondern vorher abzugreifen. Das hat bei einem großen Unternehmen aber natürlich un-
5
gleich höher, und deswegen liegt deren Fokus schon Von welchen Schadenssummen reden wir denn da?
dort, wo Geld ist. Vor fünf Jahren hatten wir noch Das kommt darauf an. Letztens hat ein Unter-
sehr viele Fälle mit Schäden um die 3.000 bis 5.000 nehmen gleich zwei Mal eine Zahlung geleistet
Euro. Heute belaufen sich die Schäden auf sechs- aufgrund einer Mail mit gefälschten Kontodaten –
und auch siebenstellige Summen. dadurch kam es zu einer Umlenkung des Zahlungs-
verkehrs und zu einem Schaden von insgesamt 1,3
Welches sind denn die größten Einfallstore in die Millionen Euro. Viel häufiger bewegen sich die Schä-
Computersysteme von Unternehmen? den aber zwischen 30.000 und 100.000 Euro.
Das Einfallstor ist eigentlich immer der Mensch. Wir haben es aber auch schon gehabt, dass Waren
Allerdings werden die Methoden der Täter auch umgeleitet oder fälschlicherweise bestellt wurden.
immer ausgefeilter. Ihnen hilft die Menge an
Kommunikation, die heutzutage im Netz stattfindet. Wie geht das genau vor sich?
Fast 90 Prozent der Fälle, die bei uns eingehen, Die Täter wissen, dass die Firma XY bei der Firma Z
beruhen allerdings auf demselben Problem: Die immer Waren bestellt. Sie schicken eine Fake-Mail
Menschen erkennen falsche E-Mail-Adressen nicht. mit einer Bestellung und dem Hinweis, die Ware
Ich hatte gerade einen Fall, in dem eine Mitarbeite- bitte nicht an die gewohnte Lieferadresse, sondern
rin wegen einer Zahlungsänderung misstrauisch ge- zum neuen Werk zu schicken. Wenn alles plausibel
worden war und deshalb noch eine E-Mail geschickt erscheint, wird die Ware geliefert und sie wird auch
hat, um sie zu überprüfen – sie hat diese Mail aber abgeholt. Der Betrug fällt erst auf, wenn die Zah-
an den Fake-Account geschickt. Damit hat sie dem lung für die Ware ausbleibt. Das Kind ist dann schon
Betrüger leider genau in die Karten gespielt. in den Brunnen gefallen.
Gibt es Unternehmen, die lieber schweigend Was meinen Sie: Wie wird sich Cybercrime in
zahlen, um in der Öffentlichkeit nicht als Zukunft entwickeln?
Cybercrime-Opfer dazustehen? Solange die Menschen immer wieder auf solche
Da wir das Dunkelfeld nicht kennen, kann ich keine Sachen reinfallen, wird es weitergehen. Ransom-
Aussage dazu treffen. Wir hoffen aber, dass möglichst ware und Business E-Mail Compromise sind nach
viele Unternehmen die Taten zur Anzeige bringen. wie vor sehr erfolgreich, diese beiden Phänomene
werden uns wohl noch lange begleiten. Wobei zum
Haben Sie eine Chance, die Täter zu kriegen? Beispiel Payment Diversion Fraud viel einfacher
Das Deliktsfeld mit zum Teil international agieren- zu verhindern wäre, wenn man einfach nur ein
den Tätern bringt es einfach mit sich, dass es schwie- bisschen mehr aufpasst. Das ist bei Ransomware
rig aufzuklären ist. Die Behörden arbeiten natürlich nicht so einfach. Und es gibt natürlich auch immer
stetig daran, besser zu werden. Wo es erforderlich besondere Fälle, wie den von einem ehemaligen
ist, soll länderübergreifender und internationaler IT-Administrator, der sich sukzessive eine Hintertür in
Austausch für eine effektivere Bekämpfung der seine Firma geschaffen hatte und dort alles
Cyberkriminellen sorgen. Außerdem hoffen wir Mögliche kaputt gemacht hat.
auch, durch Präventionskonzepte die Aufmerksam-
keit auf die verschiedenen Phänomene lenken und Wer kein Opfer werden will, muss also hoch-
somit Sensibilität bei den Menschen schaffen zu gradig aufmerksam sein und es den Tätern so
können. Ziel ist natürlich, dass die Täter gar nicht schwer wie möglich machen – korrekt?
erst zur eigentlichen Tatausführung gelangen. Wenn Unternehmen ihre Sache gut machen und
Mitarbeiter sensibilisieren, reduzieren sie das Risiko
Was also können die Unternehmen tun? schon erheblich. Aber die Betrüger sind sehr kreativ,
Das A und O ist es, bei den Mitarbeitern Awareness denen fällt ständig was Neues ein – auf solche
zu schaffen, und das am besten kontinuierlich. Ideen würde man selbst erst mal gar nicht kommen.
Die Menschen in den IT-Abteilungen sollten ständig
beobachten, welche neuen Maschen es gibt und
alle Bediensteten regelmäßig darüber informieren,
auch Zeitarbeiter und externe Dienstleister.
Unternehmen sollten zudem ein durchdachtes
Backupkonzept und eine Checkliste für einen
IT-Sicherheitsvorfall erstellen. Und sie sollten klare
Regelungen schaffen, wie damit umzugehen ist,
wenn Zahlungen oder Waren an bislang unbekannte
Konten oder Adressen geschickt werden sollen.
6
Die neuen Maschen der Kriminellen
Cybercrime & die
Schwachstelle Mensch
Frau Lehmann ist Leiterin der Buchhaltung eines Gefahr Homeoffice: Geringere Sicherheits-
Krankenhauses in Mitteldeutschland. Im Mai standards & Schwachstelle Mensch
2021 erhält sie eine E-Mail vom CEO der Holding-
gesellschaft. Der fragt zunächst, ob sie „erreich- Dieser Fall ist nur einer von vielen. Die Methode ist
bar“ sei. Sie bestätigt, dass sie im Homeoffice, oft die gleiche: Mitarbeiter werden „gehackt“ und
aber verfügbar sei. Etwa eine halbe Stunde ihre Gefühle manipuliert: mit Wertschätzung, Angst
später folgt die Bitte, eine Zahlung in Höhe von oder Druck.
400.000 Euro auf ein tschechisches Konto zu
tätigen für den Kauf von Aktien – natürlich alles Die Pandemie hat den Betrügern zudem in die
streng vertraulich, man zähle auf sie. Karten gespielt. Denn wenn Mitarbeiter im Home-
office sitzen, sind die IT-Sicherheitsstandards in der
Sie ist auf „Autopilot“, denkt nicht groß nach, prüft Regel wesentlich geringer als im Büro. Ein wahres
die E-Mail-Adresse nicht näher, fragt nicht nach – El Dorado für Cyberkriminelle und Betrüger. Die
obwohl sie die Telefonnummer des CEO hat und größte Schwachstelle bleibt dabei der Mensch: Bei
dieser erreichbar gewesen wäre. Stattdessen erstellt rund 90 % aller Cyberattacken dürfte menschliches
sie die Zahlungsanweisung und bittet eine Sach- Versagen oder Fehlverhalten ausschlaggebend
bearbeiterin aus ihrem Team per Teams – diese ist sein. Hinzu kommt: Im Homeoffice wird weniger
ebenfalls im Homeoffice – die notwendige Zweitun- kontrolliert und kommuniziert. Die Hürde, einen
terschrift zu leisten. Für sie ist es „business as usual“. Kollegen anzurufen und ihn auf einen Vorgang
Sie gibt die Zahlung frei und das Unheil nimmt anzusprechen, ist hier oft viel höher – so auch bei
seinen Lauf. Frau Lehmann und der später hinzugezogenen
Sachbearbeiterin.
Am nächsten Morgen meldet sich die Bank, dass
eine Überweisung an ein verdächtiges Konto getä- Die Betrüger gehen dabei mit der Zeit – sowohl
tigt wurde und fragt nach, ob dies alles seine Rich- thematisch als auch technisch. Sie nutzen neue
tigkeit habe. Der Finanzchef sieht die Buchung im Rahmenbedingungen wie die Covid-19-Pandemie
System und bittet Frau Lehmann um Auskunft und oder das Homeoffice genauso wie technologischen
den entsprechenden Schriftwechsel. Schnell ist klar, Fortschritt. Die Möglichkeit von Audio- oder Video-
dass es sich um einen „Fake President“-Betrugsfall Deepfakes zum Beispiel ist technologisch bereits so
handelt. Sowohl Polizei als auch LKA werden einge- ausgereift, dass Konversationen in Echtzeit möglich
schaltet. Die Bank versucht, die Zahlung zurückzu- sind – der falsche Chef hält also Einzug in Video-
holen, aber leider vergebens. oder Telefonkonferenzen.
7
Der falsche Johannes: Audio Deepfake den letzten Jahren durch praktisch alle Branchen
und Unternehmensgrößen belegen das. Zwar
2019 erbeuteten Cyberkriminelle im Fall „Der blieben die ganz großen Schäden zuletzt aus und
falsche Johannes“ 220.000 Euro vom britischen Schadenshöhen lagen eher im hohen sechsstelligen
Tochterunternehmen eines deutschen Konzerns: oder einstelligen Millionen-Bereich. Die Fallzahlen
Der falsche deutsche Konzernchef Johannes erteilte bewegen sich aber nach wie vor auf hohem Niveau,
per Telefon seine Anweisungen – mit der echten trotz eines deutlich gestiegenen Problembewusst-
Stimme, Satzmelodie und dem leichten deutschen seins in den Unternehmen.
Akzent im Englischen. Der britische CEO war sicher,
den echten Chef in der Leitung zu haben, so gut Neue Maschen bei „Fake President“
war das Audioprofil. Bei Euler Hermes blieb dies
bisher ein einmaliger Versicherungsfall. Zwar gab es Zuletzt gab es auch beim „Klassiker“ neue Vari-
noch weitere ähnliche Schadensfälle, bei denen die anten. Neben Betrugsversuchen per Whatsapp-
Nutzung von Audio Deepfakes nicht ausgeschlossen Sprachnachricht oder durch vermeintliche IT-
werden konnte, bei denen die Indizienlage jedoch Security-Mitarbeiter traten zuletzt vermehrt falsche
weitaus weniger eindeutig war. Weltweit sind aber Bankmitarbeiter in Erscheinung, die von einem
noch wesentlich größere gesicherte Fälle bekannt; angeblichen Betrugsverdacht bei Transaktionen auf
der vielleicht spektakulärste ereignete sich 2020 in einem Konto berichten und sich so das Vertrauen
Hongkong, hier wurde eine Bank um 35 Millionen des Mitarbeiters erschlichen. Die Betrüger hatten
US-Dollar erleichtert. dabei Kenntnis über alle Bankbewegungen des
Unternehmens und eine Bandbreite an Informatio-
Noch Einzelfälle – aber Deepfake-Bedrohung nen rund um die Prozesse und Verantwortungen im
nimmt zu Finanzbereich.
Bisher blieben solche „Fake President“-Fälle mit Bei ihrer Informationsbeschaffung werden die
Hilfe von Audio Deepfakes erstaunlicherweise Betrüger immer kreativer: Neben sehr gezieltem
Einzelfälle. Allerdings ist es wohl nur eine Frage der Phishing nutzen sie auch zunehmend „Vishing“, also
Zeit, wann diese Evolutionsstufe der neue Standard die Sammlung von Informationen über gezieltes
werden wird oder mit Video Deepfakes den nächsten „Social Engineering“ per Telefonanruf. Auch beim
Schritt geht: Täuschend echte Deepfake-Videos von Zugriff wird die Palette breiter: Das System einer
Tom Cruise gingen zuletzt auf Tik Tok viral – erstellt deutschen Großbank wurde über die Klimaanlage
von Visual Artist Chris Umé, der mit Hilfe von künstli- gehackt, weil diese – vermutlich zur Fernwartung –
cher Intelligenz und etwa 6.000 Bildsequenzen des schlecht geschützt online war. Andere Angriffe
Schauspielers aus allen möglichen Kamerawinkeln erfolgten über Funktastaturen oder Smart Home
einen Algorithmus nahezu perfekt „trainiert“ hat. Nie- Devices.
derländische Politiker fielen in einer Videokonferenz
in Echtzeit auf einen gefälschten Nawalny-Mitarbei- Das zeigt: Es gibt nichts, was es nicht gibt. Ein gesun-
ter herein. Auch er sah täuschend echt aus. der Menschenverstand, ein gesundes Maß an Miss-
trauen, eine gute und offene Unternehmens- und
35 % Anstieg bei Payment Diversion-Fällen
Fehlerkultur sowie die Sensibilisierung der Mitarbei-
ter sind daher weiterhin das schärfste Schwert im
Neben der noch vagen Bedrohung durch Deepfakes Kampf gegen die Cyberkriminellen. Lieber eine Mail
in der nahen Zukunft sind neben den „Klassikern“ zu viel gelöscht als eine zu wenig.
aktuell aber noch andere Maschen auf dem Vor-
marsch. Insbesondere das Umleiten von Zahlungs-
strömen hat aktuell Hochkonjunktur: Alleine Euler
Hermes verzeichnete im letzten Jahr einen Anstieg
der Fallzahlen um 35 % beim Zahlungsbetrug
(Payment Diversion) sowie um 25 % beim Besteller-
betrug (Fake Identity). Dabei liegen die Schäden
in der Regel zwischen etwa 30.000 EUR und 1 Mio.
EUR. Meist sind die Schadenssummen allerdings
etwas niedriger als bei „Fake President“-Betrugs-
fällen. Ausnahmen bestätigen allerdings die Regel
und es gab vereinzelt auch Zahlungsbetrugsfälle mit
Schäden von bis zu 6 Mio. EUR.
Die Gefahr durch „Fake President“ ist ebenfalls wei- Autor: Rüdiger Kirsch, Global Fidelity Expert,
terhin gegeben, zahlreiche erfolgreiche Angriffe in Euler Hermes Deutschland.
8
Zahlen & Fakten
Aus der Euler Hermes
Schadensstatistik
Eine Vertrauensschadenversicherung (VSV) schützt Unternehmen gegen
finanzielle Schäden, die durch zielgerichtete kriminelle Handlungen entstehen –
sowohl durch sogenannte „Innentäter“ (z. B. Mitarbeiter, Zeitarbeitskräfte) als
auch durch externe Dritte (z. B. Hacker).
Der Feind in meinem Büro.
Interessant ist, dass Mitarbeiter 380 Mio. Euro
40 %
weiterhin die meisten Schäden Schäden durch Dritte seit 2014
verursachen. Hacker verursachen
rund 40 % der Schäden – sowohl
Dritte
225 Mio. Euro
bei der Anzahl der Schäden als
auch bei der Schadenshöhe.
60 %
Innentäter
Schäden aus Täuschungsdelikten
(„Social Engineering“) seit 2014
Grösste Hackerschäden weiter durch „Fake President“
„Fake President” 31 %
Payment Diversion 9%
Fake Identity 7%
Trojaner 3%
Methode unbekannt –
irgendwie gehackt 3%
Betrug durch externe
Dritte (keine Angabe)
47 %
0 5% 10 % 15 % 20 % 25 % 30 % 35 % 40 % 45 % 50 %
Verteilung Betrug Hackerschäden
„Fake President“ ist noch immer nicht „out“:
Beim Betrug mit Hilfe von Social Engineering
(Hackerschäden) verursacht der „Fake President“-
Betrug weiterhin die größten Schäden – trotz stag- 25 % 35 %
nierender Fallzahlen. Die Schadenssummen liegen
Anstieg
beim „Fake President“-Betrug inzwischen nur noch
im hohen sechsstelligen oder niedrigen einstelligen der Schadensfälle Anstieg
Millionen-Bereich. Zwischen 2014 und 2017 bei Bestellerbetrug der Schadensfälle
verursachten die Betrüger häufig noch Schäden 2020 vs. 2019 1 bei Zahlungsbetrug
zwischen 10 und 50 Mio. EUR. 2020 vs. 2019 1
1
Nach den vorläufigen
Schadenserfahrungen dürfte sich die Entwicklung beim Anstieg
beider Betrugsmaschen auch 2021 in ähnlicher Höhe fortsetzen.
9
Die ausgefeilten Methoden der Cyberkriminellen
Betrugsszenarien
Digital
Eingriffe in die digitale Kommunikation von einerseits aufgrund des besonderen Vertrauens
Unternehmen oder in die Fernsteuerung von durch den Vorstand geschmeichelt fühlen, ander-
Infrastrukturen, Versorgungs- und Produktions- seits aufgrund der angeblichen Wichtigkeit der
anlagen sind nur ein Einfallstor für Kriminelle. Transaktion erheblich unter Druck stehen, führen
Das digitale Outsourcing von Prozessen und diese Überweisungen meist zügig aus.
Dienstleistungen ein weiteres. Fast jedes
Unternehmen wird heute weitestgehend digital Fast immer erfolgen die Geldtransfers auf auslän-
gesteuert. dische Konten, vor allem in Asien und Osteuropa.
Fliegt der Betrug dann auf, sind die Konten dort
Unternehmen müssen sich der Risiken bewusst meist leergeräumt oder eine Rückholung wird auf-
sein. Nur, wenn sie detailliert das unterschied- grund des ausländischen Rechtssystems erheblich
liche Vorgehen der Betrüger kennen, können sie erschwert.
sich auch effizient schützen. Denn nicht nur die
Wege sind vielfältig, sondern auch die Methoden. Häufig werden gezielt Mitarbeiter in ausländischen
Die wichtigsten davon stellen wir hier vor: Niederlassungen des Unternehmens angesprochen.
Das erschwert den Mitarbeitern die persönliche
Fake President Fraud Kontaktaufnahme mit den verantwortlichen Orga-
nen im Unternehmen, von denen die vermeintlichen
Bei dieser Betrugsmasche geben sich die Täter als Anweisungen kommen.
ein Organ eines Unternehmens – meist ein Vor-
standsmitglied – aus und bitten per E-Mail oder Payment Diversion
Fax einen Mitarbeiter, der im Unternehmen für die
Bankgeschäfte verantwortlich ist, eine dringende In diesen Fällen geben sich die Betrüger als Ge-
Überweisung auszuführen. schäftspartner oder Lieferanten eines Unterneh-
mens aus und erreichen durch gefälschte Mitteilun-
Dem Mitarbeiter wird dabei vorgespiegelt, dass es gen, dass die Bezahlung für Waren oder erbrachte
sich um eine höchst geheime und vertrauliche Ange- Dienstleistungen auf abweichende Konten erfolgt.
legenheit handelt. Die Betroffenen, die sich Die Umsetzung dieser Form des Betruges wird
10ermöglicht durch eine gefälschte Mitteilung an das Man-in-the-Cloud
Unternehmen, dass sich die bisher vereinbarten
Bankverbindungen geändert haben und der Zah- Unter Cloud Computing versteht man die Ausfüh-
lungsverkehr nun über die neue Bankverbindung rung von Programmen, die nicht auf dem lokalen
abgewickelt werden soll. Rechner installiert sind, sondern auf einem anderen
Rechner, die über sogenannte Datensynchroni-
Fake Identity Fraud sationsdienste i.d.R. über das Internet aufgerufen
werden („in der Cloud“, z.B. Google Drive, Dropbox
Bei diesem Betrugsszenario geben sich die Täter als oder Microsoft OneDrive).
ein bereits existierender Kunde oder als ein Neu-
kunde des Unternehmens aus und ordern schrift- Für den Diebstahl solcher online gespeicherter
lich Waren. Mit plausiblen Erklärungen wird dann Daten benötigt ein Hacker keinen speziellen Zugriff
die Lieferung an eine abweichende Lieferadresse auf den Namen oder das Passwort des jeweiligen
verlangt. Anwenders, sondern lediglich einen Passwort-Token.
Dies ist eine kleine Datei auf dem Gerät eines Nut-
Da die Identität einer tatsächlich existierenden zers, in der die Anmeldedaten hinterlegt sind, damit
Firma genutzt wird, schöpfen die Betrugsopfer nicht bei jedem Aufruf des Diensts Benutzername
zunächst keinen Verdacht. Oft fliegt der Betrug erst und Passwort erneut eingegeben werden müssen.
dann auf, wenn Zahlungsverzug eintritt und die
tatsächlich existierende Firma gemahnt wird. Wird Den beispielsweise per Phishing entwendeten Token
dann die Lieferadresse durch die Polizei überprüft, kann der Angreifer anschließend nutzen, um von ei-
werden die Geschäftsräume verlassen vorgefunden nem anderen Rechner aus das Konto des Nutzers zu
und die Ware ist selbstverständlich längst weiter übernehmen und sich damit Zugriff auf alle online
verschoben worden. abgelegten Dateien zu verschaffen.
Phishing
Unter Phishing versteht man Versuche, über ge-
fälschte Webseiten, E-Mails oder Kurznachrichten
an persönliche Daten eines Internet-Benutzers zu
gelangen und damit Identitätsdiebstahl zu bege-
hen. Häufig sind in diesen E-Mails Anhängen enthal-
ten, die beim Öffnen Keylogger oder andere Schad-
software installieren, die dem Betrüger Zugang zu
Dateien und Passwörtern verschaffen können.
Ziel des Betrugs ist es, mit den erhaltenen Daten
beispielsweise Kontoplünderung zu begehen. Eine
neuere Variante des Phishing ist Spear-Phishing, wo-
runter ein gezielter E-Mail-Angriff auf eine bestimm-
te Person oder einen ausgewählten Personenkreis
zu verstehen ist – anders als bei herkömmlichem
Phishing, wo eine große Anzahl an E-Mails an viele
Empfänger versendet werden.
Pharming, eine weiterentwickelte Form des
Phishings, basiert auf einer Manipulation der DNS-
Anfragen von Webbrowsern, um den Benutzer auf
gefälschte Webseiten umzuleiten.
Social Engineering – Schwachstelle Mensch.
Viele Betrugsszenarien von Cyberkriminellen
nutzen gezielt die Gutgläubigkeit und
Loyalität von Mitarbeitern aus.
11Fallbeispiele
Das kann sich doch niemand
ausdenken? Diese echten Fälle
zeigen, dass gängige Cybercrime-
Cybercrime
Maschen ziehen – und Unter-
nehmen in große finanzielle
Schwierigkeiten bringen können.
Der Bankmanager konnte in seinem Posteingang
Fake President E-Mails des Geschäftsführers und von Zelner sehen,
in denen bestätigt wurde, welches Geld wohin
Audio Deepfake in Hongkong: überwiesen werden musste. Der Bankdirektor
35 Mio. USD erbeutet glaubte, dass alles rechtmäßig sei, und begann mit
Spektakulärer Audio Deepfake Betrug: Der CEO den Überweisungen. Nur leider war er Opfer eines
einer bekannten Firma bat den Manager einer Audio Deepfakes geworden – und die Bank um 35
Bank in Hongkong um Überweisungen in Höhe von Millionen USD ärmer.
35 Millionen US-Dollar, um eine Übernahme zu Bekannt wurde der Fall durch ein Gerichtsdokument,
tätigen. Der Bankmanager erkannte die Stimme in dem Ermittler in den Vereinigten Arabischen
des CEO sofort. Dieser sagte, ein Rechtsanwalt Emiraten die USA um Mithilfe baten beim Aufspü-
namens Martin Zelner sei mit der Koordinierung ren einer Tranche von 400.000 USD, die auf Konten
der Verfahren beauftragt worden. einer amerikanischen Bank eingegangen waren.
Bestellerbetrug (Fake Identity) verschickt der Hersteller Leuchten im Wert von
Zu spät ging dem Lampen- über 400.000 EUR an den vermeintlich neuen Kun-
hersteller ein Licht auf: den. Und natürlich auch die ersten Rechnungen.
Auf die reagiert allerdings die Finanzabteilung der
Fake-Kunde erbeutet Ware französischen Warenhauskette sehr verwundert:
für 400.000 EUR Das müsse ein Irrtum sein, man habe keine Lampen
Es klingt vielversprechend für den Elektrowaren- bestellt.
Produzenten: Eine französische Warenhauskette So fliegt der Schwindel auf: Ein Betrüger hatte sich
kündigt Bestellungen im großen Stil an. Die Kredit- als Mitarbeiter der Warenhauskette ausgegeben,
würdigkeit der Franzosen wird geprüft, es kommt die Waren zu Lieferzentren geordert und von dort
grünes Licht: Das Geschäft kann beginnen. auf Nimmerwiedersehen verschwinden lassen. Der
Zwar läuft nicht alles rund – mal werden spontan Lampen-Hersteller wäre in ernsthafte finanzielle
Lieferadressen geändert, mal Teile von Lieferungen Schwierigkeiten geraten, wäre er nicht gegen
umgeordert –, aber innerhalb von zwei Monaten Bestellerbetrug versichert gewesen.
Zahlungsbetrug (Payment Diversion) Als man sich über Preise und Lieferzeiten einig ist,
gibt der Lieferant die Kontoverbindung auf, teilt
Das groSSe Geschäft mit den jedoch kurz darauf mit, dass der Kunde doch auf
Masken ging in die Hose ein anderes Konto überweisen möge, die Buch-
Das Umleiten von Zahlungsströmen war bei haltung habe dies erbeten. Der Kunde zahlt die
Betrügern in der Pandemie besonders beliebt – vereinbarten 250.000 Euro – doch keine Masken
auch, weil die Masche ohne großen Aufwand in Sicht. Auf seine Nachfrage zu den Liefermoda-
funktioniert und so parallel mehrere Angriffe laufen litäten bekommt er die Antwort, dass er erstmal
können. So auch bei einem Unternehmen aus Nord- bezahlen müsse.
deutschland: Es wittert die Chance, zu Beginn der Bei Abgleich der Kontodaten und auch der E-Mail-
Corona-Krise mit Schutzmasken das große Geld zu Adresse stellt sich heraus, dass sich letztere am
verdienen und bestellt bei einem Produzenten in Ende der Korrespondenz geringfügig im
China einen großen Posten. Namen von einem „e“ auf ein „a“ geändert hatte.
12Technologischer Fortschritt & IT-Forensik
Leichtes Spiel:
Hacking as a Service
Gibt es den typischen Hacker? Und wenn ja, was nets, auch unter Begriffen wie „Darkweb“ bekannt,
zeichnet ihn aus, wie und mit wem arbeitet er? kann sich heute theoretisch jeder Otto-Normalbür-
Und vor allem: Sind eigentlich alle Hacker böse? ger ohne großes Vorwissen diese Lösungen kaufen
Welche Spuren hinterlassen Hacker bei ihrer und sie dann anwenden („Software as a Service“).
Tätigkeit im Netz und wie kann man diesen folgen?
Gelegenheit macht Diebe: Angriffe nicht
Der Begriff „Hacker“ ist in der Öffentlichkeit häufig immer zielgerichtet
negativ behaftet. Um eine Unterscheidung zwischen
vermeintlich gut und vermeintlich böse herauszu- Dass Angriffe dabei immer zielgerichtet sind, ist
arbeiten, haben sich schon vor Jahren Begriffe wie ebenfalls ein Irrglaube. Ransomware-Attacken sind
„White hat“- und „Black hat“-Hacker etabliert. Die in den letzten Monaten stark ansteigend – aller-
Kenntnisse und Fähigkeiten beider Lager sind dabei dings in den häufigsten Fällen aufgrund von beste-
oft vergleichbar – nur der Zweck, für den diese henden Lücken oder Schwachstellen im System, und
eingesetzt werden, unterscheidet sich. nicht aufgrund des bekannten Unternehmens-
namens oder finanzieller Stärke. Frei nach dem
Längst passé: Computer-Nerds im Keller Motto: „Gelegenheit macht Diebe“. Fest steht:
oder einsamer Wolf Sicherheitslücken laden Hacker ein.
Die Klischees des einsamen Wolfs oder einzelner Laienfreundlich: Ransomware as a Service
aus Kellern operierender Computer-Nerds sind
jedoch größtenteils überholt. Natürlich mag es auch Für Schwachstellen und Informationen, die
diese Charaktere noch vereinzelt geben, aber Team- einen Zugriff ermöglichen, gibt es ebenfalls einen
Play wird mittlerweile großgeschrieben und Hacker florierenden Schwarzmarkt. Mit den hier erkauften
sehen sich längst als Dienstleister. Informationen und den hinzu erworbenen anwen-
derfreundlichen Lösungen (zum Beispiel „Ransom-
Hacken, ob für die „gute“ oder die „böse“ Seite, ware as a Service“) sind auch weniger qualifizierte
braucht Spezialisten. Doch auch „gute“ Vorlagen Angreifer in der Lage, erfolgreich hohe Lösegeld-
können mit geringem Aufwand für „böse“ Zwecke summen zu erpressen.
umgemünzt werden. Oft braucht es nur jemanden,
der eine mehr oder weniger ausgereifte Anwen- Ähnliches gilt für Stimmsynthese-Software (Audio-
dungslösung bastelt, die dann auch oft von norma- Deepfakes) und Software zur Erstellung sogenann-
len Kriminellen als Anwender genutzt wird. Über ter Video-Deepfakes. Bei Deepfakes handelt es sich
Plattformen in schwer zugänglichen Teilen des Inter- meist um Bild- oder Tonmanipulation, die mit Hilfe
13von lernenden KI-Modellen vorgenommen werden. haben kein großes Zeitfenster, um Spuren im Netz
Täuschend echte Stimmmanipulationen können mit- nachzugehen und eventuell noch zu retten, was zu
tels Video-Tutorials auf öffentlichen Videoplattfor- retten ist. Die NASA fährt nach kritischen Ereignissen
men von jedermann erstellt werden. Der Aufwand beispielsweise die Schotten runter: „Lock the doors!“
dafür ist nicht besonders hoch. Diese Stimmprofile Nach diesem Kommando sichern alle am Projekt
können dann beispielsweise verwendet werden, um Beteiligten ihre Daten und schreiben in Gedächtnis-
„Fake-President“-Angriffe zu initiieren oder gezielte protokollen die letzten Vorgänge und Minuten vor
Diffamierungskampagnen zu starten. dem Ereignis auf.
Heute schon technisch möglich: Dieses Vorgehen wäre für einen Forensiker nach
Echtzeit-Unterhaltungen in Deepfakes einem Sicherheitsvorfall jeglicher Art optimal.
Gleichzeitig ist das in einem arbeitenden Unterneh-
Für den Erfolg eines CEO Fraud ist oft das „Social men meist illusorisch. Das liegt schon allein daran,
Engineering“ entscheidend. Für diese Manipulation dass Sicherheitsvorfälle oft erst mit Verzögerungen
der designierten Opfer ist eine Konversation in Echt- festgestellt werden. Es ist daher wichtig, die Situa-
zeit notwendig, die Wertschätzung ausdrückt und tion so weit wie möglich einzufrieren, ohne jedoch
Bedenken zerstreut, Druck aufbaut oder Fragen den Betriebsablauf weiter unnötig zu schwächen.
beantwortet. Solche Konversationen in Echtzeit sind
heute technisch längst möglich – sowohl als Audio- Sobald möglichst viele Informationen idealerwei-
als auch als Video-Deepfake. se beweissicher festgehalten wurden, muss das
Unternehmen diese Informationen in Ruhe sichten
Das bedeutet: Auch manipulierte Video-Calls, in und weitere Schritte einleiten. Diese Schritte können
denen ein gefälschter CEO mit dem richtigen Aus- aus zivilrechtlichen und strafrechtlichen Maßnah-
sehen und der richtigen Stimme Anweisungen für men bestehen. Je nach Tathergang ist es im Internet
Überweisungen gibt, sind möglich. Das schafft ein jedoch sehr schwer, die Täter hinter den Zugriffen
maximales Vertrauen in die Echtheit des Auftrags, technisch auszumachen. Das Internet ist zwar nicht
und die Ausführenden dürften in vielen Fällen gar anonym und technische Spuren lassen sich nicht bis
keinen Verdacht schöpfen. Das hebt das Social in das letzte Detail verwischen, aber eine internati-
Engineering – und die Möglichkeiten, die sich Betrü- onale Strafverfolgung stößt immer wieder an ihre
gern damit bieten – auf eine ganz neue Ebene. Grenzen. Hinzu kommt, dass Tätergruppen teilweise
auch von ihren Heimatstaaten geschützt oder
Was tun nach einem Angriff? wissentlich nur schwach verfolgt werden.
Die Gefahr, selbst zum Opfer von Cyberkriminellen Dennoch hilft eine schnelle Reaktion häufig, zumin-
zu werden, steigt mit der rasanten Entwicklung der dest einen Teil der erbeuteten Gelder oder Daten
Technologie. Doch was tun, wenn ein Angriff erfolgt wieder zurückzuholen. Eine erfolgreiche Zusam-
ist? Dann müssen Unternehmen vor allem schnell menarbeit mit Banken ist dabei essenziell, um
und bewusst handeln. Warum bewusst? Weil zu Konten rasch einzufrieren – bevor Geld verschoben
schnell getroffene Entscheidungen weitreichende und verloren ist.
Folgen haben können. Unternehmen müssen
unbedingt rechtliche Risiken im Auge behalten,
unter anderem im Bereich Datenschutz, Arbeitsrecht
oder auch im Hinblick auf vertragliche Verpflich-
tungen. Die zu erwartenden Sanktionen müssen
unbedingt in die Überlegungen und Kommunikation
einbezogen werden. Dies ist eine Aufgabe, die un-
ternehmensintern oft nur dann abgebildet werden
kann, wenn Szenarien bereits zuvor geplant und
geprobt wurden. Ansonsten sind Unternehmen gut
beraten, auf externe Dienstleister zurückzugreifen,
die in dieser oft emotionalen und hektischen
Situation mit einem neutralen Blick die Sachlage
einschätzen. Schnell ja – aber ein unüberlegter
Schnellschuss kann nach hinten losgehen.
72 Stunden: Die Uhr tickt!
Meist spielen bei einem Cyberangriff die ersten Autor dieses Beitrags ist Dirk Koch,
72 Stunden eine absolut kritische Rolle. IT-Forensiker Rechtsanwalt & Data Protection Risk Manager.
14Evolutionsstufen
„Fake President“-Betrug
Frühstadium:
E-Mail Evolutionsstufe 1:
E-Mail mit z. T. Schreib- und/oder Grammatikfehlern, Social Engineering
schlecht getarntem Absender oder Korrekte Rechtschreibung, gut getarnter Absender mit
abweichender E-Mail-Adresse. z. B. fehlenden Buchstaben, leichten Buchstaben- oder
Zahlendrehern (Bsp.: max.mustermann@musterman.com).
Durch Wertschätzung des Mitarbeiters oder Druckausübung
(z. B. angeblicher Zeitdruck) wird hier bereits „Social
Engineering“ eingesetzt.
Evolutionsstufe 2:
Gehacktes Intranet
Korrekte, gehackte/gedoppelte Absenderadresse Evolutionsstufe 3:
(Bsp.: max.mustermann@mustermann.com). Die Betrüger
hacken sich ins Intranet und spionieren dort Zuständigkeiten
Telefonanruf
und Gepflogenheiten aus, wie z. B. Umgangston, E-Mail-Stil Fallbeispiel: Der Betrüger ruft eine Mitarbeiterin in der
(Du/Sie, förmlich/informell) oder Ansprechpartner. Buchhaltung an, um ihr zum 10-jährigen Firmenjubiläum
So verbessern sie das „Social Engineering“ noch zu gratulieren. Wenige Wochen später ruft er für den
durch Interna und schaffen so Vertrauen. „Fake President“-Betrug erneut an – sie erkennt seine
Stimme und führt gemäß der Aufforderung per E-Mail
die Überweisungen aus.
Evolutionsstufe 4:
Fake IT-Security-Mitarbeiter
Fallbeispiel: Kurz nach einer E-Mail mit einer gefälschten
Zahlungsaufforderung ruft ein „Fake“-IT-Mitarbeiter in der Evolutionsstufe 5:
Buchhaltung an, um dem Mitarbeiter mitzuteilen,
dass bei ihm ein „Fake President“-Betrugsversuch entdeckt
Stimmimitation
worden sei. Alles sei unter Kontrolle und der Mitarbeiter solle Erster Fall mit Stimmimitationssoftware: Die Software
„zum Schein“ mitspielen, damit man die Betrüger auf frischer ahmt sogar Sprachmelodie und Akzente nach, sodass der
Tat ertappen könne. Es werde keine echte Zahlung Angerufene nach dieser telefonischen Bestätigung denkt,
ausgelöst, weil man mit der Hausbank kooperiere. die Anweisung per E-Mail käme tatsächlich vom echten
Der Mitarbeiter überweist – das Geld ist weg. Konzern-Chef.
Weitere Untervarianten:
Geschenkkarten, Besteller-
und Zahlungsbetrug
Mögliche zukünftige Geschenkkarten: Mitarbeiter werden angewiesen, Geschenk-
karten oder Gutscheine zu kaufen, für Jubiläumsfeiern oder
Evolutionsstufen: ähnliche Anlässe.
Deepfake, Video, Whatsapp Bestellerbetrug: Der Betrüger täuscht eine falsche Identität
Aktuell sind immer wieder Audio- und Video-Nachrichten vor und gibt sich als Kunde aus (oft als bestehender), bestellt
von gefälschten CEOs per WhatsApp im Umlauf. Zudem sind Waren und lässt diese dann an eine abweichende Liefer-
Echtzeit-Unterhaltungen via Deepfake-Videos technisch bereits adresse senden.
möglich, allerdings noch nicht sehr verbreitet. Dennoch dürfte Zahlungsbetrug: Der Betrüger gibt sich als Lieferant aus und
das die nächste Evolutionsstufe sein. Das echte Aussehen gibt für die Bezahlung der bereits erfolgten Lieferung eine
gepaart mit der echten Stimme schafft maximales Vertrauen. abweichende Kontoverbindung durch.
15RISIKOfaktoren
sicherheitslücken
schliessen
Trotz aller Vorsichtsmaßnahmen lassen sich Betrug und Veruntreuung nicht immer vermeiden.
Bei Eintritt eines Schadens ist es für Unternehmen wichtig, schnell und richtig zu handeln
und die Sicherheitslücken konsequent zu schließen. Zudem sollten Unternehmen die häufigsten
Risikofaktoren am besten regelmäßig überprüfen.
1. Risikofaktor Unternehmensstruktur 4. Risikofaktor Zahlungsverkehr
a. Sind die Arbeitsabläufe und -prozesse im a. Sind Buchhaltung und Kasse streng getrennt?
Haus klar definiert? b. Werden Scheckvordrucke unter Verschluss
b. Gibt es im Hause Verantwortliche, gehalten, und werden Nummernkreise
die sich über notwendige und mögliche kontrolliert?
Sicherheitsvorkehrungen auf dem c. Gibt es im Unternehmen
Laufenden halten? Unterschriftenfaksimiles?
c. Gibt es Katastrophenpläne im d. Sind dabei vorgelagerte Kontrollen
Unternehmen? vorgesehen?
2. Risikofaktor Personalbeschaffung 5. Risikofaktor Post
a. Wird bei Bewerbern mit ungewöhnlichen a. Wird die eingehende Post mit einem
Kündigungsterminen oder häufigem Eingangsstempel versehen?
Stellenwechsel die Ursache ergründet? b. Werden eingehende Schecks in einem
b. Werden bei Bewerbern für Schlüssel- Eingangsbuch notiert?
positionen weitergehende Prüfungen
(Referenzen) vorgenommen? 6. Risikofaktor Einkauf/Verkauf
c. Sind sämtliche Mitarbeiter schriftlich zur
a. Sind verschiedene Personen jeweils
Geheimhaltung der Firmeninterna
verantwortlich für
verpflichtet?
• die Auftragserteilung,
d. Hat das Management ein Krisenszenario
• die Registrierung eingehender Waren,
für Vertrauensschadenfälle?
• die Genehmigung der Bezahlung von
Waren?
3. Risikofaktor EDV
b. Werden regelmäßige Inventuren des
a. Gibt es für das IT-System ein Warenbestandes durchgeführt?
Sicherheitskonzept? c. Werden Retouren gesondert erfasst?
b. Werden sämtliche Daten nach ihrer Schutz- d. Hat das Unternehmen einen Verhaltenskodex
würdigkeit klassifiziert und entsprechende für Einkäufer?
Schutzmaßnahmen getroffen?
c. Ist die IT gegen Angriffe von außen 7. Risikofaktor Revision/Kontrollen
geschützt?
a. Gibt es eine eigene Revisionsabteilung?
d. Ist ein periodischer Passwortwechsel
b. Prüft diese bzw. ein Wirtschaftsprüfer regel-
vorgesehen?
mäßig alle Bereiche des Unternehmens?
e. Gibt es im Unternehmen ungesicherte
c. Ist das 4-Augen-Prinzip durchgehend im
Internetanschlüsse?
Unternehmen implementiert? Und wie wird
f. Sind Online-Verbindungen zur Hausbank
es ggf. im Homeoffice umgesetzt?
ausreichend geschützt?
16Managerhaftung
Plötzlich
am Pranger
Unverhofft kommt oft. Unbewusst auch. Nicht vor, als man denkt. Oft hapert es schon an internen
umsonst steigt die Zahl der Fälle, bei denen Unter- Kontrollmechanismen und Compliance-Prozessen.
“
nehmen ihre eigenen Manager in Regress neh-
men, in den letzten Jahren stark an. Der Vorwurf:
Sorgfaltspflichtverletzungen oder mangelnde Manager müssen im Zweifelsfall nach-
Risikoanalyse. Vorsorgemaßnahmen wie Com- weisen, dass sie geeignete Vorsorgemaßnah-
pliance-Systeme, Whistleblowing-Hotlines oder men getroffen haben und sie keine Schuld
Versicherungen sollen helfen, finanzielle Schäden trifft. Ohne entsprechende Beweise ist das
für das Unternehmen im Worst Case abzufedern. jedoch oft schwierig bis unmöglich – gerade
bei Cybercrime oder Betrug.“ Jesko Trahms
Eine fatale Falle für Manager: Wie will man nach-
weisen, dass man bei einem folgenschweren Cyber-
angriff alles getan hat, um das Unternehmen zu Doch welche Verpflichtungen gibt es überhaupt
schützen? Genau hier sind Manager im Zweifelsfall und was können Unternehmen und ihre Manager
aber in der Pflicht: Sie müssen nachweisen, dass sie tun, um sich besser zu schützen? Das erläutert Jesko
ausreichende Maßnahmen ergriffen und implemen- Trahms, Fachanwalt für Strafrecht und Partner bei
tiert haben. Oft genug gelingt das nicht. BDO Legal Rechtsanwaltsgesellschaft mbH:
Manchmal kommt eines zum anderen: die veraltete Welche Verpflichtungen in der Compliance haben
Firewall, unzureichende IT-Sicherheit, eine ungenü- Unternehmen zur Prävention und Bekämpfung
gende Prozess-Dokumentation, ein missachtetes der dargestellten Risiken und der damit verbun-
4-Augen-Prinzip, fehlende Compliance-Schulungen, denen Haftungsszenarien?
der unbedachte Klick im Homeoffice und eine damit Nach gefestigter Rechtsprechung hat die Geschäfts-
installierte Ransomware. Oder eine Überweisung führung eines Unternehmens eine Verpflichtung,
an Betrüger nach Anweisungen durch den falschen ein Compliance Management System im Betrieb
Chef. Das Unternehmen steht vor ernstzunehmen- zu organisieren und zu implementieren. Dies wird
den finanziellen Schwierigkeiten und Schuldige wer- beispielsweise aus der „Sorgfalt einer ordentlichen
den gesucht. Wie soll der Manager jetzt beweisen, Geschäftsführung“ gefolgert. Das bedeutet:
dass dem Aufsichtsrat neues IT-Equipment und eine Zunächst muss die Geschäftsführung alle (recht-
Cyberversicherung zu teuer waren? Hat er solche lichen, tatsächlichen und finanziellen) Risiken
Entscheidungen nicht schriftlich dokumentiert vorlie- identifizieren und geeignet „bekämpfen“. Sie muss
gen, kann es schnell eng werden. Doch auch Fälle, Verantwortlichkeiten definieren, klare Richtlinen
bei denen Unternehmer vollkommen unbewusst in kommunizieren und entsprechende Prozesse
Haftungsrisiken schlittern, kommen gerade bei klei- implementieren. Wenn die erkannten Risiken auch
nen und mittelständischen Unternehmen häufiger dadurch nicht ausreichend minimiert werden können,
17Bei der Compliance wird auf eine Früherkennung
von Risiken gesetzt. Findet diese nicht statt, können
Compliance-Vorfälle gerade kleine und mittlere
Unternehmen sehr schnell in existenzielle Schwierig-
keiten bis hin zu einer drohenden Insolvenz bringen.
Welche Rolle spielen Whistleblowing-Systeme
bei der Aufdeckung von sogenannten
„Innentätern“?
Whistleblowing- oder Hinweisgebersysteme haben
eine überragende Bedeutung für die Entdeckung
von kriminellen Machenschaften, die ein Unterneh-
men oft über Jahre dauerhaft schädigen. Dies gilt
insbesondere für sogenannte „Innentäter“, die –
oft im gezielt schädlichen Zusammenwirken mit
Jesko Trahms ist Fachanwalt für Strafrecht und externen Dritten – sprichwörtlich in die Firmenkasse
Partner bei BDO Legal Rechtsanwaltsgesellschaft mbH
greifen. Sehr oft bekommen andere Mitarbeiter
oder das soziale Umfeld der Täter hiervon etwas
mit, trauen sich aber aus verschiedenen Motiven
ist eine Absicherung durch eine entsprechende Versi- heraus nicht, sich mit diesem Wissen „zu outen“.
cherung eine durchaus adäquate Handlungsoption. Gibt man ihnen mit einem Whistleblowing-System
eine Plattform, die Vertraulichkeit und Anonymität
Was passiert, wenn Unternehmen diesen garantiert, führt dies sehr oft zum entscheidenden
Verpflichtungen nicht nachkommen? Hinweis, mit dem man Straftaten im Unternehmen
Wird ein Compliance Management System nicht entdecken und beenden kann.
ausreichend organisiert, kann die Rechtsprechung
– je nach Einzelfall – hierin eine „Sorgfaltspflicht-
verletzung“ der Geschäftsführung sehen. Diese Scheinbar harmlose Weihnachts-
kann beispielsweise durchaus zu einer persönlichen geschenke als fatale „Türöffner“
Haftung für Schäden führen, die dem Unternehmen In einem Unternehmen hatte ein Mitarbeiter
dadurch kausal entstehen. Wichtig ist dabei, dass anonym gemeldet, dass Kollegen in einer Abtei-
nach der Rechtsprechung die Manager in einem lung in der Vorweihnachtszeit jeweils ein persön-
Haftungsprozess durch eine sogenannte Beweis- liches Präsent per Paket erhalten hatte. Neben
lastumkehr nachweisen müssen, dass sie keine Süßigkeiten umfasste das Geschenk einen USB-
Sorgfaltspflichtverletzung begangen haben und Stick und eine Computer-Maus, die von den Mit-
sie kein Verschulden trifft. Oft ist dieser Nachweis arbeitern bedenkenlos sofort eingesetzt wurden.
mangels Beweismitteln bzw. fehlender Unterlagen Die nach dem Hinweis sofort eingeleitete Unter-
nicht möglich oder schwer zu führen.
“
suchung förderte einen bereits aktiven Cyber-
Angriff zutage, bei dem die „Geschenke“ als „Tür-
öffner“ in das System der Firma genutzt wurden.
Gerade beim Thema Compliance haben
Unternehmen noch Nachholbedarf. Viele
Unternehmer sind sich ihrer Verpflichtungen Fazit: Hundertprozentige Sicherheit gibt es nicht.
gar nicht in vollem Umfang bewusst – und Die „Schwachstelle Mensch“ kann niemand schlie-
laufen so Gefahr, in persönliche Haftungsrisi- ßen: Es gibt immer Fälle, in denen selbst das beste
ken zu schlittern.“ Jesko Trahms Compliance-System ausgehebelt wird. Die Com-
pliance kann nie einen 100 %igen Schutz gewähr-
leisten oder garantieren. Sie sorgt allerdings für
Wie sind Unternehmen aktuell diesbezüglich eine deutliche Minimierung der Risikopotentiale
aufgestellt? Wie gut sind sie vorbereitet? Sind sie im Unternehmen, und zwar durch Identifizierung
sich der Gefahren überhaupt bewusst? der Risiken verbunden mit internen Vorgaben und
Viele Unternehmen bzw. deren Geschäftsführung Prozessen. Zudem schützt sie die Reputation von
haben sich nach meiner Einschätzung mit dem Mitarbeitern und Unternehmung. Zur „ordentlichen“
Thema „Compliance“ nicht oder nicht ausreichend Unternehmensführung kann gehören, Restrisiken
befasst. Man kann hier die allgemeine Regel auf- auf eine Versicherung zu verlagern. Dies betrifft
stellen: Je kleiner die Unternehmung, desto weniger insbesondere die Bereiche Managerhaftung (D&O),
Compliance-Aktivitäten. Sehr oft sind sich dabei die Schäden durch Innentäter bzw. Vertrauenspersonen
Verantwortlichen der – auch persönlichen – (Vertrauensschadenversicherung) und Cyber-Angriffe
Haftungsrisiken und Gefahren gar nicht bewusst. (Cyber-Versicherung).
18Sie können auch lesen
