In der Buchhaltung des Unternehmens „U KG“ * geht die Mail des Lieferanten „L GmbH“ ein: Man habe die Hausbank gewechselt, die Daten sollen im System geändert werden, damit ab jetzt alle Zahlungen auf das neue Konto gehen. Werden jetzt die Daten leichtfertig geändert, so könnte das für die U KG den Verlust größerer Beträge zur Folge haben. Denn die Mail muss nicht unbedingt von L GmbH stammen, sondern könnte auch von einem Betrüger geschickt worden sein, um Zahlungen auf sein Konto umzuleiten.

Relevant für:
Geschäftsführer, kaufmännische Leiter ** in kleinen und mittleren Unternehmen (KMU) bzw. im Mittelstand

Themen:
CEO Fraud, Cyber-Betrug

Warum funktioniert diese Methode?

Betrug unter Ausnutzung falscher Identitäten ist weiterhin beliebt, weil er für die Täter durch die allgegenwärtige elektronische Kommunikation aufwands- und risikoarm ist. Darüber hinaus bietet die Technik vielfältige Möglichkeiten, die Aktivitäten zu verschleiern. Vor allem große Unternehmen haben deshalb ausgefeilte Prozesse etabliert, um solche Versuche zu erkennen und abzuwehren. Da müssen sich die Täter schon einige Dinge einfallen lassen, um hier noch erfolgreich zu sein und große Beträge abzugreifen. So werden Niederlassungen im Ausland einbezogen, um unterschiedliche gesetzliche und innerbetriebliche Regelungen sowie latent vorhandene Kommunikationsprobleme zwischen Zentrale und Niederlassung für ihre Zwecke auszunutzen. Das erfordert eine gute Planung, gepaart mit soliden Kenntnissen der Unternehmens-Internas sowie Kommunikations¬geschick.

Anders sieht es jedoch noch bei vielen kleinen und mittleren Unternehmen (KMU) aus. Hier fehlt es oft bereits am Wissen über die Risiken der elektronischen Kommunikation. Dazu kommt, dass viele Abläufe „auf Zuruf“ funktionieren – was wesentlich dazu beiträgt, dass diese Unternehmen deutlich flexibler sind als die meisten „Dickschiffe“ der Branche. Weil jedoch zu vermuten ist, dass eine solche pragmatisch-flexible Herangehensweise auch in administrativen Prozessen angewendet wird, werden solche Unternehmen zu attraktiven Zielen für Betrug mit falschen Identitäten.

Gefahr beim Ändern der Kontodaten

Ein neuralgischer Vorgang ist die Pflege der Bankdaten für Zahlungsempfänger, z.B. für Lieferanten. Die natürlicherweise vorhandene Aufmerksamkeit bei diesem Vorgang ist bei den Beteiligten aus zwei Gründen gering:

  • Die Pflege der Bankdaten ist entkoppelt vom Zahlungsvorgang. Während bei tatsächlichen Zahlungen in der Regel hohe Aufmerksamkeit herrscht, vor allem bei größeren Beträgen, geht es hier „nur“ um die Pflege von Stammdaten.
  • Insbesondere bei nicht-exotischen Banken kann die Meinung entstehen, dass bei einem Fehler das Geld ja nicht weg ist, sondern sich an einem definierten und vertrauenswürdigen Ort befindet und deshalb später festgestellte Fehler dann immer noch geklärt werden können.

Um diese Umstände auszunutzen, versendet ein Betrüger eine Mail, die so aussieht als würde sie beispielsweise von einem Lieferanten des Unternehmens stammen. Das kann er auf verschiedene Arten erreichen, z.B.:

  • Nutzung einer Mailadresse, die sich von der originalen Mailadresse des Lieferanten nur geringfügig unterscheidet, z.B.

    abc@beispiellieferant.com
    abc@beispielieferant.com

  • Nutzung einer Mailadresse, die optisch praktisch nicht vom Original zu unterscheiden ist. Das kann beispielsweise mit kyrillischen Zeichen erreicht werden:

    abc@beispiellieferant.com
    аbc@beispiellieferаnt.com – Hier sind die lateinischen „a“ durch kyrillische „a“ ersetzt worden, optisch kaum unterscheidbar (homographischer Angriff). Solche gemischten Domänen sollten schon lange nicht mehr möglich sein, jedoch werden immer wieder Lücken gefunden.

  • Nutzung eines gekaperten Mailkontos des Lieferanten (Business Email Compromise BEC). Vom Angreifer konnte ein echtes Mailkonto übernommen werden, das nun für die Kommunikation missbraucht wird.

Wenn es mit der Mail gelingt, die Änderung der Kontodaten ohne viel Aufsehen zu veranlassen, so gehen die weiteren Zahlungen auf das Konto der Kriminellen. Das wird erst dann bemerkt, wenn die L GmbH die erste Mahnung geschickt hat. Bis dahin haben die Täter das Geld über mehrere Stationen längst weiter transferiert, so dass die Spur nicht mehr verfolgbar ist.

Natürlich müssen die Täter ein paar Probleme lösen: Das neue Konto darf nicht zu exotisch sein, um kein Misstrauen zu erregen. Andererseits muss es bei Eröffnung eines Kontos in der EU einen bekannten und identifizierten Ansprechpartner geben. Offenbar sind diese Themen aber lösbar, insbesondere wenn Lieferanten ohnehin im Ausland sitzen. Das kann sehr gezielt angegangen werden, wenn in der Vorbereitung die falsche Identität eines Chefs (CEO Fraud) angenommen wird, um sich zunächst eine Liste aller Lieferanten und der Zahlungen der vergangenen Monate zusenden zu lassen. Auf Basis dieser Informationen können solche Lieferanten herausgesucht werden, an die regelmäßig hohe Zahlungen geleistet werden und bei denen gleichzeitig eine plausibel erscheinende Änderung auf ein für die Täter günstiges Konto machbar ist.

Nicht nur per Mail, auch über das Telefon

Mails lassen sich sehr leicht fälschen. Aber auch wenn die Bitte zur Änderung der Kontodaten per Telefon und von einer bekannten Stimme kommen sollte: Das ist keine Gewähr für die Echtheit. Mittels Deepfake-Technologien können existierende Stimmen genutzt werden, um sie neue Dinge sagen zu lassen. Es ist fraglich, ob es bereits möglich ist, damit Stimme und Sprache einer Person erfolgreich zu imitieren, mit der man in regelmäßigem Austausch steht. Wenn man mit der Person jedoch seltener in Kontakt ist und dazu noch eine Sprachbarriere kommt (z.B. Unterhaltung in Englisch, aber beide sind darin keine Muttersprachler), dann dürfte das vermutlich schon heute funktionieren.

Prävention

Was sind geeignete Maßnahmen, um solche Angriffe zu verhindern?

Bewusstsein schaffen

Der erste Schritt ist es, die Mitarbeiter über die Risiken elektronischer Kommunikation und falscher Identitäten aufzuklären und auf die konkreten Gefahren beim Ändern von Bankverbindungen hinweisen:

  • Alle Mitarbeiter in der Buchhaltung und verwandten Bereichen müssen wissen, dass sie aufgrund ihrer Rolle im Unternehmen und ihrer Möglichkeiten ganz besonders im Visier von Angreifern stehen. Vor diesem Hintergrund sollten sie beispielweise auch immer überdenken, was sie in sozialen Netzwerken über sich schreiben.
  • Deutlich machen: Das Ändern einer Kontoverbindung ist ein sehr heikler Vorgang, der höchste Aufmerksamkeit und größtes Misstrauen erfordert.
  • Regelmäßig wiederholen: In den seltensten Fällen ist es ausreichend, eine Sache nur einmal zu sagen. Stattdessen sollte immer wieder darauf hingewiesen werden.
  • Plakate aufhängen: Das Bewusstsein kann auch damit gestärkt werden, dass in den entsprechenden Büros oder Pausenräumen Poster aufgehängt werden, die an die Risiken erinnern.

Einen Prozess etablieren

Damit das Ändern einer Kontoverbindung einem geordneten und sicheren Ablauf folgt, sollte dieser Vorgang in einen Prozess mit genau definierten Schritten beschrieben werden.

Vorschlag für einen Prozess:

  • Vieraugenprinzip: Eine zweite Person muss den Vorgang begleiten und gegenprüfen.

  • Per Mail um Bestätigung bitten.

    Dabei nicht die Kontaktdaten aus der Mail nutzen, sondern die Kontaktdaten, die man schon in seinen eigenen Systemen (z.B. CRM) hinterlegt hat

  • Zusätzlich telefonisch um Bestätigung bitten

    - Da die Mailkonten gehackt sein könnten, zusätzlich telefonisch um eine Bestätigung bitten.
    - Auch hier die bereits vorhandenen Kontaktdaten nutzen
    - Die Rückfrage mit Datum/Uhrzeit und Ansprechpartner dokumentieren.

Der Prozess sollte schriftlich dokumentiert und geschult werden. Die Einweisung der Mitarbeiter ebenfalls dokumentieren und die Kenntnisnahme schriftlich bestätigen lassen.

Wirksamkeit testen

Mitarbeiter müssen sich heute jeden Tag mit den verschiedensten Themen auseinandersetzen. Daher besteht die Gefahr, dass eine nur theoretische Einweisung schnell wieder in Vergessenheit gerät. Um die Wirksamkeit der Maßnahmen zu überprüfen, aber auch eine sehr praktische Schulung zu geben, sollten heikle Vorgänge wie dieser in der Praxis getestet werden. Aber ein erstmalig negatives Ergebnis sollte für den Mitarbeiter keine negativen Konsequenzen haben, sondern zum Verinnerlichen des Prozesses dienen.

Vorschlag für ein Vorgehen:

  • Einen Lieferanten bitten, eine Änderung der Kontonummer zu veranlassen.

    Prüfen: Wird entsprechend des Prozesses gehandelt?

Bilder


Das Unternehmen „U KG“ bezieht Teile vom Lieferanten „L GmbH“ und leistet dafür Zahlungen


Die „L GmbH“ schickt eine Mail mit der Bitte, die Kontodaten zu ändern


Die weiteren Zahlungen fließen auf das neue Konto der L GmbH


Problematisch: Wenn die Mail nicht von L kam, sondern von einem Betrüger, der sich als „L GmbH“ ausgegeben hat.


Nun fließen die weiteren Zahlungen auf das Konto des Betrügers.

Du bist KMU?

Dann vernetze Dich mit uns!

Sind Sie Unternehmer, Geschäftsführer oder IT-Verantwortlicher (*) in einem kleinen oder mittelständischen Unternehmen? Dann schreiben Sie uns über Ihre Sorgen und Nöte im Bereich IT-Sicherheit, Compliance und Datenschutz. Ihr Feedback hilft, die passenden Inhalte bereitzustellen und Einfluss auf Anbieter von Produkten und Dienstleistungen zu nehmen.

Schreiben Sie uns eine Mail: Kontakt

(*) Wir meinen natürlich immer alle Geschlechter

Bert Kondruß
Senior Analyst

Hi, ich bin Bert, Gründer und Senior Analyst von KonBriefing.com. Seit meinem Uni-Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur bin ich seit über 30 Jahren in verschiedenen Fach- und Führungspositionen der IT tätig. Mein Fokus ist IT-Sicherheit und Compliance. Ich lebe in der Region Stuttgart.

Mein persönliches Anliegen ist Aufklärungsarbeit im Mittelstand. Kleine und mittlere Unternehmen (KMU) können Fragen der IT-Sicherheit oft nicht richtig einschätzen und haben nur kleine Budgets zur Verfügung. Dadurch entstehen unbemerkt Achillesfersen, durch die ein Unternehmen unerwartet in eine schwere Krise geraten kann. Dem lässt sich bereits mit einfachen Mitteln vorbeugen.

Findest Du die Vorlage für den IT-Notfallplan nützlich? Dann freue ich mich, wenn Du Dich mit mir bei LinkedIn oder Xing verbindest. Klicke auf die nachfolgenden Links …

LinkedIn Xing

* alle Namen fiktiv
** es sind immer alle Geschlechter gemeint