von Nicole Chemnitz

Milliardenschäden durch E-Mail-Abzocke

Mitarbeiter kennen sich mittlerweile mit Spam- und Phishing-Mails aus und fallen nicht mehr darauf herein. Dass dies ein Irrglaube ist, zeigt der so genannte CEO Fraud oder Chef-Trick, der immer weiter auf dem Vormarsch ist und längst nicht nur große Konzerne um viel Geld bringt. In den vergangenen drei Jahren verursachten diese Betrugsfälle in den Unternehmen laut FBI einen Schaden von 2,3 Milliarden US-Dollar, das Bundeskriminalamt verzeichnete rund 250 solcher Vorfälle mit etwa 110 Millionen Euro Gesamtschaden. Doch was macht die Masche so gefährlich?

Gute Vorbereitung

Beim CEO Fraud schicken die Cyberkriminellen nicht einfach auf gut Glück eine E-Mail – sie scheuen keinen Aufwand! Sie suchen im Internet nach Mitarbeiterinformationen, Partnerunternehmen, potenziellen Übernahmekandidaten, aktuellen Plänen, sie recherchieren in Fachzeitschriften, Firmenbroschüren, Sozialen Netzen und im Handelsregister. Wenn alles nicht hilft, rufen sie sogar an mit einem „Rechnungsproblem“ und erfragen beispielsweise den Zuständigen in der Buchhaltung.

Ausgeklügelte Durchführung

Gewappnet mit diesem Wissen geben sie sich meist als Chef des Unternehmens aus und fordern per E-Mail einen zuständigen Mitarbeiter auf, einen größeren Geldbetrag auf ein ausländisches Konto zu überweisen, etwa für eine Rechnung, eine Übernahme, die Regelung einer rechtlichen Angelegenheit, einen Kauf. Dabei appellieren sie oft an die Integrität des Mitarbeiters und erbitten äußerste Diskretion. Die Informationen sind so detailliert und genau, Rechtschreibfehler sucht man vergebens und auch die Absender-Adresse wirkt echt. Hinzu kommt, dass es teilweise nicht bei einer einmaligen Mail bleibt, sondern ein Mailwechsel oder sogar begleitende Telefonate einhergehen.

Ausnutzen des Faktors Mensch

Bei der Betrugsmasche ist der Mensch an sich das entscheidende Zünglein an der Waage. Fühlt der Mitarbeiter sich geehrt, diese wichtige Bitte seines Chefs exklusiv erfüllen zu dürfen oder fürchtet er „Konsequenzen von oben“ bei Nichtbeachtung, dann ist der Fehler schnell passiert und das Geld natürlich weg. Doch schreibt einem der Chef persönlich von augenscheinlich seiner E-Mail-Adresse, mit korrekter Anrede, einer klaren Aufgabe und der Forderung, es niemandem zu sagen und ihn nicht darauf anzusprechen – wie viele würden sich dem widersetzen?

Wichtig: Mitarbeiter sensibilisieren

Und genau da ist es nötig, die Mitarbeiter schon vorab ins Boot zu holen und ihnen genau zu erklären, wie diese Betrugsmasche funktioniert. Bei ungewöhnlichen Zahlungsanweisungen sollten sie jedes Detail überprüfen, nicht nur die korrekte Schreibweise, sondern auch etwa den Sprachstil, also klingt das so, wie die anderen Mails meines Chefs? Darüber hinaus sollten klare Zuständigkeiten und Prozesse festgelegt werden, darunter Abwesenheitsregelungen und wenn möglich das Vier-Augen-Prinzip. Außerdem sollten die Unternehmen ihre Mitarbeiter ermutigen, lieber einmal mehr nachzufragen und solche Anweisungen zu verifizieren, beim Chef, aber nicht durch Klick auf Antworten, sondern durch manuelle Eingabe der E-Mail-Adresse oder Anruf einer bekannten Nummer.

Foto © g-stockstudio | iStockphoto.com