Vertrauensschaden-Trends und -Versicherung: „Phishing-Mails waren für Kriminelle erst der Anfang“
Von Deep Fakes über Phishing-Mails bis zu Zahlungsbetrug: Im Interview sprechen Rüdiger Kirsch von Allianz Trade und Funk-Expertin Alexandra Köttgen über Schadentrends in der Vertrauensschaden-Versicherung – und zeigen, wie Unternehmen sich schützen können.
Wie haben sich die Schadenzahlen im Bereich Vertrauensschaden in den letzten Jahren entwickelt?
Rüdiger Kirsch: Es mag vielleicht überraschen, aber nach wie vor verursachen interne Täter*innen, also Mitarbeitende aus dem eigenen Unternehmen, die meisten Vertrauensschäden – rund 60 %. Vorfälle durch Dritte nehmen allerdings zu. Durch Täuschungsdelikte im Kontext von Social Engineering sind seit 2014 beispielsweise Schäden in Höhe von etwa 225 Millionen Euro entstanden.
Welche Schäden kommen aktuell besonders häufig vor? Gab es hier in den letzten Jahren merkliche Veränderungen in der Vorgehensweise der Täter*innen?
Alexandra Köttgen: Bei Schadenfällen durch eigene Mitarbeitende sehen wir keine Veränderungen. Hier sind weiterhin z. B. Untreue oder Diebstahl an der Tagesordnung. Kommen Dritte ins Spiel, sieht die Lage schon anders aus. In 2016 und 2017 hat die Fake-President-Masche noch für viele Großschäden gesorgt. Diese Fälle gehen bei unseren Funk-Kunden jetzt zurück, stark zugenommen hat jedoch der Besteller- und Zahlungsbetrug. Dabei werden Waren und Gelder durch manipulierte E-Mails und Rechnungen umgeleitet.
Kirsch: Die Zahl solcher Schadenfälle ist bei uns zuletzt deutlich angestiegen, beim Bestellerbetrug um 25 %, beim Zahlungsbetrug sogar um 35 %. Grund dafür ist auch die seit 2020 stark veränderte Arbeitswelt. Im Home-Office ist man öfter abgelenkt, und es wird weniger mit dem Team kommuniziert. Darauf haben sich Kriminelle im Bereich Vertrauensschaden schnell eingestellt – auch bei den Schadensummen. Um keinen Verdacht zu erregen, sind diese beim Besteller- und Zahlungsbetrug meist niedriger als z. B. bei Fake-President-Fällen. Der Trend geht aber auch hier merklich nach oben.
Alexandra Köttgen ist Juristin und stellvertretende Leitung des Bereichs Digital Risks bei Funk. Ihr Fokus: die Cyber- und Vertrauensschaden-Versicherung sowie ergänzende Cyber-Dienstleistungen.
Rüdiger Kirsch ist als selbstständiger Rechtsanwalt sowie als Global Fidelity Experte beim Kreditversicherer Allianz Trade (früher Euler Hermes) tätig. Sein Schwerpunkt: Versicherungsrecht.
Gibt es aktuell neue Vertrauensschaden-Trends, die Sie beobachten?
Kirsch: Ja, es gibt immer wieder neue, kreative Maschen. Phishing-Mails waren für Kriminelle erst der Anfang. Neben Betrugsversuchen per Whatsapp-Sprachnachricht traten zuletzt auch vermehrt falsche IT-Security- oder Bankmitarbeitende in Erscheinung. Ansonsten entwickelt sich vor allem die Technologie der Deep Fakes rasant weiter. Das sind manipulierte Bild- und Audioinhalte, die mittels künstlicher Intelligenz verfälscht werden. Noch sind Deep Fakes relativ aufwändig und rechnen sich für Betrüger*innen meistens nicht. Es ist aber wahrscheinlich nur noch eine Frage der Zeit, bis die Schadenfälle hier zunehmen – denn die Software für Deep Fakes kann man im Darknet bereits kaufen.
Köttgen: Wir hatten bereits einen Schadenfall in der Vertrauensschaden-Versicherung, bei dem die Stimme eines CEOs manipuliert wurde, um einen vermeintlichen sehr hohen Geldtransfer zu beauftragen. Das Problem ist, dass Unternehmen sich auf Deep Fakes noch nicht einstellen können. Es gibt noch keine Kontrollprozesse, wie etwa bei gefälschten Mails.
Welche Branchen und Unternehmensgrößen sind von Vertrauensschäden generell besonders betroffen?
Köttgen: Grundsätzlich kann ein Vertrauensschaden Unternehmen jeder Branche und Größe treffen. Bei großen Unternehmen sind die Schadensummen aber deutlich höher, wie unser Austausch mit Kunden und Versicherern zeigt.
Phishing kann jeden treffen, oder: Wie Google und Facebook auf einen Millionenbetrug hereinfielen
Ein Betrugsfall aus 2017 zeigt, dass auch die Tech-Expert*innen von Google und Facebook nicht vor Phishing gefeit sind. Der Täter: Evaldas Rimasauskas aus Litauen. Die Opfer: die Mitarbeitenden des Rechnungswesens. Die Masche: ziemlich simpel. Rimasauskas gründete in Litauen ein Fake-Unternehmen, das denselben Namen trug wie ein Elektronikhersteller aus Taiwan: Quanta Computer. Google und Facebook sind Kunden des echten Unternehmens – und schöpften daher keinen Verdacht, als sie über zwei Jahre Rechnungen im Gesamtwert von über 120 Millionen US-Dollar erhielten. Spätestens als das Geld auf eine Vielzahl verschiedener Konten überwiesen werden sollte, hätten die Alarmglocken schrillen müssen. Doch falsche Stempel und E-Mails reichten für den Betrug aus. 2019 wurde der Litauer geschnappt, aber der finanzielle Schaden bleibt – zusammen mit der Erkenntnis, dass Phishing wirklich jeden treffen kann.
Haben Sie konkrete Tipps, wie Unternehmen sich gegen Betrugsfälle schützen können?
Kirsch: Ein gesunder Menschenverstand, ein angemessenes Maß an Misstrauen, eine offene Unternehmens- und Fehlerkultur sowie die Sensibilisierung des Teams sind weiterhin das schärfste Schwert im Kampf gegen Betrugsfälle – sowohl bei internen als auch bei externen Täter*innen. Vor allem ein konsequentes Vier-Augen-Prinzip und regelmäßige interne Schulungen zu aktuellen Risiken und Betrugsmaschen sorgen dafür, dass Kriminelle weniger Chancen haben.
Worauf kommt es bei einem Schadeneintritt besonders an? Welche Maßnahmen haben sich bewährt?
Köttgen: Im Schadenfall sind zwei Dinge essenziell: schnelles Handeln, bestenfalls innerhalb von 24 Stunden, um Spuren zu sichern. Und die enge Zusammenarbeit mit Spezialisten, etwa IT-Forensikern. Besonders bei umgeleiteten Geldern haben wir hier schon gute Erfahrungen gemacht und stehen in engem Kontakt mit externen Expertise-Teams. Beim Betrug durch Mitarbeitende ist ein zielgerichtetes Vorgehen essenziell, um die Täterschaft und auch Schadenhöhe nachzuweisen.
Kirsch: Unternehmen sollten in jedem Fall ihren Versicherer kontaktieren und möglichst viele Informationen beweissicher festhalten. Erst dann folgen weitere Schritte, z. B. zivil- und strafrechtliche Maßnahmen.
Hör-Tipp: Funk-Podcast „läuft“
Mehr zu Vertrauensschaden-Versicherung, Deep Fakes und Co. erfahren Sie in unserer Podcastfolge mit den Funk-Expertinnen Alexandra Köttgen und Jennifer Reinert.
Jetzt reinhörenWie ist die aktuelle Marktlage im Bereich Vertrauensschaden-Versicherung?
Köttgen: Wie im Bereich Cyber nimmt auch in der Vertrauensschaden-Versicherung die Schadenfrequenz zu. Die Deckung rückt daher immer mehr ins Bewusstsein von Kunden und Versicherern. Es reicht nicht mehr aus, entweder eine Cyber- oder eine Vertrauensschaden-Versicherung abzuschließen. Denn beide Deckungen haben einen gänzlich unterschiedlichen Fokus und kommen bei verschiedenen Schadenszenarien zum Einsatz.
Kirsch: Um den eigenen Betrieb und vor allem auch CEOs und Geschäftsführung abzusichern, benötigen Unternehmen daher drei Deckungen: zum einen die Directors & Officers-Versicherung, kurz D&O. Und zum anderen sowohl eine Cyber- als auch eine Vertrauensschaden-Versicherung. Nur diese Kombination berücksichtigt alle wesentlichen Risikoszenarien und bietet im Schadenfall entsprechende Maßnahmen zur Unterstützung.
Welche Anforderungen müssen Unternehmen derzeit erfüllen, um im Bereich Vertrauensschaden einen ausreichenden Versicherungsschutz zu erhalten?
Kirsch: Die Bedeutung der IT-Infrastruktur ist in den letzten Jahren definitiv gewachsen. Ansonsten schauen wir bei der Vertrauensschaden-Versicherung vor allem auf die Unternehmensorganisation, also Größe, Struktur und Internationalität. Auch Compliance-Richtlinien und deren Einhaltung spielen eine Rolle.
Köttgen: Generell sehen wir, dass die Risikoprüfung der Versicherer auch im Bereich Vertrauensschaden zunehmend kritischer wird, vor allem bezüglich interner Kontrollsysteme und der Social-Engineering-Strategie. Funk unterstützt Kunden hier mit vielfältigen Dienstleistungen: Diese reichen von Schulungen für Mitarbeitende über die Analyse der IT-Security bis zu konkreten Empfehlungen zu deren Verbesserung – und somit zur Sicherstellung des Versicherungsschutzes.
7. Juli 2022
Ihr Kontakt
