Wenn sich der vermeintliche Chef meldet

Der Trick ist so einfach wie dreist: Kriminelle kontaktieren Mitarbeiter in Unternehmen und geben sich als Geschäftsführer aus. Sie weisen den Mitarbeiter an, eine hohe Summe an einen Geschäftspartner zu überweisen – und das natürlich schnell, diskret und ohne weitere Rückversicherung. Warum das so gut funktioniert: Häufig kennen die Täter irgendwelche Interna wie Passwörter, Durchwahlen und Namen und können so – zumindest für einen kurzen Moment – vorgaukeln, alles habe seine Richtigkeit. Dieser kurze Moment kann ausreichen, um einen großen Schaden anzurichten, so zum Beispiel beim Autozulieferer Leoni. Das Unternehmen verlor 40 Millionen Euro.

Doch wie kommen die Betrüger eigentlich an die sensiblen Daten, die sie brauchen, um Straftaten wie den Chef-Trick zu verüben? Die Antwort liefert ein Fachbegriff: Social Engineering. Damit wird die Taktik der Täter bezeichnet, gezielt positive menschliche Verhaltensweisen wie Hilfsbereitschaft auszunutzen. So geben sie zum Beispiel vor, auf der Suche nach einem bestimmten Mitarbeiter zu sein, der in der Buchhaltung gearbeitet habe. Wer es nicht bei einem „Herr Müller ist nicht mehr hier“ belässt, sondern ein „das macht jetzt Herr Meier“ folgen lässt, hat den Betrügern schon unbeabsichtigt geholfen.

Internet und soziale Medien bieten auch Kriminellen ungeahnte Chancen

Peter Vahrenhorst ist Kriminalhauptkommissar beim LKA Nordrhein-Westfalen in Düsseldorf. Seit fast 20 Jahren befasst er sich mit dem Thema Cyber-Kriminalität, seit 2011 bringt er seine Erfahrung in die Präventionsarbeit des LKA ein.

Peter Vahrenhorst, Kriminalhauptkommissar beim LKA Nordrhein-Westfalen, weiß, dass die Digitalisierung den Tätern hier zusätzliche Möglichkeiten eröffnet: „Die Täter recherchieren sehr gründlich über die Unternehmen, die sie schädigen wollen. Dabei hilft alles, was öffentlich im Internet verfügbar ist.“

Nicht nur die Websites der Unternehmen sind von Interesse – auch soziale Netzwerke und verschiedene öffentliche Register stehen den Tätern zur Verfügung. Hier versuchen die Täter, ergänzende Informationen zu sammeln. Weitere Details zum Mitarbeiter in Buchhaltung oder Geschäftsführung findet man zum Beispiel schnell in beruflichen Netzwerken wie XING oder LinkedIn.

Setzen die Täter dieses Puzzle zusammen, können sie damit ihre Angriffstaktik perfektionieren, wie Peter Vahrenhorst erläutert: „Gut vorbereitet kontaktieren die Kriminellen nun die Firma und geben sich als Geschäftsführer aus. Dessen Namen haben sie auf der Internetseite des Unternehmens gefunden. Dazu haben sie auf Facebook gesehen, dass er gerade in Urlaub oder auf Geschäftsreise ist. Das kann als Begründung für die eher unkonventionelle Kontaktaufnahme dienen. Jetzt baut der Täter entweder Druck auf oder lobt den Kontaktierten als vertrauenswürdigen Mitarbeiter. Gern wird behauptet, dass ein geheimes Projekt kurz vor dem Abschluss steht. Und nur die Zahlung einer bestimmten Summe könne den Erfolg gewährleisten. Der Mitarbeiter wird zur Verschwiegenheit verpflichtet.“

Bei der Kontaktaufnahme minimieren die Kriminellen die Gefahr, Zweifel aufkommen zulassen: E-Mails sind mit nahezu perfekt gefälschten Absenderinformationen versehen. Und bei Anrufen fälschen sie die Nummern, die im Display übermittelt werden.

Einfache Masche, großer Schaden

Der Chef-Trick, der auch als CEO-Fraud oder Chef-Betrug bekannt ist, hat in den vergangenen Jahren stark zugenommen und erweist sich als extrem erfolgreich. Allein 45 Fälle mit 120 Millionen Euro Schaden hat der Kreditversicherer Euler Hermes in den vergangenen zwei Jahren (Stand Herbst 2016) registriert. Auch das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, warnt in Deutschland vor dieser Art Betrug.

Peter Vahrenhorst erinnert sich an einen kuriosen Fall. Eine E-Mail an eine Mitarbeiterin in der Buchhaltung brachte nicht gleich den erwünschten Erfolg. Sie war misstrauisch, weil die Abläufe im Unternehmen eigentlich anders strukturiert sind. So stellte sie dem E-Mail-Absender eine Frage, die nur Mitarbeiter des Unternehmens beantworten können sollten. Eine halbe Stunde später hatte sie die Antwort und überwies die geforderte Summe an eine ausländische Bankverbindung. „Der Täter hatte einfach in einem anderen Bereich angerufen, sich als Kollege ausgegeben und die gewünschte Insider-Information dort auch erhalten.“

Weitere Gefahr durch Social Engineering

Der Chef-Trick ist nur eine Masche, um mittels Social Engineering gewonnene Kenntnisse kriminell einzusetzen. Peter Vahrenhorst kennt noch weitere Tricks der Cyber-Kriminellen.

So kann die Verbindung eines Unternehmens mit einem Lieferanten, Kunden oder Dienstleister in beruflichen Netzwerken dazu führen, dass Kriminelle dies nutzen, um Absender für E-Mails zu fälschen. Ein Mitarbeiter ist natürlich eher bereit, Anlagen zu öffnen oder auf Links zu klicken, wenn diese in E-Mails eines bekannten Absenders enthalten sind. „Man nutzt das bestehende Vertrauensverhältnis aus. Schadsoftware wird so in das Unternehmen geschleust. Ziele können sein: Kundendaten abgreifen, Industrie- und Wirtschaftsspionage betreiben oder mittels Verschlüsselungsprogrammen das Unternehmen erpressen.“

Peter Vahrenhorst platziert in Vorträgen für Unternehmen das Thema Cyber-Sicherheit und sensibilisiert so das Management mit ihren Mitarbeitern für die Gefahren. „Es hat sich viel getan in den letzten Jahren, gerade was Investitionen in Sicherheitstechnik angeht“, sagt er. „Doch damit allein ist es nicht getan. Auch der Faktor Mensch birgt ein Risiko. Ich vergleiche das gern mit Zugangskontrollen in ein Gebäude. Was hilft es, wenn man einen großartigen Sicherheitsdienst beschäftigt und jeden kontrolliert, der durch den Haupteingang geht – wenn die Mitarbeiter am ständig offenen Hintereingang ein- und ausgehen.“

Die Tipps des LKA-Mannes für mehr Sicherheit im Unternehmen:

• Schaffen Sie klare Strukturen für Zahlungsanweisungen mit 4-Augen-Prinzip.
• Achtung am Telefon, geben Sie keine internen Informationen an Unbekannte.
• Geben Sie möglichst keine E-Mail-Adressen oder Telefonnummern von Kollegen an.
• Achten Sie darauf, worüber Sie außerhalb des Unternehmens sprechen und mit wem.
• Achten Sie auf gefälschte E-Mail-Absender – gibt es Tippfehler oder ungewöhnliche Schreibweisen?
• Öffnen Sie keine E-Mails mit Anhängen von Unbekannten, keine Links anklicken.
• Bei ungewöhnlichen E-Mails verwenden Sie besser nicht den „Antworten-Button“ für Nachfragen, sondern wählen Sie den Empfänger aus dem eigenen Adressbuch aus oder erfassen Sie die E-Mail-Adresse händisch.
• Investieren Sie in Schulungen und Informationen für Management und Mitarbeiter.
• Veröffentlichen Sie möglichst wenige Informationen allgemein zugänglich.
• Gestalten Sie Ihre Inhalte in sozialen und beruflichen Netzwerken so, dass möglichst wenig Informationen für jeden verfügbar sind. Achten Sie auf Ihre Privatsphäre.
• Verwenden Sie immer aktuelle Sicherheitstechnik.
• Führen Sie erforderliche Software-Updates durch, um Sicherheitslücken zu schließen.
• Behalten Sie aktuelle Entwicklungen im Auge, zum Beispiel auf den Seiten des BSI.