Chef-Betrug mit Folgen: 21 Mio. $ Schaden, zwei Manager entlassen
Zwei Führungskräfte wurden in den Niederlanden gefeuert, weil ihr Unternehmen Opfer eines massiven CEO Frauds mit einem Schaden in Höhe von 21 Millionen US-Dollar wurde.
Der CEO Fraud, also ein Betrugsfall bei dem sich ein Cyberkrimineller als Chef ausgibt, nimmt zu und entwickelt sich nach Angaben von FBI und Landeskriminalamt weiter. Ziel der Masche können geschäftliche und persönliche Transaktionen jeder Größe werden. Eine FBI-Meldung vom 18.7.18 zeigt, dass es fast 80.000 Vorfälle mit einem möglichen, finanziellen Schaden von über 12,5 Milliarden US-Dollar allein in den USA gab.
Gemessen am finanziellen Verlust ist der Business E-Mail Compromise die von Kriminellen am häufigsten genutzte Form. Diese Angriffsmethode verbreitet sich auch in Deutschland rasant. Anfang 2018 hatte eine Studie von PwC zum Thema Wirtschaftskriminalität den Anstieg von Betrugsfällen nachgewiesen. Demnach waren seit 2016 40 Prozent der deutschen Unternehmen mindestens einmal vom „Chef-Betrug“ betroffen.
Der Fall Pathé
Ein besonders spektakulärer Fall von CEO Fraud fand Anfang 2018 in den Niederlanden statt. Der Managing Director sowie der CFO der Filmkette Pathé wurden entlassen, nachdem sie einem CEO Fraud aufgesessen waren, der hätte verhindert werden können, wenn sie die Warnzeichen erkannt hätten. In einer kürzlich in Amsterdam verkündeten Gerichtsentscheidung wurden die Details offengelegt, welche Fehler diesen Betrug ermöglicht haben.
Der Tathergang: Am Donnerstag, den 8. März, erhielt der Managing Director der niederländischen Filmkette eine E-Mail vom CEO der Holdinggesellschaft: „Hat sich KPMG schon bei dir gemeldet?“ Die E-Mail wurde von einem Smartphone aus gesendet. Weil er die Nachricht nicht einordnen kann, leitete er die E-Mail an seinen CFO weiter, aber beide sind überfragt und beschließen, in einer E-Mail-Antwort zu fragen, was das Problem ist.
Die Antwort darauf ist eine klassische CEO Fraud-Taktik: „Wir befinden uns in einem vertraulichen Merger&Acquisition (Übernahme)-Prozess mit einem ausländischen Unternehmen in Dubai, und jede Kommunikation kann nur über die persönliche E-Mail-Adresse des CEO erfolgen. Bitte überweisen Sie die ersten 900.000 US-Dollar und dieses Geld wird am Ende des Monats an Sie zurücküberwiesen.“
Es folgt ein E-Mail-Austausch, bei dem der Managing Director sicherstellen will, dass die Transaktion legal ist. „Keine Sorge“, bestätigt der CEO der Holding, „Bitte übertragen Sie die ersten 10 Prozent der Akquisition.“
Am Dienstag, den 13. März, wird die zweite Überweisung durchgeführt: 2,5 Millionen US-Dollar. Die beiden Führungskräfte fragen sich, was los ist, beschließen aber, den Anweisungen des CEO zu folgen. Es folgen weitere Überweisungsaufforderungen mit höheren Beträgen. Die letzte Zahlung erfolgt schließlich am Dienstag, den 27. März. Insgesamt 21 Millionen US-Dollar wurden in etwa zwei Wochen überwiesen, und den beiden wird versichert: „Ja, wir überweisen dieses Geld jetzt sofort zurück“. Das war das Letzte, was sie vom angeblichen CEO hörten.
Schließlich wurde am Hauptsitz der Holding jemand stutzig, nimmt das Telefon in die Hand und fragt nach dem Grund für die Überweisungen: „Was ist da los? Wofür wurde das Geld verwendet?“ Der Groschen ist dann auch bei den beiden betroffenen Opfern gefallen. Die beiden Manager haben sich in einen CEO Fraud verwickeln lassen und werden sofort beurlaubt und später entlassen.
Der CFO ging vor Gericht und klagte gegen die Entlassung, er behauptet, er habe nur Befehle befolgt und man könnte ihm nicht die Schuld für diese Katastrophe geben. Die Holding ist jedoch der Meinung, dass er die Anzeichen für den Betrug hätte erkennen müssen und das Geld von Anfang an überhaupt nicht hätte überweisen dürfen.
Das Gericht kam zu dem Schluss, dass die Filmkette das Opfer einer raffinierten Bande von Cyberkriminellen geworden war. Der CFO konnte nicht zurück ins Büro gehen, weil es zu viele Vertrauensprobleme gegeben hätte. Stattdessen bekommt er noch einige Monate sein Gehalt und wird schließlich im Dezember 2018 endgültig entlassen. Der Schaden war nicht wieder zu korrigieren, denn nach 24 Stunden konnten die Überweisungen nicht mehr rückgängig gemacht werden und das Geld auf unbekannten Konten verschwunden.
Der Fall macht deutlich: Hochrisikomitarbeiter und dazu gehören auch CFOs und die CEOs selbst, müssen ein Security Awareness-Training der „neuen Schule“ erhalten, dass solche Szenarien berücksichtigt und automatisiert simulierte Angriffe in Kombination mit sofortigen Abhilfemaß-nahmen durchführt, um die Mitarbeiter auf solch ausgereifte Betrügereien wie diesen vorab vorzubereiten. Die Mitarbeiter müssen zu einer Art menschlichen Firewall werden, um solche Betrugsversuche sofort zu erkennen oder aber zumindest als verdächtig einzustufen und dann die E-Mails oder Anrufe an verantwortliche Stellen im Unternehmen weiterzuleiten.
Als oft angegriffene Zielgruppen werden unter anderem Mitarbeiter der Buchhaltung, der Personalabteilungen, der IT-Abteilung oder aber des Managements identifiziert. Aus diesem Grund empfiehlt sich für Unternehmen eine Schulung aller Mitarbeiter dieser Abteilungen, um besser auf solche Vorfälle vorbereitet zu sein, und ähnlich einer menschlichen Firewall alle verdächtigen Anrufe und E-Mails von vornherein abzublocken. Letztlich sind die Mitarbeiter die erste und wichtigste Sicherheitsbarriere der Unternehmen.