Wenn Zahlungsströme umgeleitet werden

14.09.2016 - Die Digitalisierung verändert Märkte, Prozesse und Arbeitsweisen weltweit. Doch was den Datentransfer schnell und die Kommunikation einfach und komfortabel macht, öffnet auch Einfallstore für Missbrauch.

Es ist eine einträgliche Masche: Hacker knacken die EDV einer Firma und schauen sich Mitarbeiterstruktur und Kommunikationswege genau an. Dann senden sie, etwa im Namen des Chefs, eine E-Mail an den für Überweisungen zuständigen Mitarbeiter. Ihm wird vorgespielt, dass dringend mehrere Millionen Euro auf ein Auslandskonto überwiesen werden müssen. Als Grund für die hohe Summe nennt der falsche Chef zum Beispiel ein Forschungsprojekt oder eine Firmenübernahme. Daher muss die Transaktion auch geheim bleiben. Dem Mitarbeiter fällt der Betrug nicht auf, weil die Gründe plausibel erscheinen und die Betrüger den „Chef“ perfekt imitieren. Im guten Glauben, im Auftrag der Firmenleitung zu handeln, veranlasst die Buchhaltung die Transaktion auf das angegebene Konto. Doch wenn das Geld dort ankommt, ist es unwiederbringlich verloren.

 

Hacker verursachen enorme Schäden

Ein Einzelfall? Weit gefehlt, aktuell gibt es immer mehr solcher Attacken: So bringen falsche Lieferanten die Buchhaltung dazu, Kontodaten zu ändern, sodass die Betrüger die Zahlungen erhalten. Oder die Hacker geben sich als langjähriger Kunde aus und verursachen enorme Vermögensschäden, indem sie große Bestellungen werthaltiger Materialien oder Rohstoffe ordern. „Betroffene Mitarbeiter haben kaum eine Chance: Die Anfrage klingt völlig normal, der Absender ist bekannt, die Adresse stimmt, auch sonst wirkt alles wie bei einem gewöhnlichen, echten Auftrag. Und wer prüft schon in der täglichen Routine jeden Einzelfall, noch dazu, wenn er von den bekannten Abläufen nicht abweicht?“, so Eva Joerden, Vertrauensschadenspezialistin bei Funk. Wie Unternehmen sich schützen können Neben einer verletzlichen IT sind standardisierte Abläufe das größte Problem, so Joerden: „Es wird schnell und effektiv gearbeitet und nur selten beim Vorgesetzten oder Kunden nachgefragt.“ Der erste wirksame Schritt, um das Risiko zu mindern, ist daher das Vier-Augen-Prinzip. Es schadet auch nie, Rücksprache mit der Hausbank zu halten: „Vereinbaren Sie einen Rückruf, wenn die Summe oder das Empfängerkonto ungewöhnlich erscheinen. Besser einmal nachgefragt, als einen Verlust in Millionenhöhe erlitten“, warnt die Expertin. Denn das Geld ist weg; die Betrüger arbeiten akribisch: „Das sind keine beschirmmützten Teenager, sondern professionelle Hacker: Sie wissen genau um die Kapitaldecke des Unternehmens, kennen die Bestellvorgänge und welche Summen da bewegt werden. Ist der Coup gelungen, verschwinden die falschen Konten, Telefonanschlüsse und Ansprechpartner ohne jede Spur.“ „Und wer prüft schon in der täglichen Routine jeden Einzelfall, noch dazu, wenn er von den bekannten Abläufen nicht abweicht?“ Betroffen sind vor allem international agierende Firmen. Hier sind die Kommunikationswege lang und die Abstimmungshürden, oft auch durch Sprachbarrieren, eher hoch.

 

Auch mittelständische Unternehmen sind betroffen

Doch auch kleine und mittelständische Unternehmen in Deutschland sind vor Hacker-Angriffen nicht gefeit: Laut einer Studie war bereits jeder fünfte Mittelständler schon einmal von Cyber-Attacken betroffen. Gerade mittelgroße Unternehmen geraten mehr und mehr ins Visier der Cyber-Kriminellen, schöpfen aber oft nicht alle Sicherheitsvorkehrungen aus. Versicherungslösungen gegen Wirtschafts- und Cyberkriminalität, etwa eine Vertrauensschaden-Versicherung, wie sie auch im oben geschilderten Fall greifen würde, gelten vielfach als Luxus. Dabei ist die Vertrauensschaden-Versicherung mehr als nur eine sinnvolle Ergänzung der bestehenden Betriebs-Versicherungen, um das Risiko für das Firmenvermögen zu minimieren. Eine Vertrauensschaden-Versicherung schützt dabei neben den genannten Cyber-Risiken auch gegen Bedrohungslagen der Binnenkriminalität, also Vermögensschäden aufgrund von Diebstahl aus einem Tresor, Veruntreuung und Betrug, die von Betriebsangehörigen oder anderen Vertrauten des Unternehmens begangen werden. Damit ist sichergestellt, dass das Unternehmen liquide bleibt und nicht, im Zusammenhang mit Aufsichts- und Kontrollverschulden, eventuell Regressansprüche des Unternehmens gegen die eigenen Mitarbeiter gestellt werden. Der Ausgleich bleibt so auf der Unternehmensebene.


Ihre Expertin: Eva Joerden


Ihr Ansprechpartner

Eva Joerden

+49 40 35914-0





Empfehlen