CEO-Fraud: Die neue Form der betrügerischen Bereicherung an Wirtschaftsunternehmen

Eine in den USA bereits schon bekannte Betrugsmethode breitet sich immer mehr in Deutschland aus. Sowohl das Bundeskriminalamt als auch das Landeskriminalamt Baden-Württemberg haben schon erste Warnungen herausgegeben. Bei dieser neuen Art des Überweisungsbetruges werden Mitarbeiter aus dem Rechnungswesen bzw. dem Zahlungsverkehr mit fingierten E-Mails von ihren vermeintlichen Chefs angewiesen, hohe Geldbeträge auf ausländische Konten zu überweisen.

Was bedeutet „Fraud“?

Der Begriff Fraud stammt aus dem Angelsächsischen und kann nicht direkt ins Deutsche übersetzt werden. Der Begriff kann vielmehr als eine Sammlung verschiedenster Arten der Wirtschaftskriminalität wie z.B. List, Schwindel oder auch Täuschung verstanden werden. Jedoch wird mittlerweile der Begriff Fraud auch in Deutschland immer öfter als Synonym für die u.a. oben erwähnten Arten der Wirtschaftskriminalität verwendet. Gleichzeitig existiert im deutschsprachigen Raum die Bezeichnung „Dolose Handlung“, die dem Begriff Fraud sehr nahe kommt. Hierbei wird das vorsätzliche Handeln, Dulden oder Unterlassen, durch das dem Unternehmen oder auch Dritten Schaden zugefügt wird, verstanden (vgl. Quentmeier, 2012, Praxishandbuch Compliance, Seite 64).

Die Bandbreite an wirtschaftskriminellen Handlungen, die unter Fraud fallen, scheinen fast unerschöpflich. Die wirtschaftlichen und technologischen Entwicklungen der letzten Jahre haben zu neuen Dimensionen von Fraud geführt. Einige Beispiele die ebenfalls unter den Begriff Fraud fallen, finden Sie im anschließenden Diagramm:

Rechtfertigung

Um zu verdeutlichen warum wirtschaftskriminelle Handlungen überhaupt auftreten können, hilft in einem ersten Ansatz das sogenannte „Betrugsdreieck“ nach Dr. Donald R. Cressey.

Q_PERIOR BETRUGSDREIECK

Was versteht man nun unter CEO-Fraud?

Das Bundeskriminalamt sowie die Landeskriminalämter haben bereits mehrfach auf diese neue Betrugsmethode hingewiesen. Hierbei „spionieren“ Betrüger anzugreifende Unternehmen aus und geben sich als Geschäftsführer, Personen höherer Führungsebenen oder als Partner aus, mit dem Ziel größere Geldbeträge auf ein Konto, meistens im Ausland, überweisen zu lassen.

  1. Social Engineering

    Zu Beginn informieren sich die Betrüger ausgiebig über das Unternehmen, das sie „betrügen“ wollen. Dabei nutzen sie neben veröffentlichten Informationen aus Wirtschaftsberichten und dem Handelsregister auch die Homepage der Unternehmen für ihre Recherchen. Die sozialen Netzwerke oder auch Recruiting Plattformen bieten den Betrügern ebenfalls weitere Möglichkeiten sich „Insiderwissen“, z.B. über Funktion, Tätigkeiten und weitere persönliche Informationen der Mitarbeiter der Unternehmen, einzuholen. (vgl. Bundeskriminalamt, 2016)

  2. Betrugsvorgehen

    Mit Hilfe dieser Information bzw. ihrem verschafften Insiderwissen nehmen Betrüger in der Regel in Form von fingierten E-Mails Kontakt mit Mitarbeitern auf, wobei sie sich als Geschäftsführer, Führungskräfte oder auch Handelspartner ausgeben. Um diesen E-Mails Nachdruck zu verleihen werden oftmals vorab mit den Mitarbeitern Telefonate geführt. In diesen Telefonaten wird bereits auf die kommenden E-Mails verwiesen. Der Aufbau und das Layout der E-Mails entsprechen dem Aufbau und Layout der Unternehmens-E-Mails. Einzig minimale Abwandlungen wie z.B. leicht abgeänderte E-Mail-Adressen und verschleierte Telefonnummern, die aber leicht zu übersehen sind, können hier genannt werden.

    In den E-Mails selber fordern die Betrüger Mitarbeiter, vorwiegend aus dem Bereich Rechnungswesen/ Zahlungsverkehr auf, Zahlungen eines größeren Geldbetrages auf Konten im Ausland aufgrund eines fiktiven Vorwandes zu veranlassen. Diese Konten befinden sich oftmals in Asien oder auch Osteuropa und wurden dort unter einem falschen Namen eingerichtet. Sobald die Zahlungen auf diesen Konten eingegangen sind, werden sie leergeräumt und aufgelöst.

Prävention von CEO-Betrug

Wie schützen Sie sich vor dieser Betrugsmasche?
Legen Sie und Ihre Mitarbeiter und Kollegen ein erhöhtes Augenmerk auf E-Mails, die Überweisungen von mindestens 5-stelligen Geldbeträgen fordern und hinterfragen Sie diese genau. Scheuen Sie sich nicht, sich an den Absender der E-Mail zu wenden, auch wenn es sich um einen Vorstand oder auch Geschäftsführer handelt. Eine weitere Möglichkeit stellt die regelmäßige Überprüfung der öffentlich zugängigen Informationen über das Unternehmen dar. Dies schließt auch die persönlichen Veröffentlichungen der Mitarbeiter in den sozialen Netzwerken zu dem Unternehmen ein. Auch die Einführung interner Kontrollmechanismen wie das 4-Augen-Prinzip oder das Festlegen von Höchstgrenzen bei Überweisungen können Sie vor CEO-Fraud sicherlich schützen.

Es gibt noch einige weitere Präventions- und Sicherheitsmaßnahmen. Gerne können Sie uns hierzu kontaktieren. Wir helfen Ihnen bei der Implementierung von Fraud Prevention- und Fraud Detection-Maßnahmen.

Haben Sie noch Fragen zu weiteren Compliance-Themen?

Q_PERIOR berät und unterstützt branchenunabhängig zu Themen wie z.B. Wertpapiercompliance, Economic Sanctions, Geldwäsche (AML), Beauftragungswesen (Auslagerung), Datenschutz, Fraud, Interne Kontrollsysteme, Rechtsbeobachtung oder auch Governance, Risk & Compliance Applikationen.

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!