Studie

"CEO-Fraud" als akutes Risiko

Wenn Hacker Chef spielen

Redaktion RiskNET

Wenn Hacker Chef spielen: "CEO-Fraud" als akutes Risiko

Die "CEO-Fraud" genannte Betrugsmasche, bei der Mitarbeiter großer Firmen dazu gebracht werden, erhebliche Geldbeträge auf ausländische Konten zu überweisen, entwickelt sich zum Massendelikt. Beim "CEO Fraud" geben sich Betrüger als Chefs aus, um beispielsweise einen Unternehmensmitarbeiter eine Anweisung zum Transfer eines größeren Geldbetrages ins Ausland zu übermitteln. Die nunmehr neunte Studie "Wirtschaftskriminalität" der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC zeigt, dass 40 Prozent der befragten Unternehmen in den vergangenen 24 Monate zumindest einmal zum Ziel einer "CEO-Fraud"-Attacke geworden sind. Doch in nur fünf Prozent der Fälle hatten die Kriminellen Erfolg. Die durchschnittliche Schadenssumme dieser Angriffsmethode, die technische Elemente mit dem sogenannten "social engeneering" kombiniert, liegt deutlich höher als bei der typischen Cyber Kriminalität.

An der Schwelle von Cybercrime und klassischer Kriminalität

"Bislang herrscht in der Öffentlichkeit der Eindruck vor, bei CEO-Fraud gehe es nur um ein paar wenige spektakuläre Einzelfälle. Unsere Untersuchung zeigt jedoch, dass wir es mit einer systematisch angewandten Betrugsmethode zu tun haben, die für deutsche Unternehmen ein signifikantes Bedrohungspotenzial birgt", sagt Steffen Salvenmoser, PwC Partner und Experte für Wirtschaftskriminalität. Dass sich viele Firmen noch immer schwertun, das Problem in den Griff zu bekommen, liege auch daran, dass "CEO-Fraud" genau an der Schnittstelle von Cybercrime und herkömmlicher Kriminalität spiele, so Salvenmoser: "Der Betrug läuft in vielen Fällen so ab, dass sich die Täter per gefälschter E-Mail als Mitglied des Topmanagements ausgeben und Mitarbeiter aus dem Finanzwesen unter Druck setzen, rasch eine größere Summe Geld anzuweisen. Es handelt sich also einerseits um ein technisches Delikt, andererseits aber auch um die Manipulation von Menschen. So machen sich die Kriminellen gleich zwei potenzielle Schwachstellen von Unternehmen zunutze."

Fast jedes zweite Unternehmen wird von Cyber-Kriminellen attackiert

Auch jenseits von "CEO-Fraud" bleibt Cybercrime ein beherrschendes Thema. So stellte in den vergangenen 24 Monaten fast jedes zweite deutsche Unternehmen (46 Prozent) mindestens eine Attacke fest – eine deutliche Zunahme im Vergleich zur Befragung von vor zwei Jahren (2016 - 36 Prozent). Dabei stiegen die Fälle von Computerbetrug von 13 Prozent auf 21 Prozent, es folgten die Manipulation von Konto- und Finanzdaten (14 Prozent), das Ausspähen und Abfangen von Passwörtern und anderen sensiblen Daten (14 Prozent), Fälle von Computersabotage und Datenveränderung (13 Prozent), die Fälschung beweiserheblicher Daten (6 Prozent) sowie Verstöße gegen Patent- und Markenrechte (6 Prozent). Gleichwohl betont Salvenmoser, dass die Zunahme eindeutig festgestellter Cyber-Delikte nicht zwingend ein schlechtes Zeichen sein muss. Denn: "Die Zahl der bloßen Verdachtsfälle ist im Vergleich zur letzten Umfrage mit 39 Prozent konstant geblieben. Darum könnte der Anstieg eindeutiger Fälle darauf hindeuten, dass viele Unternehmen sensibler für diese Risiken geworden sind und ihre IT-Sicherheitstechnik verbessert haben. Dann hätten wir es in erster Linie mit einer grundsätzlich wünschenswerten Verschiebung von hohen Dunkelziffern hin zu mehr Transparenz zu tun."

Die häufigsten Arten von Cybercrime nach Anteil der betroffenen Unternehmen in den letzten zwei Jahren

Die häufigsten Arten von Cybercrime nach Anteil der betroffenen Unternehmen in den
letzten zwei Jahren

Drei von vier Unternehmen haben Compliance-Programme installiert

Auch in anderer Hinsicht zeigt die PwC-Studie, dass deutsche Unternehmen das Thema Wirtschaftskriminalität immer offensiver angehen. So haben sich Compliance-Programme in der deutschen Wirtschaft etabliert; drei Viertel aller befragten Firmen mit mehr als 500 Mitarbeitern verfügen über ein solches Programm. Darüber hinaus weiten die Unternehmen ihre Compliance Management Systeme auf immer mehr Deliktfelder aus. So richten sich die Programme zwar weiterhin in erster Linie gegen Datenschutzverletzungen (89 Prozent aller Unternehmen mit CMS) und Korruption (83 Prozent), daneben geht es aber auch immer stärker um Vermögensdelikte (74 Prozent), Geldwäsche (65 Prozent), oder bei börsennotierten Unternehmen auch um strafbaren Insiderhandel (76 Prozent). "Im Vergleich dazu ist ausgerechnet der Schutz vor Cybercrime mit nur 56 Prozent immer noch unzureichend", sagt PwC-Partner Salvenmoser. "Hier würden wir uns eine deutlich höhere Sensibilität wünschen."

Warum die klassische Wirtschaftskriminalität zurückgeht

Die Fälle klassischer Wirtschaftskriminalität gehen unterdessen tendenziell zurück, belegt die PwC-Studie. Zeigten sich in der gleichen Umfrage von 2009 noch 61 Prozent der Unternehmen betroffen, so sind es jetzt nur noch 45 Prozent. Besonders gut ist diese langfristige Entwicklung bei Vermögensdelikten (von 42 Prozent auf 32 Prozent), beim Diebstahl vertraulicher Unternehmens- und Kundendaten (von 21 Prozent auf 7 Prozent) und bei Verstößen gegen Patent und Markenrechte (von 23 Prozent auf 13 Prozent) zu beobachten. "Dieser Rückgang ist in erster Linie das Ergebnis konsequent angewandter Compliance-Programme", betont Professor Kai Bussmann von der Martin Luther Universität Halle-Wittenberg. Dabei sei es allerdings "zu kurz gesprungen, in der Kriminalitäts- und Betrugsbekämpfung allein eine lästige Notwendigkeit zu sehen". Denn: 60 Prozent der befragten Unternehmen sehen in CMS-Programmen mittlerweile einen Wettbewerbsvorteil am deutschen Markt – während nur noch neun Prozent von gegenteiligen Erfahrungen berichten. Und noch bemerkenswerter: Sogar 62 Prozent haben festgestellt, dass ihre CMS-Programme Wettbewerbsvorteile auf ausländischen Märkten bringen. Salvenmoser: "Die Zeiten, in denen Compliance als möglicher Absatzkiller verunglimpft wurde, sind glücklicherweise vorbei. Selbst die Kritiker müssen allmählich einsehen: Das genaue Gegenteil ist der Fall."

Durchschnittliche Schäden je Delikt in Mio. €, nach Unternehmensgröße [Basis: 212 Unternehmen, die Opfer eines schwerwiegenden Wirtschaftsdelikts wurden]

Durchschnittliche Schäden je Delikt in Mio. €, nach Unternehmensgröße [Basis: 212 Unternehmen, die Opfer eines schwerwiegenden Wirtschaftsdelikts wurden]

Hat Compliance die Korruption besiegt?

Der Erfolg von Compliance zeigt sich auch bei der Korruption, von der laut der Umfrage überhaupt nur noch 6 Prozent der Unternehmen direkt betroffen sind. Darüber hinaus nahmen die Verdachtsfälle im Vergleich zur Umfrage von 2015 signifikant von damals 19 Prozent auf nun nur noch 11 Prozent zurück. Auch der Anteil der Unternehmen, die davon ausgehen, dass sie bei einer Auftragsvergabe gegenüber einem korrupten Wettbewerber das Nachsehen hatten, sankt deutlich – nämlich von 21 Prozent auf 9 Prozent. Neben den Compliance-Programmen dürfte auch die Reform des § 299 StG eine Rolle gespielt haben: Denn nun können Ermittler auch Bestechung und Bestechlichkeit im geschäftlichen Verkehr außerhalb von Wettbewerbssituationen strafrechtlich verfolgen.

Normalität in vielen deutschen Unternehmen sind inzwischen Hinweisgeber-Systeme, die dazu dienen, dass Mitarbeiter das Fehlverhalten von Kollegen melden können. Am weitesten verbreitet ist mit 79 Prozent die Rolle einen internen Ansprechpartners – wobei der aufgrund der eingeschränkten Anonymität kein Hinweisgeber-System im engeren Sinne darstellt. Allerdings verfügen 86 Prozent der Unternehmen mit einem Anti-Korruptionsprogramm inzwischen zumindest über eine telefonische Hotline (57 Prozent), ein webbasiertes System (35 Prozent) oder eine auch anonym zu kontaktierende Ombudsperson (29 Prozent).

Verbesserungsbedarf besteht weiterhin, was den Zugang externer "Whistleblower" betrifft. So sind nur 31 Prozent der Systeme für Geschäftspartner und Subunternehmen offen und sogar nur 23 Prozent für die Öffentlichkeit. "Und das", so PwC-Experte Salvenmoser, "obwohl unseren empirischen Untersuchungen zufolge schon jetzt rund ein Fünftel der Hinweise von externen Tippgebern kommen."  

[ Bildquelle: Adobe Stock ]


Themenverwandte Artikel

Studie

Bauprojekte

Qualitätsmängel treiben Schäden in die Höhe

Redaktion RiskNET

Ob Flughafen, Kraftwerk oder Autofabrik: Industrielle Bauprojekte werden zunehmend größer, komplexer, teurer – und verursachen dadurch deutlich höhere…

Studie

Entrepreneurship

Die Angst vor dem Risiko

Redaktion RiskNET

Der griechische Philosoph Demokrit wusste bereits, dass jeder neue Weg ein Wagnis darstellt. "Aber wenn wir den Mut haben loszugehen, dann ist jedes…

News

Zeit umzukehren

Die Sackgasse der EZB

Redaktion RiskNET

Der Präsident des Deutschen Sparkassen- und Giroverbands (DSGV), Helmut Schleweis, hat in einem offenen Brief scharfe Kritik an EZB-Chef Mario Draghi…

News

Rückversicherung

Schäden durch Naturkatastrophen unter Durchschnitt

Redaktion RiskNET

Die von Katastrophen verursachten Schäden waren im ersten Halbjahr laut dem Rückversicherer Swiss Re weiterhin auf sehr niedrigem Niveau. Wie aus…

News

Globale Unsicherheiten

Rezessionsrisiko erneut gestiegen

Redaktion RiskNET

Es wird aus Sicht des Instituts für Makroökonomie und Konjunkturforschung (IMK) immer wahrscheinlicher, dass die deutsche Wirtschaft in eine Rezession…