Mit Social Engineering ans Geschäftskonto

ChefSenioren müssen aufpassen, am Telefon nicht auf den Enkeltrick hereinzufallen und in dem erschlichenen Vertrauen Geld an Betrüger zu überweisen. Mitarbeiter von größeren Firmen werden hingegen per Email mit dem Cheftrick – auch CEO Fraud genannt – angegriffen. So konnten gut informierte Täter im August 2016 rund 40 Millionen Euro vom Auto-Zulieferer Leonie AG aus Nürnberg erbeuten, indem sie unter der vorgeblichen Email-Adresse des Chefs wichtige Zugangsdaten von Mitarbeitern erfragten.

Wenn die Täter sich zuvor aus allgemein zugänglichen Quellen über die Unternehmensstruktur, die Email-Adressen und die Arbeitsabläufe informieren – Social Engineering oder Spear-Phishing genannt – schöpfen die angeschriebenen Mitarbeiter der Buchhaltung oder IT-Administration keinen Verdacht. Anweisungen kommen oft per Email, Original-Unterschriften sind nicht mehr notwendig und angebliche Freigaben werden von den Tätern vorgetäuscht.

Hohe Schäden beim CEO Fraud

Betroffene Unternehmen möchten damit selten an die Öffentlichkeit treten und verzichten dafür auch auf eine Strafanzeige. Die börsennotierte Leonie AG hingegen war zu einer Ad-hoc-Mitteilung verpflichtet:

Die Leoni AG hat am Freitag, 12. August 2016, erkannt, dass sie Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege wurde. In deren Folge wurden Gelder des Unternehmens auf Zielkonten im Ausland transferiert. Der Vorstand leitete umgehend eine Untersuchung der Vorfälle ein und prüft derzeit Schadenersatz- und Versicherungsansprüche. Ebenso wurde Anzeige bei der Kriminalpolizei erstattet. Der Schaden beläuft sich auf einen Abfluss an liquiden Mitteln von insgesamt ca. 40 Mio. Euro. IT-Infrastruktur sowie Datensicherheit sind von den kriminellen Aktivitäten nicht betroffen.

(Quelle: Pressemitteilung der Leonie AG vom 16.08.2016)

Der Schaden ist höher als die kriminellen Überweisungen allein. Nach der Mitteilung ging auch der Aktienkurs der Leonie AG deutlich zurück:

Leonie AG Aktienkurs

 

 

 

 

 

 

 

 

 

 

 

Die Polizei Hessen, die in ähnlichen Fälle von Social Engineering ermittelte, warnt:

Betrüger sind oft gut informiert. Firmenauftritte im Internet liefern zumeist umfassende Informationen über die Hierarchieverhältnisse in den Unternehmern. Über Anonymisierungsdienste lässt sich dann eine X-beliebige E-Mail-Adresse vorgaukeln, die in der E-Mail-Flut manches Firmenmitarbeiters schnell als eine echte Mitteilung des Chefs angesehen werden kann. (…) Meist werden gezielt die Mitarbeiter eines Unternehmens angeschrieben, die berechtigt sind Überweisungen zu tätigen. Das nämlich ist in den meisten Fällen das Ziel der Täter

(Quelle: Polizei Hessen vom 12.04.2016)

Strafbarkeit des Identitätsmissbrauchs

Sabine Thurau, Präsidentin des Hessischen Landeskriminalamt, stellte zum Polizeitag am 27.06.2016 in Wiesbaden detailreich einen Cheftrick per Email unter dem Titel „Der Bürger als Datenlieferant: Chancen und Risiken“ vor. Der vorangehende Identitätsmissbrauch und die folgende Vermögensschädigung sind jeweils strafbar: Täuscht der Täter in einer Email eine andere Identität (des Chefs) vor, kann damit schon eine Strafbarkeit wegen Fälschung beweiserheblicher Daten gem. § 269 StGB vorliegen. Sofern die Email-Adresse des Chefs nicht allgemein zugänglich ist, kann deren Verwendung auch als unbefugte Datenverarbeitung gem. § 44 BDSG strafbar sein. Übermittelt er dem Opfer noch die Bankverbindungsdaten, kommt eine Strafbarkeit wegen (versuchten) Betrug gem. § 263 StGB in Betracht.