Schon seit einiger Zeit steigt die Gefahr durch Cybercrime, doch durch die Coronakrise haben die Angriffe noch einmal deutlich an Fahrt aufgenommen. Auch Unternehmen haben diese Gefahr erkannt: Rund 80 Prozent der Konzerne gaben im Sommer 2020 in einer KPMG-Studie an, die Gefahr, Opfer von Wirtschaftskriminalität zu werden, sei hoch bis sehr hoch.
Die Kosten eines erfolgreichen Angriffs sind der Studie zufolge beträchtlich: Bei 10 Prozent der Unternehmen belief sich der Gesamtschaden der vorangegangenen zwei Jahre auf über 1 Million Euro. Bei einem Unternehmensumsatz von mehr als 3 Milliarden Euro mussten sogar 30 Prozent der Befragten Schäden über 1 Million Euro hinnehmen.
Doch wie gehen die Betrüger genau vor? FINANCE hat vier wichtige Angriffsmaschen identifiziert und analysiert.
Betrugsmasche 1: Fake President
Der Fake President (auch „Chef-Betrug“ oder „CEO/CFO-Fraud“) ist der Enkeltrick für die Finanzabteilung. In der Regel kontaktieren Betrüger Mitarbeiter aus der Buchhaltung oder aus dem Treasury und geben vor, CEO oder CFO des Unternehmens zu sein. Ihr Appell: Man solle dringend eine genannte Summe überweisen.
Häufig geht es um einen M&A-Deal. Daher mahnt der vermeintliche CFO, es gelte höchste Geheimhaltungspflicht. Besonders perfide: Der Mitarbeiter scheut sich deshalb nicht nur, Kollegen hinzu zu ziehen. Ihm wird auch noch suggeriert, er sei besonders vertrauenswürdig.
Die Kriminellen gehen dabei professionell vor: Oft wird ein fiktiver Anwalt hinzugezogen, der die Angaben des falschen CFO bestätigt. Über psychologische Tricks wird letztlich so viel Druck aufgebaut, dass der Mitarbeiter die Überweisung veranlasst. Finanzabteilungen können sich zwar beispielsweise über ein Vier-Augen-Prinzip schützen, das funktioniert jedoch nicht immer.
FINANCE-Themenseite
So realistisch sind Deep Fakes
Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von YouTube, der von der Redaktion empfohlen wird. Sie können den Inhalt mit einem Klick aktivieren.
Ich bin damit einverstanden, dass mir externe Inhalte von YouTube angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu erfahren Sie bei YouTube und unserer Datenschutzerklärung.
Auch technisch rüsten die Betrüger wohl bald deutlich auf. Über sogenannte Deep Fakes lassen sich in nicht allzu ferner Zukunft aller Wahrscheinlichkeit nach sogar Videoanrufe fälschen. Algorithmen können die Sprechweise und Gesichtsausdrücke von Menschen mittlerweile fast täuschend echt imitieren. Der CFO wäre mit Sprache und Bild zu sehen, beides basiert aber auf Künstlicher Intelligenz und die reale Person ist ganz woanders. Finanzabteilungen sollten sich darauf einstellen.
Betrugsmasche 2: Payment Diversion
Immer häufiger trifft Finanzabteilungen auch die „Payment Diversion“, wie Florian Oelmaier von der Sicherheitsberatung Corporate Trust vor kurzem gegenüber der FINANCE-Schwesterpublikation DerTreasurer berichtete. Hierbei ändern Hacker auf gewiefte Art und Weise Kontoverbindungen. Statt den Lieferanten zu bezahlen, geht das Geld dann an Kriminelle. Bei der Betrugsmasche manipulieren Betrüger vor allem die Stamm- und Kontodaten.
Auch hier gilt: Das Vorgehen ist keinesfalls einfach zu durchschauen. Die Kriminellen können sich auf einen bestehenden E-Mail-Verkehr mit echten Lieferanten aufsetzen und kommunizieren teilweise monatelang mit den Unternehmen, die nichts von dem Betrug ahnen. Nur Details im E-Mail-Header lassen auf einen manipulierten Verlauf schließen. In manchen echten Fällen, die DerTreasurer einsehen konnte, fälschen die Betrüger sogar die Adressen aller Mitarbeiter, die in Kopie gesetzt wurden.
Wichtig zu wissen ist: Nicht immer arbeiten die Betrüger mit Druck. In einem Fall beschwerten sie sich schlicht immer wieder über nicht eingegangene Zahlungen. Sie warteten ab, bis das Opfer selbst vorschlug, die Kontoverbindung zu ändern.
Betrugsmasche 3: Goods Diversion
Die „Goods Diversion“ funktioniert fast analog zur Payment Diversion – statt Zahlungen werden hier aber Güter umgeleitet. Der Schaden kann dennoch enorm sein: Wenn Edelmetalle an die falsche Adresse gesendet werden, kann es Unternehmen Millionen kosten. Die Finanzabteilung muss hier vor allem sicherstellen, dass Veränderungen bei Lieferadressen bekannter Kunden überprüft werden.
Betrugsmasche 4: Ransomware
Der Erpressungstrojaner „Ransomware“ hat in den vergangenen Monaten zahlreiche deutsche Konzerne getroffen – darunter der Medizinriese Fresenius oder der Aromenhersteller Symrise. Bei dieser Art des Angriffs verschlüsseln Hacker Teile der Unternehmenssysteme und geben sie erst gegen Zahlung eines Geldbetrags wieder frei. Dieser soll oft in Kryptowährungen wie Bitcoin oder Ethereum überwiesen werden. Für die Finanzabteilung hat ein solcher Angriff potentiell enorme Auswirkungen: Die ERP- und Treasury-Systeme können ausfallen, in manchen Fällen müssen Überweisungen wieder per Fax ausgeführt werden.
Auch wenn der wirtschaftliche Druck groß ist, die Systeme wieder ans Laufen zu bekommen: Die klare Empfehlung von Experten ist, dass Unternehmen das Lösegeld niemals zahlen sollten. Denn so werden Kriminelle animiert, es erneut zu versuchen. Die Realität sieht indes anders aus: Konzerne zahlen immer wieder, wie zuletzt der Fleischkonzern JBS zeigte. Der US-Riese überwies 11 Millionen US-Dollar an die Ransomware-Betrüger, um wieder auf seine Systeme zugreifen zu können.
Neben der Zahlung stellen sich für die Finanzabteilung weitere wichtige Fragen: Wie verhandelt man mit den Kriminellen? Sollte man Kryptowährungen vorhalten? Die Kollegen von DerTreasurer haben gemeinsam mit dem Sicherheitsverband G4C eine ausführliche Checkliste zusammengestellt, wie Treasury– und Finanzabteilungen mit einem Ransomware-Angriff genau umgehen sollten.
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Eich ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury. Durch seine Zwischenstation bei der Schwesterpublikation „Der Neue Kämmerer“ ist der 1988 geborene Journalist auch versiert beim Thema Kommunalfinanzen. Erste journalistische Erfahrungen hat der gebürtige Schleswig-Holsteiner in den Wirtschaftsmedien von Gruner+Jahr sowie in der Sportredaktion der Hamburger Morgenpost gesammelt.
