Die Corona-Pandemie hat die Geschwindigkeit der digitalen Transformation in vielen Unternehmen drastisch erhöht. Eingespielte Geschäftsprozesse wurden von heute auf morgen verändert und anstelle von Besuchen und persönlichen Kontakten sind digitale Kommunikationswege getreten.
Doch nicht nur die Unternehmen waren gezwungen, sich der neuen Situation anzupassen, auch Betrüger haben Chancen gewittert und zielen darauf ab, sich vorhandene oder entstehende Sicherheitslücken zunutze zu machen. Um zu verstehen, warum eine Krise für die Wirtschaft gleichzeitig Konjunktur für Betrüger bedeutet, hat Helmut Karrer, Vorstand der A.B.S. Global Factoring AG, Guido Vos eingeladen, Executive Head of Risk Underwriting bei Euler Hermes.
Helmut Karrer: Man hört in den letzten Wochen verstärkt von Täuschungsschäden durch Wirtschafts- und Cyberkriminelle. Welche Rolle spielt hierbei die Corona-Krise?
Guido Vos: Cyberkriminelle, falsche Chefs und Hacker haben aktuell die fast „perfekten“ Arbeitsbedingungen: Fast überall arbeiten die Mitarbeiter in Zeiten von Covid-19 weitestgehend aus dem Homeoffice, physisch getrennt von ihren Chefs und Teams. Das bedeutet, dass die Gefahr und die Erfolgsaussichten für Täuschungsschäden in der aktuellen Situation enorm gestiegen sind. Chefbetrug (auch CEO Fraud oder Fake President), Zahlungsbetrug (Payment Diversion) und Bestellerbetrug (Fake Identity) sind auf dem Vormarsch. Neben der physischen Distanz spielt den Betrügern auch die Verunsicherung, Angst und das damit verbundene Informationsbedürfnis vieler Mitarbeiter in die Karten. Sie gelangen über Malware aktuell wesentlich leichter an ihr Ziel: ins Unternehmensnetzwerk. Statt sich aufwändig einzuhacken, öffnet ihnen Corona aktuell die Türen. Zudem kursieren neben Malware vermehrt Phishing-Mails, die vorgeben, dass sie Video-Anweisungen zum Schutz vor Viren und aktuelle Entwicklungen hinsichtlich der Bedrohung durch Covid-19 beinhalten. Bei der Beantragung der Direkthilfen haben zudem vermehrt Betrüger die reine Online-Beantragung genutzt, um Hilfen zu erhalten, die ihnen gar nicht zugestanden hätten, insbesondere bei kleinen und mittelgroßen Unternehmen. Sie haben dabei von der „schlanken“ Beantragung und anfänglich geringen Prüfungshandlungen der öffentlichen Stellen profitiert.
Helmut Karrer: In welcher Höhe muss man sich denn Betrugsschäden in der deutschen Wirtschaft vorstellen und wie sah die Entwicklung in den letzten Jahren und aktuell aus?
Guido Vos: Laut einer Studie von PWC gehen Experten davon aus, dass 5% des weltweiten Handels mit „Fraud“ belegt sind. In der kürzlich veröffentlichten Umfrage wird allein von einem Volumen von rund 42 Mrd. bei den befragten Unternehmen gesprochen. Die Dunkelziffer dürfte vermutlich höher sein. Die Angriffsfelder sind dabei sehr vielfältig. Beginnend mit Customer Fraud, über Cybercrime bis hin zu Tax Fraud ist alles dabei. Für Deutschland stellen wir seit 2014 vermehrt die Fake President Betrugsmasche fest und diese stieg in den folgenden Jahren stark an. Der im Februar 2020 vom Federal Bureau of Investigation (FBI) veröffentlichte Internet Crime Report geht von über 23.700 Fake-President-Opfern in 2019 aus. Laut der Studie haben die Täter mit der Betrugsmasche im vergangenen Jahr weltweit insgesamt 1,7 Milliarden (Mrd.) US-Dollar (USD) erbeutet – das ist der größte finanzielle Posten in der Rubrik Schäden durch Internet-Kriminalität – und die Dunkelziffer ist weiterhin hoch.
Eine ähnliche Entwicklung sehen wir auch in Deutschland. Trotz gestiegenem Bewusstsein, dass es solche Betrugsmaschen gibt, sehen wir bisher keinen wirklichen Rückgang der Fallzahlen – und die Schadenshöhen steigen weiterhin an. Allein bei deutschen Kunden und ihren Tochtergesellschaften im In- und Ausland sind seit 2014 Täuschungsschäden in Höhe von 190 Millionen Euro entstanden
Helmut Karrer: Wenn Sie diese Schäden analysieren: Was sind denn aktuell die größten Risikofaktoren für die Unternehmen?
Guido Vos: Ich möchte das zweigeteilt beantworten. Der größte Risikofaktor bei Täuschungsschäden ist tatsächlich häufig der Faktor Mensch. Das „Social Distancing“ im Homeoffice schafft perfekte Arbeitsbedingungen für „Social Engineers“: Der Chefbetrug arbeitet mit sogenanntem „Social Engineering“, bei dem mit Hilfe von Wertschätzung und enormem Druck Mitarbeiter dazu gebracht werden, angeblich hochgeheime Finanztransaktionen zu tätigen. Die Wertschätzung ist häufig die Eintrittskarte bei den Mitarbeitern und im weiteren Verlauf üben beispielsweise externe angebliche Anwälte enormen Druck aus, indem sie wiederholt die Verpflichtung zur Geheimhaltung erneuern lassen oder auch zeitlichen Druck ausüben. Durch diese aufwändige soziale Manipulation werden bestehende Kontrollmechanismen umgangen und der gesunde Menschenverstand praktisch „ausgeknipst“. Das bedeutet: Das beste Compliance- oder Kontrollsystem kann damit ausgehebelt werden, wenn Mitarbeiter nicht sensibilisiert sind.
Wir sind aber auch immer wieder erstaunt, wie gut „Kriminelle“ die Abläufe in den Unternehmen kennen. Betrüger nutzen Freigrenzen und Standardisierungselemente, um nicht aufzufallen.
Helmut Karrer: Haben Sie konkrete Tipps, wie sich Unternehmen gerade in Krisenzeiten vor Schäden durch Betrug und Täuschung schützen können?
Guido Vos: Die beste Schadensvermeidung ist eine offene Unternehmenskultur. Traut sich der Mitarbeiter, den Chef einfach anzusprechen, ist der Betrugsversuch meist bereits vereitelt. Je steiler die Hierarchien, desto größer die Erfolgschancen der Betrüger. Neben der Unternehmenskultur ist jedoch vor allem die Sensibilisierung der Mitarbeiter in der aktuellen Situation wichtiger denn je.
Gerade jetzt sind solche Schulungen notwendig, auch wenn sie virtuell in manchen Unternehmen schwieriger oder aufwändiger zu organisieren sind als Anwesenheitsschulungen im Unternehmen selbst. Die Mitarbeiter müssen sich jedoch der neuen Gefahren im Homeoffice bewusst sein, die häufig mit unaufgefordert erhaltenen Nachrichten zusammenhängen können, insbesondere der Zunahme von Phishing-Attacken im Zusammenhang mit Covid-19. Sonst öffnen sie den Betrügern mit einem Klick Tür und Tor.
Kommt es doch zu einem fatalen Klick, ist Zeit zumeist Geld. Auch hier spielt wieder die Unternehmenskultur eine Rolle. Trauen sich Mitarbeiter, dies zu melden, sind die Aussichten, dass schwerwiegende Folgen eintreten, wesentlich geringer.
Wichtig ist, dass Unternehmen gerade in der Homeoffice-Situation alle Vorgaben, Anweisungen und Richtlinien uneingeschränkt aufrechterhalten, auch wenn dies teilweise umständlicher sein mag. Das 4-Augen-Prinzip gilt auch im Home-Office. Bei höheren Finanztransaktionen macht es aktuell unter Umständen sogar Sinn, ein 6-Augen-Prinzip einzuführen, wenn physische Unterschriften nicht möglich sind. Zudem sollten Rückruf-Verfahren mit dem Vorgesetzten vor Freigabe von höheren Transaktionen eingeführt werden, damit eine weitere Sicherheitsstufe eingebaut wird. Letztlich spielt aber auch weiterhin die Wachsamkeit und das gute alte Bauchgefühl eine große Rolle
Darüber hinaus ist es sinnvoll, mit neuen Analysemethoden immer wieder Verhaltens-Anomalien zu untersuchen. Das Feld ist extrem weit und verändert sich laufend.
Helmut Karrer: Vielen Dank für diese spannenden Einblicke und Ratschläge.
Guido Vos ist seit 2016 Executive Head of Risk Underwriting bei Euler Hermes Deutschland in Hamburg, einer Niederlassung der Euler Hermes SA. Hier teilt er sein Wissen im Euler Hermes Podcast. Zuvor war er 27 Jahre bei der Commerzbank AG in Frankfurt in diversen Positionen im Risk Management tätig.
Als Ansprechpartner für alle Themen rund um Cyber/Fake President etc. steht Ihnen auch Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes, zur Verfügung. Seit über 30 Jahren ist er als Betrugsexperte bei Euler Hermes tätig, davon viele Jahre als Leiter Schaden in der Vertrauensschadenversicherung. Sie erreichen ihn unter ruediger.kirsch@eulerhermes.com.
