Seit geraumer Zeit geistern Begriffe wie „Chef-Masche“, „CEO-Fraud“ oder „Fake President Trick“ durch die Presse, meist verbunden mit eindringlichen Warnungen an Unternehmen vor dieser neuen Form des professionellen Betrugs (auch bezeichnet als so genanntes „Social Engineering“). Was hat es damit auf sich, und wie können sich Arbeitgeber gegen diese Angriffe schützen?
Zunächst bezeichnen sämtliche vorgenannten Begriffe dasselbe Phänomen: eine im Wesentlichen nach dem gleichen Schema ablaufende Betrugsmasche. „Angriffsziel“ der Betrüger sind in der Regel Mitarbeiter der Buchhaltung oder Finanzabteilung von Unternehmen. Die betroffenen Mitarbeiter werden mittels gefälschter E-Mails bzw. telefonisch von vermeintlichen Vorgesetzen aufgefordert, Geld ins Ausland zu überweisen, und dabei zur Eile gedrängt.
Als Grund für die Transaktion wird beispielsweise der besonders zeitkritische Kauf von Unternehmensanteilen, Patentrechten oder Immobilien angegeben. Zudem wird von den Mitarbeitern absolute Diskretion (auch gegenüber anderen Mitarbeitern und Vorgesetzten) verlangt. Die Betrüger vermitteln ihrem Opfer häufig den Eindruck, es sei von der Unternehmensführung wegen seiner besonderen Vertrauenswürdigkeit als einziger Ansprechpartner für das Projekt ausgewählt worden.
Hierdurch fühlt sich der Mitarbeiter geschmeichelt und sieht so leichter über etwaige Verdachtsmomente hinweg. Die vornehmlich nach Osteuropa oder in den asiatischen Raum fließende Gelder werden schnellstmöglich weitertransferiert, die unter falschem Namen eingerichteten Konten leergeräumt, bevor der Betrug auffliegt. In der abgewandelten Form der „Chef-Masche“, dem sogenannten „Payment Diversion Fraud“, geben sich die Betrüger als Geschäftspartner oder Lieferanten aus und täuschen ihren Opfern geänderte Kontodaten vor.
Teil 1 des Beitrags befasst sich mit der Frage, woran ein Betrugsversuch erkennbar ist und was Arbeitgeber tun können, um nicht Opfer der „Chef-Masche“ zu werden.
Woran kann ein Betrugsversuch erkannt werden?
Wie leicht ein Betrugsversuch zu entlarven ist, hängt im Wesentlichen vom Grad der Professionalität ab, mit dem die Betrüger zu Werke gehen. Die Erfahrungen zeigen indes, dass man es in vielen Fällen tatsächlich mit Profis zu tun hat. Dementsprechend sind die gefälschten E-Mails und Anrufe auf den ersten Blick nicht leicht als Fake zu erkennen. Die Täter suchen sich ferner gezielt Unternehmen bzw. Konzerne mit komplexen (Matrix-)Strukturen aus, in denen die (teilweise über mehrere Länder verlaufenden) Hierarchieebenen selbst von den Mitarbeitern nicht ohne weiteres durchschaubar sind. Außerdem machen sich die Betrüger die Tatsache zunutze, dass viele der benötigten „Insiderinformationen“ heutzutage frei im Internet zugänglich sind, sei es über die entsprechenden Internetauftritte der Unternehmen selbst oder über Social-Media-Kanäle der Mitarbeiter (Facebook, Xing). Auf diese Weise sind die Täter – selbst ohne einen „Maulwurf“ im Unternehmen zu haben – bestens informiert und können mit vermeintlichem Insiderwissen glänzen. Es bedarf daher genauerem Hinsehen, um zu erkennen, dass der vermeintliche Vorgesetzte tatsächlich ein Betrüger ist. Insbesondere folgende Anhaltspunkte können für das Vorliegen eines Betrugs sprechen:
- Die E-Mail-Absenderadresse ist minimal verändert oder die E-Mail ist über eine andere Domain versandt.
- Die E-Mail hat keine oder eine leicht veränderte Signatur.
- Die Anrede, der Text oder die Grußformel der E-Mail weichen vom üblichen Sprachgebrauch im Unternehmen ab.
- Vorgelegte, vermeintlich offizielle Dokumente enthalten Rechtschreib- und/ oder Grammatikfehler, hineinkopierte Briefköpfe oder Stempel.
- Anrufe erfolgen mit unterdrückter Rufnummer.
- Der Mitarbeiter wird plötzlich gesiezt statt – wie sonst üblich – geduzt.
- Die Zahlungsaufforderung stammt nicht von dem unmittelbaren Vorgesetzten des betroffenen Mitarbeiters, sondern von Führungskräften aus anderen Konzerngesellschaften (ggf. sogar aus dem Ausland).
- Die Zahlungsaufträge lauten auf ungewöhnlich hohe Summen.
Was können Arbeitgeber tun, damit ihre Mitarbeiter nicht auf die „Chef-Masche“ hereinfallen?
Das Risiko, Opfer der „Chef-Masche“ zu werden, können Arbeitgeber durch verschiedene Vorsichtsmaßnahmen zumindest stark minimieren. Als einfache und schnelle Sofortmaßnahme sollten die für Überweisungen zuständigen Mitarbeiter über die kursierende Betrugsmasche informiert und zu besonderer Achtsamkeit ermahnt werden.
Grundlegend zur Vermeidung von Betrugsfällen ist die Erteilung klarer Arbeitsanweisungen für die Bearbeitung von Zahlungsaufträgen und die Durchführung von Überweisungen. Die arbeitgeberseitigen (schriftlichen!) Vorgaben sollten zum einen eine eindeutige und konkrete Kompetenzverteilung vorsehen, damit jeder Mitarbeiter weiß, wer im Unternehmen zur Erteilung von Zahlungsaufträgen und zur anschließenden Durchführung von Überweisungen befugt ist (und vor allem: wer nicht). Zum anderen empfiehlt es sich, einen verbindlichen Prozess zum Ablauf von Zahlungsvorgängen aufzusetzen. Dabei bietet sich die Einführung eines strikten Mehr-Augen-Prinzips sowie konkreter Genehmigungserfordernisse an. Damit Betrüger die hierdurch geschaffenen Schutzmechanismen nicht durch anderslautende Anweisungen von vermeintlich höherer Stelle aushebeln können, muss zudem sichergestellt werden, dass die erteilte Arbeitsanweisung auch in vertraulichen Angelegenheiten strikt einzuhalten ist und weder telefonisch noch per E-Mail außer Kraft gesetzt werden kann, auch nicht von Vorgesetzten oder der Geschäftsführung. Allerdings nützt die ausgeklügeltste Arbeitsanweisung nichts, wenn die Mitarbeiter sie nicht kennen. Es ist daher darauf zu achten, dass die Mitarbeiter von der Arbeitsanweisung Kenntnis erlangen, sei es durch schriftliche Aushändigung, Zusendung per E-Mail oder Veröffentlichung an prominenter Stelle im Intranet.
Als langfristige Maßnahme kommt ferner die Einführung von Social Engineering Tests in Betracht, mit deren Hilfe die Reaktion der Mitarbeiter getestet und mögliche Schwachstellen im Sicherheitskonzept eines Unternehmens identifiziert werden können.
Nicht zuletzt sollten Unternehmen eine Kultur des konstruktiven Dialogs pflegen, so dass Mitarbeiter sich nicht scheuen, in Zweifelsfällen Vorgesetzte anzusprechen und um Rat zu bitten. Gerade die persönliche Rücksprache mit dem Vorgesetzten, von dem die Zahlungsanweisung stammen soll, dürfte zur Aufdeckung der meisten Betrugsversuche führen. Ist der Vorgesetzte nicht persönlich zu sprechen, lässt sich der Zahlungsauftrag auch durch einen Anruf bei oder eine (allerdings nicht durch das Klicken auf „Antworten“ erzeugte) E-Mail verifizieren.
In der Fortsetzung dieses Beitrags beleuchten wir auf diesem Blog in Kürze etwaige arbeitsrechtliche Konsequenzen im Zusammenhang mit der „Chef-Masche“ sowie die Mitbestimmung bei der Einführung von „Social Engineering Tests“.