Düsseldorf Die Sache verlangt höchste Vertraulichkeit, daran lässt die E-Mail keinen Zweifel. „Zurzeit bereiten wir eine Übernahme vor“, lässt der Chef die Mitarbeiterin ohne lange Einleitung wissen. Niemand werde darüber informiert, selbst im eigenen Haus nicht. Nur die Frau wird eingeweiht – sie soll die Zahlung vorbereiten: „Aufgrund ihrer Diskretion und bisher einwandfreien Arbeit möchte ich Ihnen die Verantwortung über das Projekt übertragen“, schmeichelt ihr der Vorgesetzte.
E-Mails wie diese gehen in vielen deutschen Unternehmen ein. Dahinter verbergen sich jedoch nicht Familienpatriarchen und Vorstände: Immer öfter versuche Kriminelle, Mitarbeiter in der Buchhaltung oder dem Rechnungswesen dazu zu bewegen, Geld auf ein Konto im Ausland zu überweisen – etwa wegen einer angeblichen Übernahme oder Fusion. Experten bezeichnen diese Betrugsmasche meist als „CEO Fraud“, auf Deutsch Chefbetrug. Der wohl bekannteste Fall: Der Autozulieferer Leoni machte vor einem Jahr einen Schaden von 40 Millionen Euro publik.
Konkrete Zahlen zum Ausmaß des Problems gibt es nicht. „Das Phänomen hat in den letzten Jahren stark zugenommen“, beobachtet aber Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch Praktiker berichten in Gesprächen mit dem Handelsblatt, dass ihre Firmen es mit immer mehr und immer bessere Betrugsversuchen zu tun bekommen. So zählen die Sicherheitschefs zweier deutscher Konzerne mit mehr als 10.000 Mitarbeitern durchschnittlich zwei professionelle Versuche pro Monat – und deutlich mehr laienhafte.
Viele Unternehmen sind darauf nicht vorbereitet. Das zeigt sich etwa daran, dass allein die Staatsanwaltschaft Köln mit ihrer Zentral- und Ansprechstelle Cybercrime (ZAC) derzeit in 158 Verfahren ermittelt, bei denen Schäden in Höhe von 56 Millionen Euro anfielen. Hätten die Banken nicht etliche Transaktionen stoppen können, wären bis zu 150 Millionen Euro abgeflossen. Im schlimmsten Fall ist die Existenz einer Firma bedroht. Dabei ist es durchaus möglich, sich dagegen zu schützen, wie Schönbohm betont: „Es gibt gute und wirksame Gegenmaßnahmen.“
Wie die Chefmasche funktioniert, und was dagegen hilft: Die beiden Sicherheitschefs geben dem Handelsblatt Einblicke. Da sie die Täter nicht provozieren wollen, wollen sie die Namen ihrer Arbeitgeber nicht öffentlich nennen – der Einfachheit halber nennen wir sie Konzern Nord und Konzern Süd.
Schulungen gegen „Fehler 40“
Ein Auftrag des Chefs, der höchste Diskretion erfordert – es ist verständlich, wenn Mitarbeiter in einer solchen Situation nervös werden. Dabei wäre Besonnenheit besonders wichtig: Würde der Vorstand wirklich per E-Mail bitten, große Summen ins Ausland zu überweisen, ganz ohne interne Absprachen? „Wir bezeichnen das als Fehler 40“, sagt der Sicherheitschef eines deutschen Industriekonzerns: Die Fehlerquelle sitze 40 Zentimeter vor dem Bildschirm.
Die Sensibilisierung der Mitarbeiter sei daher der wichtigste Schutz und könne die meisten Betrugsversuche dieser Art abwehren. Der Konzern veranstaltet deswegen regelmäßig Schulungen für Buchhaltung und Finanzabteilung und verschickt gelegentlich selbst fingierte E-Mails, um die Reaktionen zu testen. Und er bläut den Buchhaltern ein, im Zweifel einmal mehr zu fragen als einmal weniger.
„Nur weil wir das Thema innerhalb des Konzerns gemeinsam mit den Mitarbeitern angehen, erkennen wir die meisten Betrugsversuche.“ Bisher konnte sein Team jegliche Schäden verhindern – in wenigen Fällen erst nach der Überweisung, aber noch rechtzeitig, um die Transaktion zu stoppen.
Mit diesen Maßnahmen ist der Konzern nicht allein. BSI-Präsident Schönbohm beobachtet, dass größere Firmen die Gefahr erkannt haben – kleinere jedoch häufig nicht. „Wir müssen auf unsere Familienunternehmen und die Hidden Champions aufpassen“, betont der Behördenchef. Und auf die haben es einige Betrüger offenbar abgesehen: Ermittler berichten, dass eine erste Welle sich im Südwesten der Republik ausbreitete, wo viele erfolgreiche Maschinenbauer ihren Sitz haben.
Insider-Informationen von Xing und LinkedIn
Zurückhaltung bei Xing & Co.
Die Betrüger haben es allerdings oft leicht. Denn die Unternehmen stellen teilweise detaillierte Informationen über ihre Organisationsstruktur ins Netz, zudem sind viele Mitarbeiter in sozialen Netzwerken wie Xing, Linkedin und Facebook aktiv – und verraten, womit sie sich bei der Arbeit und in der Freizeit beschäftigen. Das erleichtert „Social Engineering“, also zwischenmenschliche Manipulationen: Mit solchen Informationen können Kriminelle gezielt Mitarbeiter anschreiben und „Buzzwords“ fallen lassen, wie es der Sicherheitsbeauftragte eines Unternehmens formuliert.
„Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich sind“, warnt daher das Landeskriminalamt (LKA) Nordrhein-Westfalen in einer Broschüre über CEO Fraud. „Die Täter legen ihr Augenmerk insbesondere auf Angaben zu Geschäftspartnern und künftigen Investments.“
Auch die Aktivitäten der Mitarbeiter seien relevant: „Soziale Netzwerke, in denen Mitarbeiter ihre Funktion und Tätigkeit oder persönliche Details preisgeben, stellen ebenfalls eine wichtige Informationsquelle dar“, warnen die Ermittler. Insiderwissen können sich Täter häufig von außen beschaffen.
Interne Kontrolle
Konzern Süd wickelt jeden Tag tausende von Überweisungen ab, in vielen Fällen ohne lange Überprüfung. In der Branche gilt ein Prinzip: Trifft das Geld auf dem Konto ein, wird die Lieferung veranlasst. So lange dabei vertraute Kontodaten zum Einsatz kommen, sei das unkritisch, erklärt der Sicherheitschef – schließlich habe man darüber schon zahlreiche andere Geschäfte abgewickelt.
Seine Mitarbeiter wissen jedoch, wann sie genau hinsehen müssen. Das gilt zum einen, wenn ein Kunde oder Geschäftspartner die Kontodaten verändert. Denn hier ergeben sich Möglichkeiten für Betrügereien, etwa mit gefälschten E-Mails. „Unsere Leute sind angehalten, bei Kontoänderungen telefonisch nachzufragen“, lautet eine Regel. Zum anderen bekommen sie regelmäßig Schulungen über die gängigen Betrugsmaschen und sind im besten Fall gleich alarmiert. Wenn alles gut läuft, verfallen sie nicht in Panik, sondern melden sich beim Sicherheitsteam – und das stößt dann einen festgelegten Prozess an, unter anderem mit einer Strafanzeige.
Das BSI rät zu „guter Governance“, wie es Behördenchef Schönbohm ausdrückt. „Zahlungsprozesse können so angelegt werden, dass einzelne Person nicht ohne Weiteres hohe Summen ins Ausland überweisen können“, nennt er ein Beispiel. Das verhindert den Abfluss von Firmenmitteln nach China, wie es beim CEO Fraud oft passiert. Im besten Fall wirken Schulungen und Strukturen zusammen: Die Mitarbeiter sehen ungewöhnliche Anweisungen – und wissen, was sie dann zu tun haben.
Wie das konkret aussieht, zeigt eine Präsentation der Commerzbank für professionelle Kunden: „Identifizieren Sie risikobehaftete Prozesse und stellen Sie Kontrollen sicher“, heißt es darin. Und: „Halten Sie diese immer ein.“ So stelle sich die Frage, welche Mitarbeiter allein Zahlungen veranlassen können und welche dabei unlimitiert unterschreiben dürfen. Zudem müsse geklärt werden, ob „öffentlich bekannte Unterschriften“ für die Autorisierung bei der Bank hinterlegt seien – denn die können dreiste Täter aus dem Handelsregister kopieren.
Keine Angst vor der Polizei
Kontakte zu Behörden
Selbst wenn Kriminelle erhebliche Schäden anrichten, scheuen viele Unternehmen den Gang zu Polizei und Staatsanwaltschaft. „Dahinter steckt die Angst, dass die Behörden die Produktionsrechner beschlagnahmen“, schildert der Sicherheitschef des Industriebetriebs eine verbreitete Sorge. Eine weitere: Wenn die Ermittler genauer hinsehen und Mängel bei der IT-Sicherheit entdecken, machen sie womöglich das Unternehmen selbst für die Schäden verantwortlich. „Der Gang zur Staatsanwaltschaft“, sagt der Spezialist, „ist immer auch ein Risiko“.
Er selbst hat allerdings positive Erfahrungen gemacht: Die Staatsanwaltschaft in Köln mit ihrer Zentral- und Ansprechstelle Cybercrime, im Jahr 2014 eingerichtet, verstehe die Probleme. Die Cyberstaatsanwälte „kennen unsere Bedürfnisse und beschlagnahmen nicht gleich unsere Rechner“. Zudem verstehen sie die Materie und sprechen die gleiche Sprache wie die IT-Sicherheitsleute im Unternehmen.
Auch der Sicherheitschef des anderen Konzerns lobt die Zusammenarbeit. „Davor war es mitunter schwierig, einen geeigneten Ansprechpartner bei der richtigen Behörde zu finden“, sagt er. Wer in einem lokalen Polizeipräsidium anruft und etwas von „CEO Fraud“ erzählt, wird vermutlich Schwierigkeiten haben, einen verständigen Gesprächspartner zu finden. Neben Nordrhein-Westfalen haben auch andere Bundesländer Schwerpunktstaatsanwaltschaften für Cyberkriminalität eingerichtet.
Geschäftspartner schützen
Die großen Unternehmen schützen sich immer besser und machen es den kriminellen Banden schwer. Die suchen sich leichtere Opfer: „Wir beobachten seit etwa 18 Monaten, dass die Täter an unsere Kunden herantreten“, sagt der Sicherheitschef des Industriekonzerns. „Die großen Unternehmen bauen sich eine IT-Sicherheit auf, aber die kleinen Mittelständler sind angreifbar“, berichtet auch sein Kollege.
Typisch ist ein Fall, in dem eine kriminelle Gruppe in die IT-Systeme eines Unternehmens eindrang und dort manipulierte Rechnungen platzierte, auf denen eine Kontonummer im Ausland vermerkt war: Das Geld kam nie bei Industrieriesen an. Daran trägt das Unternehmen natürlich keine Schuld. „Wir wissen ja nichts davon“, sagt der Sicherheitschef. „Das Problem ist: Wir werden in den Fall reingezogen.“
Daraus ziehen die Sicherheitsexperten ihre Lehren. So bekommt jeder Kunde einen festen Ansprechpartner in ihren Unternehmen zugeteilt. „Wenn jemand anders anruft, sollten sie das hinterfragen“, so die Verfahrensweise im Konzern Nord. Und die Unternehmen warnen ihre Geschäftspartner selbst vor dem Problem.
