Vorsicht vor falschen Chefs

06. September 2018 18:17; Akt: 07.09.2018 08:19 Print

«Bei nur zwei Opfern hat es sich schon gelohnt»

Trickbetrüger geben sich als Vorgesetzte aus fordern Angestellte auf, Geld zu überweisen. So entstand 200'000 Fr Schaden in Basel, Millionen in der Schweiz. Doch es kann verhindert werden.

storybild

Die Täter geben sich als Vorgesetzte aus und weisen Mitarbeiter an, Geldbeträge zu überweisen. (Symbolbild iStock)

Zum Thema
Fehler gesehen?

Stellen Sie sich vor, sie bekommen eine E-Mail von der Adresse Ihres Chefs, in der sie dazu aufgefordert werden, dringend eine Rechnung zu begleichen. Sie ahnen nichts Böses und tun wie Ihnen geheissen. Doch im Nachhinein stellt sich heraus, dass Sie Betrügern auf den Leim gegangen sind und das Geld weg ist.

So ergeht es derzeit Angestellten von kleinen und mittelständischen Unternehmen (KMU) vermehrt. Denn die Betrüger haben es längst nicht mehr nur auf Grosskonzerne abgesehen. Ins Visier geraten sind KMUs, weil bei ihnen auch stattliche Summen zu holen sind, sie aber im Gegensatz zu grossen Firmen teils keine eingehenden Prüfungen von Transaktionen vornehmen. Auf diese Weise wurden im Kanton Basel-Stadt in den letzten Wochen mindestens 200’000 Franken ergaunert, wie die Staatsanwaltschaft am Donnerstag mitteilte.

Sie stalken die Opfer im Internet

Die betrügerischen Zahlungsaufforderungen sind oft täuschend echt. Das liegt daran, dass die Täter im Internet an Informationen über die Firma und ihre Angestellten gelangen können. «Gerade die gesuchten Informationen für diese Betrugsart sind auf vielen Unternehmens-Webseiten öffentlich publiziert. Wenn möglich sollte man darauf verzichten», sagt Max Klaus, stv. Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani).

Laut Melani würden die Täter nicht vor grossem Aufwand zurückschrecken, um unternehmensbezogene Szenarien glaubhaft darzustellen. «Sie überwachen die Aktivität von Angestellten der Zielfirmen in den sozialen Medien. Fliegt ein Chef an eine Konferenz, wissen sie, dass er nicht telefonisch für eine Überprüfung der Anweisung erreichbar ist», sagt Stefan Frei, Dozent für Cyberkriminalität an der ETH Zürich.

Zudem betont Frei das eklatante Kosten-Nutzen-Verhältnis: «Der Angreifer kann 100’000 Mails verschicken. Wenn nur zwei Opfer darauf hereinfallen, hat es sich schon gelohnt». So seien schon Millionen von Franken erbeutet worden. Aus diesem Grund empfiehlt er ein entsprechendes Training für jene Angestellte, die Überweisungen vornehmen können.

Verhaltensprotokolle können helfen

Eine Sensibilisierung zum Umgang mit Informationen des Unternehmens könne helfen, wehre die Gefahr aber nicht unbedingt vollständig ab, so Klaus. «Es müssen klare Prozesse bestehen, die von allen Mitarbeitenden einzuhalten sind.»

Laut Frei ist eines der Mittel der Betrüger, Druck auf die Angestellten aufzubauen und mit Konsequenzen zu drohen, sollte ihre Forderung nicht erfüllt werden. Das sei vor allem dann problematisch, wenn der Chef streng oder aufbrausend sei. Die Angestellten seien dann eher bereit, der Forderung nachzukommen.

Frei schlägt deshalb Verhaltensprotokolle vor: «Bei bestehenden Geschäftskontakten muss man sich in der Regel keine Sorgen machen. Bei einem neuen Konto sollte aber das Okay des Chefs über ein verlässliches Medium eingeholt werden, zum Beispiel zusätzlich zum E-Mail noch per Telefonat oder vorgängig abgemachtem Code», so der Dozent. Sei der Chef dann nicht erreichbar, solle man mit der Überweisung warten, bis diese von ihm bestätigt werde.

(las)