Mittels Social-Engineering-Methoden erlangen Kriminelle jegliche Art von Informationen und Details über die Firma sowie ihre Mitarbeitenden, die berechtigt für Geldüberweisungen sind (vgl. sgz vom 4. Juni 2021). Das heisst: Betrüger kreieren eigene E-Mail-Adressen, die auf den ersten Blick vom CEO (oder einem anderen Mitglied der Geschäftsleitung) stammen. Von dieser Adresse aus verschicken sie dann zum Beispiel Mails an die Buchhaltung oder an einen vertrauten Mitarbeitenden mit entsprechenden Kompetenzen. Darin fordern die vermeintlichen Chefs den Mitarbeitenden auf, hohe Zahlungen anzuweisen – meist auf ausländische Konten.

Dieser Modus Operandi (Tatvorgehen; Gewohnheit des Täters) wird seit einigen Jahren in der DACH-Region äusserst häufig und erfolgreich angewandt. Die Methode ist sehr simpel, leider aber auch hochwirksam. Einmal überwiesene Geldbeträge können meist nicht mehr zurückgeholt werden!

Awarenesskampagne kann grossen Schaden abwenden

Dieser Bedrohung sind wir nicht einfach alternativlos ausgesetzt! Einige Gegen- und Schutzmassnahmen stehen zur Verfügung, sind hochwirksam und führen mit wenig Aufwand zur besten Prävention. Es lohnt sich in jedem Fall alleine schon finanziell, wenn Sie in Ihrem Betrieb alle Verantwortlichen instruieren und im Rahmen einer Awarenesskampagne einen Leitfaden oder eine Handlungsanweisung erarbeiten (lassen).

Allgemeine Massnahmen im Umgang mit solchen Mails:

• Bei Erhalt eines entsprechenden E-Mails mit einer ungewöhnlichen Zahlungsanweisung nicht sofort die Überweisung durchführen, sondern kritisch den Inhalt des E-Mails lesen (u. a. auf Schreibfehler; Schreibstil achten)

• Überprüfen der E-Mails auf Plausibilität des Inhalts und korrekte Absenderadresse, zum Beispiel:max.muster@swissbp.ch

= unbedenklich/max.muster@ mail.com = kritisch/evtl. gefälscht

• Sofortiges Verifizieren der Zahlungsaufforderung mittels telefonischen Rückrufs bzw. persönlicher Kontaktnahme beim auftraggebenden Chef

• Bei anhaltender Unsicherheit sofortige Rücksprache mit dem direkten Vorgesetzten

• Im absoluten Zweifelsfall lieber einmal mehr prüfen, statt sofort überweisen!

Dringendste Massnahmen, falls die Summe bereits überwiesen wurde:

• Sofort mit dem direkten Vorgesetzten und dem Zuständigen der Sicherheit, wenn nötig auch ausserhalb der Bürozeiten, Kontakt aufnehmen. Es gibt Möglichkeiten – sofern der Fehler schnell entdeckt wurde – mit dem entsprechenden Bankinstitut in Kontakt zu treten und die Überweisung an die ausländische Empfängerbank zu verhindern. Hier ist die Zeit ein und alles! Nicht warten!

• Rücksprache mit der internen Stelle, um gegebenenfalls eine Strafanzeige bei der zuständigen Polizeidienststelle auszulösen

Awareness für Mitarbeitende! Massnahmen zur Verhinderung von Vorfällen:

• Achten Sie darauf, welche Informationen und Daten über Sie und Ihre Firma öffentlich sind bzw. wo und was Sie und Ihre Mitarbeitenden im Zusammenhang mit Ihrem Unternehmen publizieren

• Vermeiden Sie auch, scheinbar unwichtige Dinge über Ihren Berufsalltag in den Sozialen Medien zu posten (Facebook, Instagram etc.)

• Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen (z. B. Vieraugenprinzip bei Geldtransaktionen) ein

• Sensibilisierung ist alles! Nutzen Sie die Awarenessangebote für Ihre persönliche berufliche und private Sicherheit: Schwachstelle Mensch, Informations- und Datenschutz, Betrugsphänomene, Social Engineering etc.

Chris Eckert

Mehr Auskünfte und gezielte Schulungen erteilt Ihnen u. a. auch: