Fake President Fraud | Financial Advisory

Article

Eigenschaften von Fake President Fraud

Grundlagen zur Risikobeurteilung, Maßnahmenableitung und Reaktion im Ernstfall

Dieser Beitrag führt in die Charakteristika eines erfolgreichen Fake President-Angriffs ein. Die umfassende Betrachtungsweise schafft die Basis für einen ausgewogenen Dialog zur Beurteilung und Behandlung dieses wachsenden Risikos für Unternehmen aller Branchen und Größenordnungen.

Compliance-Berater | 11/2017

Die Betrugsmasche „Fake President“ wird zunehmend in deutschen und internationalen Unternehmen diskutiert. Schadenssummen von zuletzt großen zweistelligen Millionenbeträgen lenken den Blick von
Vorständen und Geschäftsführern, aber auch Abteilungen wie Finanzen, Buchhaltung, Compliance, Recht und Informationssicherheit auf diese etablierte Form der Wirtschaftskriminalität. Auch wenn das Angriffsmuster selbst nicht neu ist, so ist dennoch Dynamik rund um dieses Risiko entstanden. Bei Versicherungsunternehmen rangiert der Fake President Fraud auf den obersten Rängen der aktuellen Betrugsszenarien. Einige Versicherungsunternehmen reagierten mit der Anpassung ihrer Bedingungswerke auf das erneute Aufflammen der alten Betrugsmasche.

Der Gestaltung sicherer Zahlungsprozesse fällt in Unternehmen daher eine entsprechende Bedeutung zu. Aktuelle Diskussionen sind nach wie vor zu stark auf die eher trivialen Angriffsszenarien fokussiert. Der besonderen Situation eines in den Vorfall involvierten Mitarbeiters wird damit nicht ausreichend Rechnung getragen. Die Strategie der Betrugsmasche ist jedoch auf die Umgehung bzw. unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Täuschung eines Mitarbeiters der Abteilung Finanzen oder der Buchhaltung ausgelegt.

Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Das Management und die Mitarbeiter mit Kompetenz zur Zahlungsautorisierung und -anweisung sollten neben sicheren Prozessen im Zentrum jeder Risikobetrachtung stehen. Für eine fundierte und umfassende Diskussion und Maßnahmenableitung lohnt sich daher die Betrachtung der Eigenschaften eines idealtypischen Fake President-Vorfalls.

 

Was ist ein Fake President Fraud

Der sog. Fake President Fraud ist auch unter anderen Bezeichnungen wie CEO-Fraud, Enkeltrick 2.0 oder auch Chef-Masche bekannt. Der Beitrag verwendet im Folgenden die Kurzform „Fake President“. Dabei versuchen externe Angreifer einen Mitarbeiter der Abteilung Finanzen oder der Buchhaltung zur Überweisung von großen Beträgen ins Ausland zu bewegen, wobei große Eile geboten ist. Dabei wird die bereits vorhandene Freigabe durch einen Vorgesetzten (wie z.B. den CEO) oder die Anweisung durch den Vorgesetzten selbst durch gefälschte E-Mails und/oder geschicktes Social Engineering per Telefonanruf vorgetäuscht. Der Vorwand für die Überweisung kann bspw. der Kauf von Unternehmensanteilen sein. Fake President kann als eine Form des Identitätsbetrugs angesehen werden. Er ist von anderen Formen wie der (i) Umleitung von Zahlungsströmen oder der (ii) Umleitung von Warenlieferungen zu unterscheiden.

Gemein ist allen drei Betrugsszenarien zudem, dass sie üblicherweise durch außenstehende Dritte verursacht werden. Ob und inwieweit dabei kollusives Handeln, also die aktive und bewusste Einbeziehung eines oder mehrerer Mitarbeiter eines Unternehmens in die Planung und Umsetzung der Angriffe eine Rolle spielt, ist nach wie vor schwer nachzuweisen. Die klare Unterscheidung unterschiedlicher Formen von Betrugsszenarien ist jedenfalls elementar, da sich die jeweiligen Maßnahmen zur Behandlung der Gefahren bei allen Gemeinsamkeiten auch unterscheiden können.

 

Eigenschaften eines idealtypischen Fake ­President-Vorfalls

Bei Fake President versucht der Angreifer die Anweisung einer betrügerischen Zahlung durch einen Mitarbeiter der Finanzabteilung oder der Buchhaltung zu erwirken. Dabei täuscht der Angreifer vor, bereits über eine Freigabe der Zahlung durch einen Geschäftsführer, das höhere Management oder auch einen juristischen Stellvertreter zu verfügen.

Vergrößerte Ansicht

Präventionsmaßnahmen

Regelmäßige Sensibilisierungs- und Schulungsmaßnahmen können die Wahrscheinlichkeit erfolgreicher Fake President-Angriffe deutlich reduzieren. Die Maßnahme sollte rollenspezifisch sein und zumindest Geschäftsführung, höheres Management und Mitarbeiter der Abteilung Finanzen und der Buchhaltung sprichwörtlich an einen Tisch bringen.

Entscheidend im Rahmen der Schulungsmaßnahme ist die moderierte Diskussion – idealerweise einschließlich Rollenspiel – der psychologischen Eigenschaften eines Angriffsszenarios. Durch die unmittelbare emotionale Erfahrung wird das Problembewusstsein aller Teilnehmer geschärft und mögliche Barrieren durch Hierarchien werden abgebaut.

Im Ergebnis sollte das Bewusstsein dafür geschärft werden, dass es sich bei Fake President um ein komplexes Angriffsszenario handeln kann, dessen Vorbereitung sich möglicherweise über einen längeren Zeitraum erstreckt.