Treasurer sind flexibel und passen sich schnell an veränderte Situationen an. Ob Planung, Steuerung oder Kontrolle, der Zugriff auf Cash-Positionen ist jederzeit gewährleistet, der Aufwand minimiert und Positionen gehedged. Doch sind sie das wirklich? Wurden auch die Gefahren durch Cyberkriminalität und Betrug nicht aus den Augen verloren oder etwas unterschätzt, frei nach dem Motto „das hat unsere IT schon alles fest in der Hand“? Teil 1 unserer Serie beschäftigt sich hierzu mit der Fake President Methode.
Zwischen 2013 und 2016 haben Kriminelle mit der Fake-President-Masche weltweit 5,3 Milliarden Dollar (umgerechnet 4,5 Milliarden Euro) gestohlen. Doch was steckt dahinter und wie kann man sich schützen? Das alles wollen wir in diesem Artikel und den nachfolgenden ein wenig näher beleuchten. Cybercrime ist ein hochbrisantes Thema, und auch innerhalb unserer Beratungspraxis werden wir häufig damit konfrontiert. Entscheidungsgrundlage, hierüber eine neue Serie zu veröffentlichen. Hier also Teil 1, die Fake President Methode.
Die Methode
Bei der Fake President Masche wendet sich der Angreifer direkt an die Mitarbeiter der Finanzabteilung und verleitet diese, gefälschte Überweisungsaufträge auszuführen. Er nutzt dabei die „Autorität des Chefs“. Cisco bezeichnet dieses Vorgehen mit dem Kürzel BEC, was für „Business E-Mail Compromise“ steht. Wenn wir in unseren Seminaren hierüber referieren, schauen wir oftmals in ungläubige Gesichter, die auf Nachfrage erläutern, ein wenig gesunder Menschenverstand reiche aus, um sich vor derlei Betrügereien zu schützen. Doch glauben Sie nicht, nur Dumme würden Opfer von Cyberkriminalität. Selbst Facebook und Google wurden bereits medienwirksam Opfer dieser Masche.
Dabei ist der technische Aufwand für die Verbrecher bei der Umsetzung der Fake-President Methode vergleichsweise gering. Während die Methoden ständig weiterentwickelt werden, sind die Opfer meist solvente große Unternehmen. Immerhin, es soll sich ja lohnen; nichtsdestotrotz beobachten aber auch wir verstärkt, dass mehr und mehr mittlere und kleine Corporates geschädigt werden. Diese trifft es dann oftmals verhältnismäßig härter.
Perfide einfache Vorgehensweise
Basis des Vorgehens ist meist eine E-Mail, die keine Schadsoftware oder verdächtige Links enthalten. So werden diese dann auch von keinem Filter von vorneherein gelöscht. Buchhalter Mayer –so wollen wir ihn mal nennen- erhält eine Mail von Vorstandsvorsitzenden. Dieser schreibt an Mayer, dass er ihn für eine streng vertrauliche und verantwortungsvolle Aufgabe ausgewählt habe. Meyer sei bekannt für seine Diskretion und hervorragenden Arbeit.
Dabei fällt Mayer nicht auf, dass die E-Mail gar nicht vom Big Boss kommt. Sie ist entweder hervorragend echt gefälscht oder wurde gar über den originalen, jedoch gehackten, E-Mail Account versendet. Somit ist oftmals auch für die meisten Sicherheitsprogramme augenscheinlich alles ok. Schadsoftware etc. war ja ebenfalls nicht beigefügt. Dass Mayer den CEO gar nicht kennt und dieser im Zweifelsfall auch nichts von seiner guten Arbeit weiß, ist wichtig, denn so fragt Mayer auch nicht direkt nach. Er fühlt sich wichtig, ein wenig gebauchpinselt, und will gefallen.
Vertrauliche Aufgabe von höchster Ebene
Mayer erhält den Auftrag, maßgeblich zu einem Take Over beizutragen und den eigenen Konzern zu stärken. Es geht um einen Unternehmenskauf in der Slowakei, der dann mit EU Geldern subventioniert würde. Mayers Aufgabe ist es, interne Konten zu eröffnen aber alles noch geheim zu halten, damit die Konkurrenz nicht eingreifen könne. Er solle auch die Überweisung in Tranchen auf genannte Konten durchführen, dem Transaktionsfortschritt folgend.
Mayer ist begeistert, er schöpft auch keinen Verdacht, denn bei den fremdländischen Kontoinhabern der Empfängerkonten in Malta ist ja irgendwie immer der Name des eigenen Konzerns enthalten. Somit überweist er auf Anweisung seines vermeintlichen obersten Chefs zum jeweils gewünschten Zeitpunkt mehrere Millionen Euro auf die angegebenen ausländischen Konten.
Das klingt zu einfach und unglaubwürdig? Dass selbst IT-Konzerne nicht sicher sind, bestätigt das Eingeständnis von Facebook und Google, im Frühjahr 2017 Opfer der Fake-President-Masche geworden zu sein. Der Schaden hierbei betrug ca. 100 Mio. USD. Auch der fränkischen Automobilzulieferer Leoni wurde geschädigt, Gauner erbeuteten 40 Mio. Euro. Der Aktienkurs brach daraufhin um bis zu 10% ein.
Konsequenzen ziehen und nachhaltig umsetzen
Im Beispiel von Leoni hat die Geschäftsleitung Konsequenzen eingeleitet. Vieles hat sich verändert. Sämtliche Abläufe im Zahlungsverkehr wurden unter die Lupe genommen und auf „Löcher“ überprüft. Auch vor der hauseigenen IT machte die Inspektion nicht halt und auch die Erkenntnisse der Staatsanwaltschaft flossen in die neuen Vorkehrungen ein, auf die auch die Mitarbeiter intensiv geschult wurden.
Unternehmen sind von Cyberangriffen überfordert
Neben diesen einfachen Maschen bestehen aber auch die Risiken ausgefeilter IT Angriffe, wie z.B. Ransomware-Angriffe, die es ebenfalls oftmals direkt auf die Finanz- bzw. Treasury-Abteilungen abgesehen haben. Dabei handelt es sich um Erpresser-Software, die den Zugang zu Computern versperrt. Die Hacker fordern daraufhin eine Art Lösegeld, das meist in Bitcoin bezahlt werden soll, um die Spuren zu verwischen. Für 2016 belief sich der weltweite Schaden in diesem Segment laut Cisco auf 1 Milliarde Dollar –2017 dürfte die Summe deutlich höher ausfallen. Weltweit haben viele Unternehmen Erpresser-Mails erhalten. Ransomware-Angriffe namens „Wannacry“ und „Petya“ (auch „Not Petya“ oder „Nyetya“ genannt) sind noch in Erinnerung.
Hierbei fielen so prominente Unternehmen zum Opfer wie Beiersdorf und Reckitt Benckiser oder die dänische Reederei Maersk. Durch die Angriffe entstanden riesige Schäden. Beiersdorf hat der Angriff Medienberichten vermutlich mehrere Millionen Euro gekostet, der britische Konkurrent Renckitt Benckiser musste eine Gewinnwarnung ausgeben. Für die Reederei Maersk kam es knüppeldick: Sie bezifferte den Schaden jüngst auf 200 bis 300 Millionen Euro.
Ransomware ist für Kriminelle ein lukratives Geschäft! So lukrativ, dass mittlerweile sogar „Ransomware-as-a-Service“ (RaaS) Angebote auftauchen, angelehnt an Software-as-a-Service (SaaS). Durch diese „Dienstleistung“ können auch technisch nicht so versierte Hacker Angriffe durchführen. Hinzu kommt, dass Ransomware-Attacken vielfach nur noch Ablenkungsmanöver sind, da die erpresste Summe oft nicht sehr hoch ist. Denn während die IT-Sicherheitsexperten der betroffenen Unternehmen mit der Abwehr des Angriffs beschäftigt sind, können die Cyberkriminellen in Ruhe wertvolle Daten ausspionieren und abziehen.
Handeln, bevor es zu spät ist
Unser Appell daher: Handeln Sie nicht erst, wenn es zu spät ist. Kontrollieren sie Ihre Treasury-Einheit effektiv und achten Sie auf eine ausreichende Trennung von Funktionen („Segregation of Duties“) sowie auf die Einhaltung von Vorschriften beim Zugang zu Unterschriftssiegeln („Signature Seals“), mit denen Zahlungen autorisiert werden können. Besonders das Vier-Augen-Prinzip und/oder die funktionale Trennung („wer bucht, darf nicht zahlen – wer zahlt, darf nicht buchen“) gehören zum A und O einer guten Treasury-Organisation. Dabei empfehlen wir immer eine Trennung nach dem MAC-Prinzip: Making, Authorization, Checking.
Gerne beraten wir Sie individuell im Rahmen eines Cybercrime bezogenen Sicherheits-Checks für Ihr Unternehmen oder im Rahmen unseres Treasury Fact Findings.
Beachten Sie, grade kleineren Unternehmen kann ein derartiger Angriff schnell das Genick brechen. Nehmen Sie Warnungen ernst, schulen Sie Ihre Mitarbeiter kontinuierlich und binden Sie auch Ihre IT-Abteilung ein. Gerne schulen wir auch Ihre Mitarbeiter in entsprechenden Seminaren. Sprechen Sie uns an.
