"CEO-Fraud" als akutes Risiko

Wenn Hacker Chef spielen


Wenn Hacker Chef spielen: "CEO-Fraud" als akutes Risiko Studie

Die "CEO-Fraud" genannte Betrugsmasche, bei der Mitarbeiter großer Firmen dazu gebracht werden, erhebliche Geldbeträge auf ausländische Konten zu überweisen, entwickelt sich zum Massendelikt. Beim "CEO Fraud" geben sich Betrüger als Chefs aus, um beispielsweise einen Unternehmensmitarbeiter eine Anweisung zum Transfer eines größeren Geldbetrages ins Ausland zu übermitteln. Die nunmehr neunte Studie "Wirtschaftskriminalität" der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC zeigt, dass 40 Prozent der befragten Unternehmen in den vergangenen 24 Monate zumindest einmal zum Ziel einer "CEO-Fraud"-Attacke geworden sind. Doch in nur fünf Prozent der Fälle hatten die Kriminellen Erfolg. Die durchschnittliche Schadenssumme dieser Angriffsmethode, die technische Elemente mit dem sogenannten "social engeneering" kombiniert, liegt deutlich höher als bei der typischen Cyber Kriminalität.

An der Schwelle von Cybercrime und klassischer Kriminalität

"Bislang herrscht in der Öffentlichkeit der Eindruck vor, bei CEO-Fraud gehe es nur um ein paar wenige spektakuläre Einzelfälle. Unsere Untersuchung zeigt jedoch, dass wir es mit einer systematisch angewandten Betrugsmethode zu tun haben, die für deutsche Unternehmen ein signifikantes Bedrohungspotenzial birgt", sagt Steffen Salvenmoser, PwC Partner und Experte für Wirtschaftskriminalität. Dass sich viele Firmen noch immer schwertun, das Problem in den Griff zu bekommen, liege auch daran, dass "CEO-Fraud" genau an der Schnittstelle von Cybercrime und herkömmlicher Kriminalität spiele, so Salvenmoser: "Der Betrug läuft in vielen Fällen so ab, dass sich die Täter per gefälschter E-Mail als Mitglied des Topmanagements ausgeben und Mitarbeiter aus dem Finanzwesen unter Druck setzen, rasch eine größere Summe Geld anzuweisen. Es handelt sich also einerseits um ein technisches Delikt, andererseits aber auch um die Manipulation von Menschen. So machen sich die Kriminellen gleich zwei potenzielle Schwachstellen von Unternehmen zunutze."

Fast jedes zweite Unternehmen wird von Cyber-Kriminellen attackiert

Auch jenseits von "CEO-Fraud" bleibt Cybercrime ein beherrschendes Thema. So stellte in den vergangenen 24 Monaten fast jedes zweite deutsche Unternehmen (46 Prozent) mindestens eine Attacke fest – eine deutliche Zunahme im Vergleich zur Befragung von vor zwei Jahren (2016 - 36 Prozent). Dabei stiegen die Fälle von Computerbetrug von 13 Prozent auf 21 Prozent, es folgten die Manipulation von Konto- und Finanzdaten (14 Prozent), das Ausspähen und Abfangen von Passwörtern und anderen sensiblen Daten (14 Prozent), Fälle von Computersabotage und Datenveränderung (13 Prozent), die Fälschung beweiserheblicher Daten (6 Prozent) sowie Verstöße gegen Patent- und Markenrechte (6 Prozent). Gleichwohl betont Salvenmoser, dass die Zunahme eindeutig festgestellter Cyber-Delikte nicht zwingend ein schlechtes Zeichen sein muss. Denn: "Die Zahl der bloßen Verdachtsfälle ist im Vergleich zur letzten Umfrage mit 39 Prozent konstant geblieben. Darum könnte der Anstieg eindeutiger Fälle darauf hindeuten, dass viele Unternehmen sensibler für diese Risiken geworden sind und ihre IT-Sicherheitstechnik verbessert haben. Dann hätten wir es in erster Linie mit einer grundsätzlich wünschenswerten Verschiebung von hohen Dunkelziffern hin zu mehr Transparenz zu tun."

Die häufigsten Arten von Cybercrime nach Anteil der betroffenen Unternehmen in den letzten zwei Jahren

Die häufigsten Arten von Cybercrime nach Anteil der betroffenen Unternehmen in den
letzten zwei Jahren

Drei von vier Unternehmen haben Compliance-Programme installiert

Auch in anderer Hinsicht zeigt die PwC-Studie, dass deutsche Unternehmen das Thema Wirtschaftskriminalität immer offensiver angehen. So haben sich Compliance-Programme in der deutschen Wirtschaft etabliert; drei Viertel aller befragten Firmen mit mehr als 500 Mitarbeitern verfügen über ein solches Programm. Darüber hinaus weiten die Unternehmen ihre Compliance Management Systeme auf immer mehr Deliktfelder aus. So richten sich die Programme zwar weiterhin in erster Linie gegen Datenschutzverletzungen (89 Prozent aller Unternehmen mit CMS) und Korruption (83 Prozent), daneben geht es aber auch immer stärker um Vermögensdelikte (74 Prozent), Geldwäsche (65 Prozent), oder bei börsennotierten Unternehmen auch um strafbaren Insiderhandel (76 Prozent). "Im Vergleich dazu ist ausgerechnet der Schutz vor Cybercrime mit nur 56 Prozent immer noch unzureichend", sagt PwC-Partner Salvenmoser. "Hier würden wir uns eine deutlich höhere Sensibilität wünschen."

Warum die klassische Wirtschaftskriminalität zurückgeht

Die Fälle klassischer Wirtschaftskriminalität gehen unterdessen tendenziell zurück, belegt die PwC-Studie. Zeigten sich in der gleichen Umfrage von 2009 noch 61 Prozent der Unternehmen betroffen, so sind es jetzt nur noch 45 Prozent. Besonders gut ist diese langfristige Entwicklung bei Vermögensdelikten (von 42 Prozent auf 32 Prozent), beim Diebstahl vertraulicher Unternehmens- und Kundendaten (von 21 Prozent auf 7 Prozent) und bei Verstößen gegen Patent und Markenrechte (von 23 Prozent auf 13 Prozent) zu beobachten. "Dieser Rückgang ist in erster Linie das Ergebnis konsequent angewandter Compliance-Programme", betont Professor Kai Bussmann von der Martin Luther Universität Halle-Wittenberg. Dabei sei es allerdings "zu kurz gesprungen, in der Kriminalitäts- und Betrugsbekämpfung allein eine lästige Notwendigkeit zu sehen". Denn: 60 Prozent der befragten Unternehmen sehen in CMS-Programmen mittlerweile einen Wettbewerbsvorteil am deutschen Markt – während nur noch neun Prozent von gegenteiligen Erfahrungen berichten. Und noch bemerkenswerter: Sogar 62 Prozent haben festgestellt, dass ihre CMS-Programme Wettbewerbsvorteile auf ausländischen Märkten bringen. Salvenmoser: "Die Zeiten, in denen Compliance als möglicher Absatzkiller verunglimpft wurde, sind glücklicherweise vorbei. Selbst die Kritiker müssen allmählich einsehen: Das genaue Gegenteil ist der Fall."

Durchschnittliche Schäden je Delikt in Mio. €, nach Unternehmensgröße [Basis: 212 Unternehmen, die Opfer eines schwerwiegenden Wirtschaftsdelikts wurden]

Durchschnittliche Schäden je Delikt in Mio. €, nach Unternehmensgröße [Basis: 212 Unternehmen, die Opfer eines schwerwiegenden Wirtschaftsdelikts wurden]

Hat Compliance die Korruption besiegt?

Der Erfolg von Compliance zeigt sich auch bei der Korruption, von der laut der Umfrage überhaupt nur noch 6 Prozent der Unternehmen direkt betroffen sind. Darüber hinaus nahmen die Verdachtsfälle im Vergleich zur Umfrage von 2015 signifikant von damals 19 Prozent auf nun nur noch 11 Prozent zurück. Auch der Anteil der Unternehmen, die davon ausgehen, dass sie bei einer Auftragsvergabe gegenüber einem korrupten Wettbewerber das Nachsehen hatten, sankt deutlich – nämlich von 21 Prozent auf 9 Prozent. Neben den Compliance-Programmen dürfte auch die Reform des § 299 StG eine Rolle gespielt haben: Denn nun können Ermittler auch Bestechung und Bestechlichkeit im geschäftlichen Verkehr außerhalb von Wettbewerbssituationen strafrechtlich verfolgen.

Normalität in vielen deutschen Unternehmen sind inzwischen Hinweisgeber-Systeme, die dazu dienen, dass Mitarbeiter das Fehlverhalten von Kollegen melden können. Am weitesten verbreitet ist mit 79 Prozent die Rolle einen internen Ansprechpartners – wobei der aufgrund der eingeschränkten Anonymität kein Hinweisgeber-System im engeren Sinne darstellt. Allerdings verfügen 86 Prozent der Unternehmen mit einem Anti-Korruptionsprogramm inzwischen zumindest über eine telefonische Hotline (57 Prozent), ein webbasiertes System (35 Prozent) oder eine auch anonym zu kontaktierende Ombudsperson (29 Prozent).

Verbesserungsbedarf besteht weiterhin, was den Zugang externer "Whistleblower" betrifft. So sind nur 31 Prozent der Systeme für Geschäftspartner und Subunternehmen offen und sogar nur 23 Prozent für die Öffentlichkeit. "Und das", so PwC-Experte Salvenmoser, "obwohl unseren empirischen Untersuchungen zufolge schon jetzt rund ein Fünftel der Hinweise von externen Tippgebern kommen."  

[ Bildquelle Titelbild: Adobe Stock ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.