Vertrauliche Mail, betrügerische Absichten Absicherung bei Cyberbetrug: Warnung vor Fake President Fraud und Co. Sandra Dammalacks Besonders dreiste Cyber-Betrugsfälle halten unser Schadenteam seit einiger Zeit in Atem: Fake President Fraud (übersetzt in etwa: Falscher-Chef-Trick). Die Schäden gehen in die Millionen und treffen Unternehmen weltweit. Der größte veröffentlichte Schaden aus den USA beläuft sich auf 53 Mio. USD. Aber auch Unternehmen in Europa melden vermehrt derartige Attacken. Die in unserem Hause bislang registrierten Schadenfälle liegen zwischen 50.000 € und 500.000 €. Nachdem sich die Betrugsversuche im letzten Jahr verstärkt auf den französischsprachigen Raum konzentriert haben, steht nun – so die Erfahrung von Kunden und Vertrauensschadenversicherern – besonders auch der deutschsprachige Raum mit Deutschland, Österreich und der Schweiz im Fokus. Fake President Fraud – was ist das? Fake President Fraud ist der Überbegriff für eine neue Betrugsmasche, die – in unterschiedlichen Spielarten – mit gefälschten Identitäten arbeitet und Unternehmen mitunter herbe Vermögensverluste beschert. Man unterscheidet drei Herangehensweisen: • • • Fake President Fraud: Betrug durch Vorspiegelung einer falschen Identität Fake Identity Fraud: Betrug durch Nutzung einer fremden Identität Payment Diversion: Betrug durch Umleitung von Zahlungsströmen Fake President Fraud: Betrug durch Vorspiegelung einer falschen Identität Bei dieser Betrugsmasche geben sich die Täter als ein Organ des Unternehmens, in der Regel als Vorstandsmitglied, aus und kontaktieren per E-Mail oder Fax einen Mitarbeiter der Finanzabteilung. Oft geht dieser gefälschten E-Mail oder dem gefälschten Fax ein vorbereitender Anruf voraus. Unter Vorspiegelung der – falschen – Tatsache, dass es sich um eine höchst geheime und vertrauliche Angelegenheit handele, von der strategische Weichenstellungen im Unternehmen abhingen, wird der angeschriebene Mitarbeiter dazu gebracht, eine vermeintlich dringende Überweisung auszuführen. Oft fühlen sich die Betroffenen wegen der angeblichen Wichtigkeit der Transaktion unter Druck gesetzt oder auch angesichts des besonderen Vertrauens, das ihnen der vermeintliche Vorstand, Geschäftsführer oder Gesellschafter entgegenbringt, geschmeichelt. Auf diese Weise psychologisch manipuliert, führen sie dann mittunter ebenso zügig wie unbedacht die verlangten Überweisungen aus. In der Regel soll das Geld auf ein ausländisches Konto überwiesen werden, meist in Asien oder Osteuropa. Fliegt der Betrug dann schließlich auf, sind die Konten leergeräumt oder die Rückholung der überwiesenen Summe ist aufgrund des Rechtssystems im betreffenden Land erheblich erschwert. Besonders perfide: Oftmals sprechen die Betrüger gezielt Mitarbeiter in ausländischen Niederlassungen des Unternehmens an, welche die verantwortlichen Organe im Unternehmen nicht persönlich kennen und sich daher leicht von der Identität der Kontaktperson täuschen lassen. Fake Identity Fraud: Betrug durch Nutzung einer fremden Identität Bei diesem Betrugsszenario geben sich die Täter als Kunde oder Neukunde aus und ordern schriftlich Waren. Mit plausiblen Erklärungen erwirken sie, dass die Lieferung an eine von der üblichen abweichende Lieferadresse geschickt wird. Da die Identität einer tatsächlich existierenden Firma genutzt wird, schöpfen die Betrugsopfer zunächst keinen Verdacht. Oft fliegt der Betrug erst auf, wenn das betrogene Unternehmen die echte Firma, der die Waren ja vermeintlich geliefert wurden, wegen der Bezahlung anmahnt. Überprüft die Polizei die Lieferadresse, findet sie die angeblichen Geschäftsräume verlassen vor. Von der Ware keine Spur. Payment Diversion: Betrug durch Umleitung von Zahlungsströmen Bei dieser Fallvariante versenden die Betrüger gefälschte Mitteilungen von vermeintlichen Geschäftspartnern oder Lieferanten. Ziel ist es, die Bezahlung für Waren oder erbrachte Dienstleistungen auf abweichende Konten umzuleiten. In der Regel behaupten die Betrüger, dass sich die bisher vereinbarten Bankverbindungen geändert hätten und der Zahlungsverkehr ab sofort über die neue Bankverbindung abgewickelt werden solle. Im Infokasten finden Sie Handlungsempfehlungen zum Umgang mit dem Thema Fake President Fraud und seinen Spielarten. Handlungsempfehlungen • Schaffen Sie klar strukturierte Prozesse und geregelte Zuständigkeiten in Ihrem Unternehmen. Sofern noch nicht geschehen, sollte bei allen finanzerheblichen Transaktionen ein Vieraugenprinzip eingeführt werden. • Stellen Sie klare Regeln auf, die festlegen, wie bei Ausnahmefällen vorzugehen ist, etwa wenn eine besonders hohe oder dringliche Zahlung veranlasst werden soll. • Verifizieren Sie die Zahlungsinformation oder die Bestellung per E-Mail. Dringend zu empfehlen ist ein Kontrollanruf bei Ansprechpartnern Ihres Kunden, die Ihnen persönlich bekannt sind. Die Telefonnummer sollte dabei selbstverständlich nicht der E-Mail entnommen werden, sondern den eigenen Unterlagen oder der offiziellen Internetseite der Firma. • Bei geänderten Bankkontodaten oder Zahlungsempfängern empfiehlt es sich dringend, die Angaben durch eine sichere Methode wie Brief, Kontobestätigung oder Rückruf authentifizieren zu lassen. • Kommt Ihnen ein Vorgang „spanisch“ vor, etwa wenn Inhalt, Stil, Wortlaut oder Procedere vom Üblichen abweichen, ist es ratsam, sich an die Person, die den Vorgang initiiert bzw. versandt hat, zu wenden oder den unmittelbaren Vorgesetzten zu informieren. • Im Falle eines Angriffs sollten Sie polizeiliche Anzeige erstatten. • Informieren Sie alle Ihre Angestellten weltweit über mögliche Betrugsszenarien, sensibilisieren Sie sie für diese Gefahr und gestalten Sie entsprechende Verhaltensrichtlinien. • Besonders Mitarbeiter, die in sensiblen Bereichen wie den Finanzabteilungen arbeiten, sollten auf die Bedrohung explizit hingewiesen werden. Cyberbetrug – kann man solche Schäden absichern? Versicherbar sind derartige Risiken über die Vertrauensschadenversicherung (VSV) auf Basis neuester Bedingungswerke oder auch über eine separate Cyberversicherung mit VSV-Baustein. Wesentlich ist dabei, ausreichend hohe Versicherungssummen und Sublimite für diese Erweiterungen zu wählen. Die Bedingungswerke unterscheiden sich von Versicherer zu Versicherer. Daher gibt es in der VSV und der Cyberversicherung große Unterschiede in den entsprechenden Klauselerweiterungen. Bei der Überprüfung und Anpassung des Versicherungsschutzes bedarf es daher besonderer fachlicher Expertise. Unsere Schadenpraxis zeigt: Betrugsfälle wie die genannten ziehen sich durch alle Branchen. D.h. kein Unternehmen ist gegen Fake President Fraud und Co. gefeit. Auch produzierenden Unternehmen, die dem Abschluss einer Vertrauensschaden- oder Cyberversicherung bislang eher wenig Bedeutung beigemessen haben, empfehlen wir, sich mit diesen neuen Schadenszenarien auseinanderzusetzen – und sich mit entsprechenden Versicherungslösungen zu beschäftigen. Gern stehen Ihnen unsere Kundenberater für weitere Informationen zur Verfügung und senden Ihnen auf Wunsch auch ein passendes Angebot zu.
© Copyright 2024 ExpyDoc