Die Betrugsversuche im Zahlungsverkehr nehmen zu. Investitionen in die IT-Sicherheit sind wichtig, reichen aber nicht aus. Denn bei dieser Form der organisierten Cyberkriminalität, auch „Social Engineering“ genannt, setzen Betrüger gezielt darauf, dass Einzel­personen ihnen in die Falle tappen. Unternehmen müssen ihre Mitarbeiter für die Tricks der Betrüger sensibilisieren. Nur wer ihre Tricks kennt, Wert auf eine gute IT-Infrastruktur und die Vertraulichkeit und Sicherheit von Daten legt, kann sich dauerhaft schützen.

Von Lothar Meenen, Head of Trade Finance und Cash Management, Corporates Deutschland, Deutsche Bank

Beitrag als PDF (Download)

„Bitte überweisen Sie dringend 3 Millionen Euro auf das nachfolgende Bankkonto. Es geht um eine wichtige M&A-Transaktion, deshalb ist absolute Diskretion notwendig.“ Eine E-Mail, die so oder so ähnlich formuliert ist, erhalten derzeit manche Treasury-Mitarbeiter. Die Zahlungsanweisung kommt vermeintlich vom Finanzvorstand oder gar dem CEO persönlich und sieht täuschend echt aus.Tatsächlich sind es aber Betrüger, die Geld erbeuten wollen und auf die Gutgläubigkeit der Empfänger setzen. Wird eine solche Zahlung ausgelöst und freigegeben, sind die Chancen, das Geld wiederzubekommen, gering. Nur wenn das Unternehmen seine Bank rasch informiert, kann die Transaktion ggf.  gestoppt werden.

Menschliche Schwächen als Ziel

Das Problem: Der Betrug findet innerhalb der Systeme des Unternehmens statt, die technischen Abwehrmechanismen der Partnerbank schlagen daher bei solchen Methoden nur selten Alarm. Banken haben zwar ihre Zahlungsverkehrssysteme in den vergangenen Jahren durch Investitionen in IT-Sicherheit und die Einführung neuer technischer Standards immer sicherer gemacht. Doch sie können nur einen Teil des Prozesses absichern. Daher setzen inzwischen die Betrüger vermehrt direkt bei den Firmenkunden an.

Investitionen in IT-Sicherheit und Datenschutz können auf Banken- wie auch auf Unternehmensseite deshalb nur ein Teil der Antwort sein. Ebenso wichtig ist die Schulung der Mitarbeiter, vor allem im Treasury. Sie sollten wissen, wie die Betrüger vorgehen. Die Attacken erfolgen oft dreistufig: Zunächst sammeln die Betrüger Daten über E-Mail- und Bankkonten. Das kann mit dem Versand von Phishing-Mails oder der Installation von Schadsoftware (Malware) erfolgen. Im nächsten Schritt analysieren sie die Unternehmenshierarchie sowie die Verhaltensweise einzelner Mitarbeiter. Das kann bis hin zum Schreibstil gehen, damit die Betrüger in den gefälschten E-Mails später den richtigen Ton treffen. Nachdem sie ermittelt haben, auf welches Konto die Zahlung gehen soll und auf welchen Mitarbeiter der Angriff am erfolgversprechendsten erscheint, schlagen sie zu. Die Beträge, um die es dabei geht, variieren stark: Von Beträgen im vierstelligen Bereich bis hin zu Millionensummen ist alles dabei.

Ergänzend zur E-Mail, nutzen die Betrüger gerne weitere Kommunikationskanäle, damit die Zahlungsanweisung möglichst realistisch erscheint. So gibt es Fälle, bei denen sich der vermeintliche CFO oder ein angeblicher Unternehmensberater per Telefon gemeldet hat. Auch per Fax oder Hauspost gehen zum Teil weitere Informationen ein.

Betrüger werden professioneller

Häufig üben die Betrüger dabei Druck auf weisungsgebundene Mitarbeiter aus, die Zahlung schnell und ohne weitere Rückfragen zu initiieren. Eine Variante, um die Echtheit der empfangenen E-Mail zu überprüfen, ist, die E-Mail-Adresse des Absenders genauer in Augenschein zu nehmen. Die Adressen sind oftmals nur leicht abgewandelt – so wird etwa aus einer .de- eine .com-Endung. Selbst die Richtigkeit der E-Mail-Adresse ist kein Garant für die Echtheit der E-Mail an sich. In einigen Fällen gelingt es den Betrügern, sich Zugang zum E-Mail-Konto des Betroffenen zu verschaffen und die betrügerische E-Mail direkt aus dessen Postkorb zu versenden. Im Zweifel sollte die Richtigkeit einer E-Mail also besser durch direkte telefonische Rücksprache mit dem Absender verifiziert werden.

Erstmals erschienen in: DerTreasurer, 1/2016

Kontakt: lothar.meenen@db.com

 

Aktuelle Beiträge

Cookie-Einwilligung mit Real Cookie Banner