Social Engineering – Die stille Gefahr

Im weiteren Verlauf des Beitrags werden anhand typischer Fälle die Ausmasse von Fraud verdeutlicht. Da die «Human Manipulation», wie Social Engineering auch gerne genannt wird, zur Fraud-Liste gehört, ist es wichtig, kurz auf die Grundlagen von Fraud einzugehen. Dies geschieht am einfachsten mit dem Fraud Triangle (Betrugs-Dreieck) nach Donald R. Cressey, welches die Korrelation von drei Voraussetzungen gegenüberstellt und annimmt, dass Fraud erst dann erfolgreich sein kann, wenn alle drei gegeben sind – hierbei handelt es sich um die Folgenden:

1. Innere Rechtfertigung: der Täter muss die Tat vor sich selbst rechtfertigen können, bzw. ist sich keiner Schuld bewusst.
2. Motiv / Bedürfnis: es muss ein Anreiz vorhanden sein, eine dolose Handlung zu tätigen, um an z.B. Informationen oder Geld zu gelangen.
3. Gelegenheit: es muss die Möglichkeit bestehen bzw. geschaffen werden, die Tat erfolgreich durchzusetzen.

Nach unserer Erfahrung ist es stets die Gelegenheit, die darüber entscheidet, ob es zu Fraud kommt oder nicht. Anhand der nachfolgenden Ausführungen soll verdeutlicht werden, wie die Täter bei der Vorbereitung ihrer Tat im Regelfall vorgehen.

Bei einem Unternehmen, welches über kein internes Kontrollsystem verfügt, ergeben sich häufiger Gelegenheiten einen erfolgreichen Angriff zu platzieren. Grund hierfür ist, dass gemäss unserer Erfahrung im Unternehmen häufig auf Vertrauen gesetzt wird und dies zur Folge hat, dass wenige Mitarbeiter über viel Macht verfügen und eine detaillierte Funktionstrennung mangels Budget oder Personalressourcen nicht gegeben ist.

Für unseren Beispielfall nehmen wir an, dass ein funktionstüchtiges Kontrollsystem sowie entsprechende IT-Sicherheiten implementiert sind. Einen typischen Hacker-Angriff durch die «Hintertür» wird der Täter als schwierig einstufen, sodass er nach Alternativen suchen und sich zur sprichwörtlichen «Vordertür» Zutritt verschaffen muss. Dafür macht er sich ein Bild von der Unternehmensstruktur, den Zutrittsberechtigungen und alltäglichen Ablaufmustern des Unternehmens. Auf Plattformen wie Xing und LinkedIn kann er seine Erfahrungen mit den seiner Ansicht nach wichtigen Mitarbeitern vervollständigen.

Natürlich gibt es unzählige Möglichkeiten für den Täter weiter vorzugehen. Wir möchten uns jedoch nachfolgend auf den CEO-Fraud konzentrieren, da dieser seit 2019 in Deutschland und der Schweiz wieder an Bedeutung gewinnt. Beim CEO-Fraud wird über den Aufbau von Druck, durch zeitkritische Vorgaben, und die angebliche Aufforderung durch den CEO das Finanzdepartement einer Gesellschaft gezwungen, Zugang zu Daten zu gewährleisten oder auch Zahlungen für angebliche Unternehmenskäufe freizugeben. Die Vergangenheit zeigte, dass dies häufiger reüssiert als vermutet wird. Der folgende Fall aus 2016, sowie die technischen Weiterentwicklungen zeigen, wie ein CEO-Fraud funktioniert und wie er sich entwickeln kann.

Ein deutscher Automobilzulieferer kam ins Visier von Wirtschaftskriminellen, die ihren Angriff sehr gut vorbereitet hatten. Die Täter, so der Konzern, hätten sich «unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege» am Unternehmen bereichert. Was war aber genau passiert?

Als angeblicher CEO hatten sich die Täter im Finanzdepartement der Firma gemeldet und auf eine schnelle Überweisung für einen angeblichen Unternehmenskauf gedrängt. Der aufgebaute Druck liess die verantwortlichen Mitarbeiter kurz vor Feierabend handeln, da man nicht für einen gescheiterten Deal verantwortlich gemacht werden wollte. Die Art, wie die Mail geschrieben war, entsprach dem «normalen» Sprachgebrauch des tatsächlichen CEOs, auch die Absenderadresse der E-Mail war bis auf einen kleinen Buchstabendreher identisch. Die verantwortlichen Mitarbeiter übergingen die Vorgaben der Prozessbeschreibung und überwiesen 40 Millionen Euro auf ein chinesisches Bankkonto. Nachdem diese dem tatsächlichen CEO mitteilten, dass die Überweisung erfolgreich war, entdeckte man die Tat. Bis zu diesem Zeitpunkt war jedoch die Summe bereits weitergeleitet worden und nicht mehr nachzuverfolgen.

Nun ist man geneigt zu sagen, dass dies im eigenen Unternehmen nicht passieren könne. Der verantwortliche Mitarbeiter gab auch später zu, dass ihm der Auftrag zur Ausführung der Transaktion «merkwürdig» vorkam, er jedoch nicht seinem Vorgesetzten gegenüber zu viele Fragen stellen wollte.

Was sind neben dem Verlust noch weitere Folgen? Die Firma musste die 40 Millionen Euro gewinnmindernd im Aufwand berücksichtigen, worauf anschliessend das Quartalsergebnis und auch eine freigehandelte Aktie in Mitleidenschaft gezogen wurden. Diese Nachricht wurde von der Firma selber veröffentlicht, weil man sich zu diesem Zeitpunkt um eine weitere Börsennotierung bemühte. Quintessenz: Neben dem tatsächlichen Schaden litt auch die Reputation. Mit Schlagzeile vom 16.08.2016 titelte das Manager-Magazin «Deutschlands dümmster Zulieferer, 40 Millionen Euro weg – dieser MDax-Konzern fällt auf Betrüger rein». Der Untertitel: «Bei der Verkabelung von Autos zählt die Firma zu den Champions – doch beim Thema IT-Sicherheit und Controlling spielt das MDax-Unternehmen offenbar in der Kreisliga.» Neben dem bezifferbaren Verlust an liquiden Mitteln ist ein nicht bezifferbarer, aber erheblicher Verlust an Reputation durch diesen Vorgang entstanden. Seit dem Jahr 2016 wurden viele Unternehmen Opfer solcher Angriffe, die jedoch aus oben genannten Gründen, wenn möglich, nicht publik gemacht worden sind.

Nun sind seitdem vier Jahre vergangen. Was genau hat sich verändert? In den letzten 4 Jahren haben sich die tech-nischen Möglichkeiten und damit auch verbunden die Gelegenheiten für solche Angriffe verschärft. Haben Sie mal etwas von Deep Fake Software gehört? Eventuell fiel Ihnen diese Art von technischer Weiterentwicklung im Zusammenhang mit Fake News auf, jedoch können die meisten Menschen diesen Begriff nicht zuordnen. Was würden Sie denken, wenn man Ihnen ein Video zeigt, in dem Sie zu sehen sind, man Ihre Stimme hört, der Text jedoch niemals von Ihnen in der Form wiedergegeben wurde? Man hat Ihnen also sprichwörtlich «Wörter in den Mund gelegt», die Sie nie gesagt haben. Dies ist heute bereits möglich. Die Software benötigt von Ihnen lediglich rund zwei Stunden Video- und Sprachmaterial, um die wichtigsten Begriffe, Ihre Intonation und auch die Art der Sprache und Mimik zu kopieren. Nun filmt sich ein Täter und spricht einen Text, der über Ihr Gesicht gelegt wird und Sie werden bei guter Bearbeitung kaum erkennen können, dass es sich um ein gefälschtes Video handelt. Bei Plattformen, wie z.B. YouTube sind Videos mit beispielsweise Marc Zuckerberg oder Barack Obama zu sehen, die mit der oben genannten Software bearbeitet wurden. Die Videos sind bereits circa zwei Jahre alt, aber dennoch gut gemacht. Dies ist teilweise erschreckend, da nun der CEO Fraud zum einen wie früher über E-Mail oder auch nun zum anderen über Telefon, FaceTime, Skype oder andere Videokommunikations-Plattformen und so mit mehr Authentizität durchgeführt werden kann.

Um noch einmal zu verdeutlichen, welche Faktoren Fraud begünstigen, möchten wir kurz auf die E-Crime Studie der KPMG eingehen. Aus dieser Studie wird deutlich,

• dass Unachtsamkeit (88%),
• mangelndes Verständnis für potentielle Risiken (77%) und
• unzureichendes geschultes Personal (60%)

Um sich zukünftig bestmöglich davor schützen zu können, Opfer eines Fraud-Angriffs zu werden, sollten daher Präventionsmassnahmen vorhanden sein und auch umgesetzt werden. Hierzu zählen unter anderem, dass Schulen von Mitarbeitern und Führungskräften, insbesondere im Hinblick auf den Umgang und den Schutz von Daten. Eine eingeführte
und gelebte Funktions- und Rechtetrennung der Mitarbeiter, aber auch eine Unternehmenskultur in der sie ihre jeweilige, verantwortungsvolle Aufgabe verstehen und angehalten sind, bei Verdacht Alarm zu schlagen, sind unabdingbar. Um eine erste Einschätzung über das vorhandene Fraud-Risiko zu erhalten, empfiehlt sich ein Check-Up zur Evaluierung der aktuellen Situation.

In den oben genannten Ausführungen haben wir aufgezeigt, welche Formen Fraud im Extremfall annehmen kann. Zwei kleine Fälle aus Deutschland und der Schweiz sollen aber verdeutlichen, dass in jeder Firma Vorkehrungen unerlässlich sind. Im ersten Fall geht es um einen Geschäftspartner, der über Rechnungen einer kleinen Scheinfirma, die seiner Frau gehörte, Firmenmittel entzogen hat. Dies gelang, da nur eine Person für die Rechnungsannahme, Freizeichnung und Zahlung zuständig war. Diese Person war die eben erwähnte Frau des Geschäftspartners – Schaden: rund 600.000 € über 5 Jahre.

Der zweite Fall ist so simpel wie anschaulich: Ein Unternehmen aus der Schweiz baute stets auf grosses Vertrauen bei der Belegschaft. An einem Tag wurde einem Mitarbeiter gekündigt, der nach einem kleinen Ausflug nach Hause mit einer Axt wieder ins Büro kam und auch am firmeneigenen Server seiner Wut freien Lauf liess – Schaden: 80.000 € und mangels funktionierendem Backup auch verlorene Arbeitsergebnisse und Daten in einem nicht definierten Umfang.

Wir möchten daher an die Vernunft eines jeden Geschäftsführers appellieren, nicht mit Vorsorge zu beginnen, wenn bereits etwas passiert ist. Schützen Sie sich und Ihr Unternehmen daher rechtzeitig.