Betrüger nutzen eine Reihe von Methoden, um Unternehmen und andere Organisationen mit falschen Identitäten zu betrügen und um große Summen zu schädigen. Die nachfolgende Übersicht dokumentiert verschiedene Varianten und erläutert Vorgehensweisen.

Relevant für:
Unternehmer, Geschäftsführer, Prozess-Verantwortliche

Themen:
Betrug mit falschen Identitäten

Überweisung von Geld durch Unternehmen

Betrüger schlüpfen in die Identität des Geschäftsführers und verleiten damit einen Angestellten aus der Buchhaltung, hohe Geldbeträge auf Konten der Betrüger zu überweisen. Als Legende wird oft eine wichtige und streng vertraulich zu behandelnde Transaktion wie die Akquisition eines anderen Unternehmens aufgebaut. Dies begünstigt den Betrug auf mehrere Arten: Bei solchen Transaktionen geht es auch in realen Fällen um große Summen. Es schmeichelt dem Angestellten, dass er in eine so wichtige Transaktion eingebunden ist, was seine Kooperation fördern dürfte. Und die zu wahrende Vertraulichkeit schafft für den Angestellten eine Hürde bei der Klärung, ob der Sachverhalt korrekt ist, da er laut Anweisung des „Chefs“ niemanden im Unternehmen einweihen darf.

Um den notwendigen Kontext zu schaffen, werden Unternehmen und Mitarbeiter im Vorfeld ausführlich ausgeforscht. Dazu werden vielfältige Quellen genutzt, z.B. öffentlich zugängliche Unternehmensinformationen und Beiträge in sozialen Medien. Nutzbringende Informationen können aber auch mit gezielten vorbereitenden Aktionen beschafft werden, bei denen Social Engineering oder ebenfalls die Chef-Masche genutzt wird, jedoch noch ohne die Warnschwelle eines Geldtransfers zu überschreiten. Dabei könnten sich Betrüger beispielsweise unter der Identität des Chefs Informationen über vergangene Zahlungen zusenden lassen, um typische Empfänger, Beträge und Verwendungszwecke kennenzulernen. Besonders ergiebig dürften Informationen aus vorherigen Cyber-Angriffen sein, bei denen man aus Mails sehr viel über aktuelle Vorgänge, Prozesse, Umgangston uvm. lernen kann, um dann ausgestattet mit viel internem Wissen die Chef-Rolle perfekt annehmen zu können.

Unternehmen:

In Deutschland, Österreich und der Schweiz dürften hauptsächlich mittlere Unternehmen für diese Art von Betrug anfällig sein. Einerseits müssen sie so groß sein, dass sich die relevanten Rollen nicht kennen bzw. nicht permanent in Kontakt stehen. Auf der anderen Seite dürfen die Prozesse noch nicht so bürokratisch wie in Großkonzernen sein.

Begünstigend dürften sich stark hierarchische bzw. patriarchalisch Unternehmenskulturen auswirken, in denen Vorgänge und Entscheidungen den Mitarbeitern nicht erläutert werden. Somit sind es die Mitarbeiter gewohnt, Dinge zu tun, die für sie nicht nachvollziehbar sind und können so die Plausibilität von betrügerischen Anweisungen viel schwerer beurteilen.

Große Unternehmen haben in der Regel strikte interne Controls, um Betrug zu verhindern. Daraus resultieren Prozesse, die bürokratisch erscheinen, aber hier den positiven Effekt haben, dass überstürzte Überweisungen durch eine einzelne Person selten vorkommen dürften. Außerdem gehen Mitarbeiter lieber auf „Nummer Sicher“ und müssen aufgrund der Strukturen in großen Unternehmen weniger Konsequenzen fürchten, auch wenn sie gegenüber Autoritäten auf die Einhaltung von Prozessen bestehen.

Bei kleinen Unternehmen ist dagegen das relevante Team so klein und steht fortlaufend in so engem Kontakt, dass es kaum möglich ist, einer einzelnen Person eine andere firmeninterne Identität vorzuspielen.

Ein interessantes Ziel dürften auch ausländische Niederlassungen von Unternehmen jeder Größe sein. Zur räumlichen Entfernung kommt hier die kulturelle Distanz hinzu, die die Wirkung von Autoritäten begünstigen kann und Rückfragen verhindert.

Merkmale:

Als Legende wird oft eine streng vertrauliche zu haltende Transaktion verwendet
→ Hürde bei der Klärung der Richtigkeit

Als Legende wird eine wichtige Transaktion verwendet
→ Der Mitarbeiter fühlt sich durch seine Beteiligung aufgewertet, was ihn zur Zusammenarbeit motiviert

Vorgeblich ist das oberste Management involviert
→ Autorität, um Zweifel und Widerspruch zu unterdrücken

Echter Chef und ausführender Angestellter kennen sich nicht bzw. stehen nicht in ständigem Austausch
→ keine natürliche Plausibilitätsprüfung sowie Hürde bei der Klärung der Richtigkeit

Möglicherweise wurde gezielt ein Zeitpunkt ausgewählt, zu dem der echte Chef abwesend ist
→ Hürde bei der Klärung der Richtigkeit

Es wird Zeitdruck aufgebaut, eventuell verbunden mit vielen Mails oder Telefonaten.
→ Hürde bei der Klärung der Richtigkeit und hoher psychischer Druck, der Fehler begünstigt

Vor der Aufforderung zur Überweisung von Geld wird eventuell ein Vorab-Kontakt geführt, bei dem Informationen abgefragt werden. Diese Informationen können sich auf die darauf folgende Tat beziehen, wie zum Beispiel Kontostände oder die maximale Höhe von Überweisungen.
→ Gewinnung von Informationen und Aufbau von Vertrauen

Es werden nachfolgende Anrufe, Mails und andere Nachrichten angekündigt, die auch so eintreffen
→ Aufbau von Vertrauen durch die bloße Zahl von Kontakten und durch eintretende Vorhersagen

Das Geld soll auf Konten in Ländern überwiesen werden, die ein schwaches Rechts- bzw. Bankensystem haben
→ Die Verfolgung des weiteren Wegs des Geldes ist erschwert oder unmöglich

Prävention und Abwehr:

Regelmäßige Awareness-Schulungen für alle Mitarbeiter

Spezifische Schulungen für Mitarbeiter, die aufgrund ihrer Rolle im Unternehmen einem besonders hohen Risiko ausgesetzt sind, von Betrügern angegangen zu werden.

Maßnahmen zur Absicherung von Zahlungsprozessen, z.B. Vieraugenprinzip, Tageslimits, Absprachen mit der Bank.

Eine Kultur schaffen, die zu eigenem Denken und zu Rückfragen ermutigt.

Auf Abweichungen bei der eMail-Adresse des Absenders achten. Manchmal werden Domänen verwendet, die der echten Domäne täuschend ähnlich sind. Manchmal werden aber auch kompromittierte eMail-Konten verwendet, so dass eine korrekte eMail-Adresse alleine kein Beweis für die Echtheit der Chef-Anweisung ist.

Auf ungewöhnliche Formulierungen und Details (Anrede, interne Bezeichnungen u.ä.) in Mails und anderen Nachrichten achten.

Mit sog. Deep Fakes ist es möglich, die Stimme einer existierenden Person neue Dinge sagen zu lassen. Damit können falsche Anweisungen auch „mündlich“ gegeben werden, z.B. in Form von Sprachmemos und sogar in Telefonaten. Das dürfte vor allem dann funktionieren, wenn die betroffenen Personen nur sporadisch in Kontakt stehen und es durch unterschiedliche Muttersprachen ohnehin schon eine Sprachbarriere gibt, so dass undeutliche Aussprache oder Stockungen nicht weiter auffallen. Das trifft z.B. auf ausländische Niederlassungen eines Unternehmens zu. Daher in der Prävention deutlich machen, dass ein Anruf alleine kein Beweis für die Echtheit ist.

Immer Rückfrage beim tatsächlichen Chef halten

Für Rückfragen einen anderen Kommunikationskanal verwenden, z.B. telefonisch über bekannte und bereits genutzte Telefonnummern (nicht Telefonnummern aus der Mail). Bei Mails ist zu beachten, dass das echte Mailkonto von den Tätern übernommen sein könnte.

Regelmäßige Tests der betroffenen Prozesse und Mitarbeiter durch externe Dienstleisters.

Nach Cyber-Angriffen und Datenschutz-Vorfällen: Besondere Sensibilisierung auf sich daraus ergebende Betrugsmöglichkeiten. Cyber-Angriffe sind in der Regel auch mit der Offenbarung von personenbezogenen Daten, Internas und sonstigen vertraulichen Informationen verbunden, wodurch sich eine Vielzahl von weiteren Angriffsmöglichkeiten ergibt. Die Täter können diese Informationen als Erpressungsmaßnahme veröffentlichen oder selbst ausnutzen oder an Dritte verkaufen. Die sich daraus ergebenden Möglichkeiten sollten analysiert und mit den Beteiligten besprochen werden.

Variante: Überweisung von Geld durch Organisationen

Offenbar sind nicht nur Unternehmen betroffen, sondern auch andere Organisationen, die wirtschaftlich handeln. Insbesondere bei Vereinen und ehrenamtlichen Organisationen kann vermutet werden, dass die Akteure nicht täglich miteinander in Kontakt stehen und dass Prozesse wie Überweisungen weniger strikt geregelt sind. Damit könnten Angriffe eine gewisse Chance auf Erfolg haben, wobei die erzielbaren Summen sicher geringer als in Unternehmen sind.

Betrügerisches Ändern der Bankverbindung

Betrüger nehmen die Identität eines Lieferanten oder eines anderen regelmäßigen Zahlungsempfängers an und veranlassen das Unternehmen, eine neue Bankverbindung in den Systemen zu hinterlegen. Bei der nächsten Zahlung wird dann das Geld nicht mehr auf das Konto des Lieferanten überwiesen, sondern auf das Konto der Betrüger.

Merkmale:

Es wird eine Mail oder eine andere Nachricht empfangen, in der im Namen eines Lieferanten oder anderen regelmäßigen Zahlungsempfängers um die Änderung der Kontoverbindung gebeten wird.

Beim bloßen Ändern einer Bankverbindung fließt noch kein Geld vom Unternehmen ab, daher wird dieser Vorgang u.U. als nicht so kritisch wahrgenommen wie das tatsächliche Überweisen von Geldern. Durch diese Entkopplung ist die Aufmerksamkeit bei den beteiligten Mitarbeitern geringer, es geht ja vorgeblich „nur“ um Stammdatenpflege.

Der falschen Anweisung zur Änderung der Bankverbindung kann eine Abfrage vergangener Rechnungsdaten vorausgehen. Die Betrüger versuchen dabei, die Identität eines Managers des Unternehmens anzunehmen und in dieser Rolle beispielsweise bei der Buchhaltung alle Zahlungen der vergangenen 6 Monate an Lieferanten abzufragen. Damit identifizieren sie Zahlungsempfänger, an die regelmäßig hohe Beträge überwiesen werden und bekommen somit eine Übersicht zu lukrativen Zielen.

Manchmal soll das Geld auf Konten in Ländern überwiesen werden, die ein schwaches Rechts- bzw. Bankensystem haben
→ Die Verfolgung des weiteren Wegs des Geldes ist erschwert oder unmöglich

Manchmal ist das Ziel aber auch ein Konto bei einer Bank innerhalb der EU. Hier wird ausgenutzt, dass der eigentliche Zahlungsempfänger (z.B. der Lieferant) erst nach einer gewissen Zeit die ausstehende Zahlung anmahnt. In der Zeitspanne zwischen Überweisung und Mahnung wurde das Geld bereits weiter überwiesen, so dass auch hier die Verfolgung erschwert oder unmöglich ist.

Prävention und Abwehr:

Regelmäßige Awareness-Schulungen für alle Mitarbeiter

Spezifische Schulungen für Mitarbeiter, die aufgrund ihrer Rolle im Unternehmen einem besonders hohen Risiko ausgesetzt sind, von Betrügern angegangen zu werden.

Schaffen eines definierten Prozesses zur Änderung von Kontodaten, der das Vieraugenprinzip umfasst.

Sofern möglich, den Prozess in der Buchhaltungssoftware verankern oder zumindest mit textuellen Hinweisen daran in erinnern.

Eine Kultur schaffen, die zu eigenem Denken und zu Rückfragen ermutigt.

Auf Abweichungen bei der eMail-Adresse des Absenders achten. Manchmal werden Domänen verwendet, die der echten Domäne täuschend ähnlich sind. Manchmal werden aber auch kompromittierte eMail-Konten verwendet, so dass eine korrekte eMail-Adresse alleine kein Beweis für die Echtheit der Chef-Anweisung ist.

Auf ungewöhnliche Formulierungen und Details (Anrede, interne Bezeichnungen u.ä.) in Mails und anderen Nachrichten achten.

Auch hier können sog. Deep Fakes genutzt werden, um die Stimme einer existierenden Person neue Dinge sagen zu lassen. Damit kann die Anwendung zur Änderung einer Bankverbindung auch mündlich kommen, was alleine jedoch kein Beweis für die Echtheit ist, selbst wenn die Stimme der Person vertraut klingt.

Immer Rückfrage beim Lieferanten halten.

Für Rückfragen einen anderen Kommunikationskanal verwenden, z.B. telefonisch über bekannte und bereits genutzte Telefonnummern (nicht Telefonnummern aus der Mail)

Regelmäßige Tests der betroffenen Prozesse und Mitarbeiter durch externe Dienstleister, ggf. unter Einbeziehung eines Lieferanten, der testweise eine solche Mail an die Buchhaltung schickt.

Siehe auch:
Betrügerisches Ändern der Bankverbindung

Der Mega-Deal

Betrüger treten in der Identität eines renommierten Unternehmens als Interessent auf. Sie bestellen Waren in einem sehr hohen Wert, die an eine abgesetzte Adresse geliefert werden sollen. Dort haben die Betrüger temporär eine „Niederlassung“ eingerichtet, um die Lieferung in Empfang zu nehmen. Die Güter werden dann als „neu“ oder als Schrott weiterverkauft. Wenn später bei Erreichen des Zahlungsziels kein Geld eingegangen ist und erste Nachforschungen angestellt werden, sind die Spuren bereits verwischt.

Merkmale (es treffen eventuell nur einige zu):

Bekanntes und kreditwürdiges Unternehmen, das als Neukunde auftritt.

Das Unternehmen kommt vorzugsweise aus dem Ausland, um dahinter kleine Unstimmigkeiten, schlechte Erreichbarkeit u.ä. verbergen zu können.

Es geht um einen für das Ziel-Unternehmen sehr großen Auftrag. Die damit einhergehende Verlockung kann dazu führen, dass Entscheidungsträger nicht mehr nüchtern über den Auftrag denken und auf eigentlich angezeigte Plausibilitätsprüfungen verzichten.

Genauso kann ein Gefälle in Größe und Bedeutung der beiden Unternehmen für den Betrug förderlich sein. Wenn das als Kunde auftretende Unternehmen viel größer und bekannter ist, wird man ihm u.U. mit mehr Respekt begegnen und Unstimmigkeiten weniger hinterfragen, um den Deal nicht zu gefährden.

Der oberste Chef des „Neukunden“ ist persönlich in die Sache involviert. Auch das verschafft den Betrügern Respekt und reduziert Rückfragen zu Details und Unstimmigkeiten, denn das Ziel-Unternehmen möchte sich in dieser Konstellation vermutlich eher nicht kleinlich zeigen, sondern sich als Macher empfehlen.

Telefonnummern und Mail-Adressen stimmen nicht mit den offiziellen Angaben überein.

Die Internet-Domäne für die Mail-Adresse wurde erst kürzlich registriert.

Es kann jedoch auch sein, dass eine echte E-Mail-Adresse verwendet wird – wenn dieses von den Betrügern übernommen werden konnte.

Die Lieferung soll an einen anderen Standort erfolgen.

Prävention und Abwehr

Regelmäßige Awareness-Schulungen für alle Mitarbeiter

Spezifische Schulungen für Mitarbeiter, die aufgrund ihrer Rolle im Unternehmen einem besonders hohen Risiko ausgesetzt sind, von Betrügern angegangen zu werden.

Schaffen eines definierten Prozesses zur Prüfung und Aufnahme von Neukunden.

Überprüfen der Telefonnummern und Mailadressen der Anfrage bzw. Bestellung.

Nachfragen beim anfragenden Unternehmen unter Nutzung von Kommunikationskanälen, die auf der offiziellen Homepage des Unternehmens zu finden sind.

Regelmäßige Tests der betroffenen Prozesse und Mitarbeiter durch externe Dienstleister, z.B. durch Versenden von fiktiven Neukunden-Anfragen an den eigenen Vertrieb.

Business email compromise (BEC)

Hinter diesem Begriff verbirgt sich der unerlaubte Zugriff auf ein Unternehmens-Mail-Konto oder sogar dessen komplette Übernahme durch Betrüger. Zwar entsteht dadurch in der Regel kein unmittelbarer materieller Schaden. Jedoch ergeben sich vielfältige Betrugs-Möglichkeiten, da in der Identität des legitimen Nutzers gehandelt werden kann, für den Empfänger „bewiesen“ durch die Korrektheit der E-Mail-Adresse.

Die oben genannten Szenarien werden durch das Kapern eines echten Mail-Kontos deutlich erleichtert. Darüber hinaus gibt es weitere kriminelle Handlungen, die einfacher werden. So können Verschlüsselungstrojaner und Spionagesoftware in andere Unternehmen getragen werden, wenn die Täter Zugriff auf ein Mail-Konto haben und sich in eine reguläre Kommunikation einklinken können, um so präparierte Schadsoftware versteckt in Office-Dokumenten zu verteilen. Da die Mail nun im Rahmen eines legitimen Geschäftsvorfalls empfangen wird, wird man dem Dokument mit weniger Misstrauen begegnen und man dürfte unvorsichtiger sein als bei unaufgefordert zugeschickten Nachrichten.

Deshalb sollte man bei der Beurteilung von Situationen auch immer damit rechnen, dass ein E-Mail-Konto gehackt wurde und missbraucht wird. Im Zweifelsfall lieber einmal zu viel nachfragen als nachher ein großes Problem zu haben.

Prävention und Abwehr:

Regelmäßige Awareness-Schulungen für alle Mitarbeiter

Immer Vorsicht vor Office-Makros, auch bei Dokumenten von bekannten Empfängern.

Auf ungewöhnliche Formulierungen und andere Details achten (Anrede, interne Bezeichnungen u.ä.).

Sich bei heiklen Geschäftsvorfällen auf anderen Kanälen rückversichern.

Eigene Mail-Konten mit Multi-Faktor-Authentifizierung schützen.

Regelmäßige Tests der betroffenen Prozesse und Mitarbeiter durch externe Dienstleister.

Weitere Informationen

Follow the money
Studie von BAE Systems Applied Intelligence aus dem Jahr 2020 zu Methoden der Geldwäsche nach Cyber-Angriffen. Wie werden Konten eröffnet, Gelder abgehoben usw. Englisch, 28 Seiten
https://www.swift.com/sites/default/files/files/swift_bae_report_Follow-The%20Money.pdf

Bert Kondruß
Senior Analyst

Hi, ich bin Bert, Gründer und Senior Analyst von KonBriefing.com. Seit meinem Uni-Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur bin ich seit über 30 Jahren in verschiedenen Fach- und Führungspositionen der IT tätig. Mein Fokus ist IT-Sicherheit und Compliance. Ich lebe in der Region Stuttgart.

Mein persönliches Anliegen ist Aufklärungsarbeit im Mittelstand. Kleine und mittlere Unternehmen (KMU) können Fragen der IT-Sicherheit oft nicht richtig einschätzen und haben nur kleine Budgets zur Verfügung. Dadurch entstehen unbemerkt Achillesfersen, durch die ein Unternehmen unerwartet in eine schwere Krise geraten kann. Dem lässt sich bereits mit einfachen Mitteln vorbeugen.

Findest Du die Vorlage für den IT-Notfallplan nützlich? Dann freue ich mich, wenn Du Dich mit mir bei LinkedIn oder Xing verbindest. Klicke auf die nachfolgenden Links …

LinkedIn Xing