„CEO Fraud“ – jedes Unternehmen kann es treffen!

Der „CEO Fraud“ kann jedes Unternehmen treffen: Mittelständler zählen ebenso zu den Zielen wie börsennotierte Großkonzerne. Da die Unternehmen nicht verpflichtet sind, solche Fälle zu melden, kann die jährliche Schadenssumme nur geschätzt werden. In einzelnen Fällen geht der Verlust bis in die Millionen. Auch die Häufigkeit dieser Straftaten nimmt zu, und immer öfter spielt dabei KI – Künstliche Intelligenz – eine entscheidende Rolle. Doch wie gelingt der Betrug überhaupt?

Mitarbeitende in Buchhaltung und Rechnungswesen, die autorisiert sind, Zahlungen vorzunehmen, stehen besonders im Fokus der Kriminellen. Häufig kennen die Täter Interna wie Passwörter, Durchwahlen und Namen. Ein Weg, an diese Informationen zu gelangen, sind beispielsweise Phishing-Mails, die darauf zielen, dass Firmen sensible Daten von sich aus preisgeben. Im Besitz solcher Daten können die Kriminellen – zumindest für einen kurzen Moment – vorgaukeln, alles habe seine Richtigkeit. Dieser kurze Moment kann ausreichen, um einen Millionenschaden anzurichten.

Sensible Informationen helfen beim „Tresorknacken“

„Einblicke und Informationen in die internen Daten und Abläufe sind bildlich gesprochen der Schweißbrenner, um den Betriebstresor zu knacken. Nicht nur Phishing-Mails gehören zu den Tatwerkzeugen. Bei der Beschaffung der Informationen legen die Täter eine besondere Kreativität an den Tag. Der Fachbegriff hierfür lautet ‚Social Engineering‘ “, erläutert Holger Brümmer, Experte für Betrugs- und Geldwäscheprävention bei der TARGOBANK. Damit wird die Taktik der Täter bezeichnet, gezielt positive menschliche Verhaltensweisen wie Hilfsbereitschaft auszunutzen. So geben sie zum Beispiel vor, auf der Suche nach einem bestimmten Mitarbeiter zu sein, der in der Buchhaltung gearbeitet habe. Wer es nicht bei einem „Herr Müller ist nicht mehr hier“ belässt, sondern ein „das macht jetzt Herr Meier“ folgen lässt, hat den Betrügern schon unbeabsichtigt geholfen. „Welcher Manager befindet sich wie lange und mit welchen Zielen auf Geschäftsreise? In welchen neuen Geschäftsfeldern möchte die Firma unbedingt Fuß fassen? Jede Antwort auf diese Fragen kann die Täter ein Stück weiter an ihr Ziel bringen“, warnt Brümmer.

In der Regel werden also erst einmal gar nicht die Personen ausgehorcht, die selbst zahlungsberechtigt sind: Auch aus Mitarbeitenden im Vertrieb, im Personalwesen oder im Facility Management sind durch geschickt vorgetragene Vorwände sensible Informationen zu bekommen.

Die Kontaktaufnahme erfolgt entweder direkt telefonisch – oft wird eine vertraut wirkende deutsche Mobilnummer angezeigt, obwohl aus dem Ausland angerufen wird – oder auch über den Messengerdienst WhatsApp unter der gefälschten Identität einer Führungskraft des Unternehmens. Informationen über Mitarbeitende, interne Strukturen oder die jüngsten Aktivitäten bieten aber auch Beiträge in den Social Media Posts und in beruflichen Netzwerken wie XING oder LinkedIn.

Mithilfe von KI-Tools: Der Chef ruft „persönlich“ an

Zu den technischen Fertigkeiten betrügerischer Banden zählen nicht nur die Übermittlung falscher Telefonnummern oder das Versenden von E-Mails, die scheinbar vom eigenen Firmenserver stammen. Inzwischen machen nämlich sogenannte „Deep Fake“-Techniken die Attacken noch gefährlicher. Dabei nutzen Kriminelle YouTube-Videos oder frei zugängliches Audio-Material um eine Künstliche Intelligenz darauf zu trainieren, die Stimme des Chefs zu imitieren – „Deep Learning“. Diese auch als „Voice Cloning“ bezeichnete Technik erlaubt es den Tätern, einen Anruf mit einer zum Verwechseln ähnlichen Stimme einer bestimmten Person zu tätigen.

Dabei können sich Kriminelle Informationen über die genaue wirtschaftliche Lage des Betriebs zunutze machen und den Druck, unverzüglich eine Überweisung zu veranlassen, noch erhöhen: „Sie wissen doch, wie es um Standort XY steht – wenn das Geschäft jetzt nicht zustande kommt, werden wir wohl schließen müssen. Stehen Sie dann dafür gerade?“ Spätestens hier braucht es einiges an Selbstbewusstsein und Mut, auf den vorgeschriebenen Autorisierungsprozessen zu beharren.

Aus Südostasien sind sogar Deepfake-Fälle bekannt, in denen Mitarbeitende zu einer Videokonferenz eingeladen werden, die aus lauter KI-generierten Teilnehmenden besteht, darunter der eigene Chef. Er kann sich in einem anschließenden Telefonat auf die Konferenz beziehen und den Mitarbeitenden anweisen, die Investitionssumme, die vermeintlich gerade vereinbart wurde, zu überweisen.

Auch die Firmenkultur kann ein Faktor sein, der das Betrugsrisiko erhöht: als besonders anfällig gälten „patriarchalisch-autoritär geführte Unternehmen, in denen Zweifel und Widerspruch nicht erwünscht sind“, heißt es in einem Beitrag der FAZ über solche Betrugsfälle. Insofern kann ein kooperativer Führungsstil, in dem auch kritische Beiträge und Fragen erwünscht sind, in solchen Situationen einen gewissen Schutz darstellen.

Weitere Informationen finden Mitarbeitende in Pixis: Schutz meiner Daten