Chef-Betrug mit Folgen: 21 Mio. $ Schaden, zwei Manager entlassen

Zwei Füh­rungs­kräfte wur­den in den Nie­der­lan­den gefeu­ert, weil ihr Unter­neh­men Opfer eines mas­si­ven CEO Frauds mit einem Scha­den in Höhe von 21 Mil­lio­nen US-Dollar wurde.

Der CEO Fraud, also ein Betrugs­fall bei dem sich ein Cyber­kri­mi­nel­ler als Chef aus­gibt, nimmt zu und ent­wi­ckelt sich nach Anga­ben von FBI und Lan­des­kri­mi­nal­amt wei­ter. Ziel der Masche kön­nen geschäft­li­che und per­sön­li­che Trans­ak­tio­nen jeder Größe wer­den. Eine FBI-Meldung vom 18.7.18 zeigt, dass es fast 80.000 Vor­fälle mit einem mög­li­chen, finan­zi­el­len Scha­den von über 12,5 Mil­li­ar­den US-Dollar allein in den USA gab.

Gemes­sen am finan­zi­el­len Ver­lust ist der Busi­ness E-Mail Com­pro­mise die von Kri­mi­nel­len am häu­figs­ten genutzte Form. Diese Angriffs­me­thode ver­brei­tet sich auch in Deutsch­land rasant. Anfang 2018 hatte eine Stu­die von PwC zum Thema Wirt­schafts­kri­mi­na­li­tät den Anstieg von Betrugs­fäl­len nach­ge­wie­sen. Dem­nach waren seit 2016 40 Pro­zent der deut­schen Unter­neh­men min­des­tens ein­mal vom „Chef-Betrug“ betrof­fen.

Der Fall Pathé

Ein beson­ders spek­ta­ku­lä­rer Fall von CEO Fraud fand Anfang 2018 in den Nie­der­lan­den statt. Der Mana­ging Direc­tor sowie der CFO der Film­kette Pathé wur­den ent­las­sen, nach­dem sie einem CEO Fraud auf­ge­ses­sen waren, der hätte ver­hin­dert wer­den kön­nen, wenn sie die Warn­zei­chen erkannt hät­ten. In einer kürz­lich in Ams­ter­dam ver­kün­de­ten Gerichts­ent­schei­dung wur­den die Details offen­ge­legt, wel­che Feh­ler die­sen Betrug ermög­licht haben.

Der Tat­her­gang: Am Don­ners­tag, den 8. März, erhielt der Mana­ging Direc­tor der nie­der­län­di­schen Film­kette eine E-Mail vom CEO der Hol­ding­ge­sell­schaft: „Hat sich KPMG schon bei dir gemel­det?“ Die E-Mail wurde von einem Smart­phone aus gesen­det. Weil er die Nach­richt nicht ein­ord­nen kann, lei­tete er die E-Mail an sei­nen CFO wei­ter, aber beide sind über­fragt und beschlie­ßen, in einer E-Mail-Antwort zu fra­gen, was das Pro­blem ist.

Die Ant­wort dar­auf ist eine klas­si­sche CEO Fraud-Taktik: „Wir befin­den uns in einem ver­trau­li­chen Merger&Acquisition (Übernahme)-Prozess mit einem aus­län­di­schen Unter­neh­men in Dubai, und jede Kom­mu­ni­ka­tion kann nur über die per­sön­li­che E-Mail-Adresse des CEO erfol­gen. Bitte über­wei­sen Sie die ers­ten 900.000 US-Dollar und die­ses Geld wird am Ende des Monats an Sie zurück­über­wie­sen.“

Es folgt ein E-Mail-Austausch, bei dem der Mana­ging Direc­tor sicher­stel­len will, dass die Trans­ak­tion legal ist. „Keine Sorge“, bestä­tigt der CEO der Hol­ding, „Bitte über­tra­gen Sie die ers­ten 10 Pro­zent der Akqui­si­tion.“

Am Diens­tag, den 13. März, wird die zweite Über­wei­sung durch­ge­führt: 2,5 Mil­lio­nen US-Dollar. Die bei­den Füh­rungs­kräfte fra­gen sich, was los ist, beschlie­ßen aber, den Anwei­sun­gen des CEO zu fol­gen. Es fol­gen wei­tere Über­wei­sungs­auf­for­de­run­gen mit höhe­ren Beträ­gen. Die letzte Zah­lung erfolgt schließ­lich am Diens­tag, den 27. März. Ins­ge­samt 21 Mil­lio­nen US-Dollar wur­den in etwa zwei Wochen über­wie­sen, und den bei­den wird ver­si­chert: „Ja, wir über­wei­sen die­ses Geld jetzt sofort zurück“. Das war das Letzte, was sie vom angeb­li­chen CEO hör­ten.

Schließ­lich wurde am Haupt­sitz der Hol­ding jemand stut­zig, nimmt das Tele­fon in die Hand und fragt nach dem Grund für die Über­wei­sun­gen: „Was ist da los? Wofür wurde das Geld ver­wen­det?“ Der Gro­schen ist dann auch bei den bei­den betrof­fe­nen Opfern gefal­len. Die bei­den Mana­ger haben sich in einen CEO Fraud ver­wi­ckeln las­sen und wer­den sofort beur­laubt und spä­ter ent­las­sen.

Der CFO ging vor Gericht und klagte gegen die Ent­las­sung, er behaup­tet, er habe nur Befehle befolgt und man könnte ihm nicht die Schuld für diese Kata­stro­phe geben. Die Hol­ding ist jedoch der Mei­nung, dass er die Anzei­chen für den Betrug hätte erken­nen müs­sen und das Geld von Anfang an über­haupt nicht hätte über­wei­sen dür­fen.

Das Gericht kam zu dem Schluss, dass die Film­kette das Opfer einer raf­fi­nier­ten Bande von Cyber­kri­mi­nel­len gewor­den war. Der CFO konnte nicht zurück ins Büro gehen, weil es zu viele Ver­trau­ens­pro­bleme gege­ben hätte. Statt­des­sen bekommt er noch einige Monate sein Gehalt und wird schließ­lich im Dezem­ber 2018 end­gül­tig ent­las­sen. Der Scha­den war nicht wie­der zu kor­ri­gie­ren, denn nach 24 Stun­den konn­ten die Über­wei­sun­gen nicht mehr rück­gän­gig gemacht wer­den und das Geld auf unbe­kann­ten Kon­ten ver­schwun­den.

Der Fall macht deut­lich: Hoch­ri­si­ko­mit­ar­bei­ter und dazu gehö­ren auch CFOs und die CEOs selbst, müs­sen ein Secu­rity Awareness-Training der „neuen Schule“ erhal­ten, dass sol­che Sze­na­rien berück­sich­tigt und auto­ma­ti­siert simu­lierte Angriffe in Kom­bi­na­tion mit sofor­ti­gen Abhilfemaß-nahmen durch­führt, um die Mit­ar­bei­ter auf solch aus­ge­reifte Betrü­ge­reien wie die­sen vorab vor­zu­be­rei­ten. Die Mit­ar­bei­ter müs­sen zu einer Art mensch­li­chen Fire­wall wer­den, um sol­che Betrugs­ver­su­che sofort zu erken­nen oder aber zumin­dest als ver­däch­tig ein­zu­stu­fen und dann die E-Mails oder Anrufe an ver­ant­wort­li­che Stel­len im Unter­neh­men wei­ter­zu­lei­ten.

Als oft ange­grif­fene Ziel­grup­pen wer­den unter ande­rem Mit­ar­bei­ter der Buch­hal­tung, der Per­so­nal­ab­tei­lun­gen, der IT-Abteilung oder aber des Manage­ments iden­ti­fi­ziert. Aus die­sem Grund emp­fiehlt sich für Unter­neh­men eine Schu­lung aller Mit­ar­bei­ter die­ser Abtei­lun­gen, um bes­ser auf sol­che Vor­fälle vor­be­rei­tet zu sein, und ähn­lich einer mensch­li­chen Fire­wall alle ver­däch­ti­gen Anrufe und E-Mails von vorn­her­ein abzu­blo­cken. Letzt­lich sind die Mit­ar­bei­ter die erste und wich­tigste Sicher­heits­bar­riere der Unter­neh­men.

Stu Sjou­wer­man, CEO bei KnowBe4  
Quelle

DIHK Flyer Cyber­si­cher­heit