Im Netz der Betrüger

(c) Shutterstock
Atlantic Global Asset Management, Questra Holdings, International Financial Trade: Hinter diesen klingenden Namen würde man renommierte Unternehmen mit Sitz in der Londoner City oder im Frankfurter Bankenviertel vermuten. In Wahrheit verstecken dahinter Betrüger – die Namen stammen von der schwarzen Liste der Finanzmarktaufsicht (FMA). Bereits der Hirnschmalz, der in die Erfindung seriös klingender Firmennamen fließt, zeigt es: Kriminelle Energie ist grenzenlos – und die Methoden der Betrüger werden immer dreister. Neben Privatpersonen stehen dabei vor allem Unternehmen im Visier der Wirtschaftskriminellen. So warnte unlängst selbst die Oesterreichische Nationalbank (OeNB) vor Betrugsversuchen in ihrem Namen: Privatpersonen wurden von angeblichen OeNB-Mitarbeitern angerufen, die eine Kontosperrung androhten – außer wenn eine gewisse Summe überwiesen wird. Sogar gefälschte OeNB-E-Mails mit Computerviren gibt es.
 
Inkasso-Standesregeln helfen. Die Zeiten, in denen die Abzocker mit gefälschten Rechnungen und betrügerischen Anrufen auf Beutejagd gingen, sind vorbei – inzwischen geht der Trend Richtung Cyberkriminalität, sagt Walter Koch,  Prokurist der KSV1870 Forderungsmanagement GmbH, und Präsident des Inkassoverbandes (IVÖ): Vor einigen Jahren war es noch einer der Lieblingstricks der Betrüger, Unternehmen mit gefälschten Rechnungen und Mahnungen bis zum gefälschten Inkassoschreiben das Geld aus der Tasche zu ziehen – einmal sogar im Namen des KSV1870. Heute sind solche Versuche die Ausnahme. „Was heute noch an Inkasso-Betrügereien läuft, wendet sich vor allem gegen Privatpersonen“, sagt Koch. „Das hat mehrere Grunde: Einerseits sind Unternehmer in den vergangenen Jahren vorsichtiger geworden und kontrollieren sehr genau, wer hinter den Mahnschreiben steckt. Andererseits haben wir als Branche reagiert und Standesregeln ins Leben gerufen, die das Verhalten nicht nur gegenüber Branchenkollegen, Kunden und Auftraggebern, sondern auch gegenüber Schuldnern betreffen.“ Formalitäten wie die genauen Informationen, die ein Mahnschreiben enthalten muss – etwa Firmeninfos, Internet-Verweise, Fristen, Spesen usw. – wurden in den freiwillig eingeführten Standesregeln der Branche (Kasten) genauestens festgelegt. Das macht es den Betrügern praktisch unmöglich, Inkassoschreiben so zu fälschen, dass informierte Kunden wie eben die Unternehmer auf diese „hineinfallen“. Koch rät Unternehmen wie auch Privatpersonen, sich direkt beim KSV1870 zu informieren, wenn sie eine dubios anmutende Rechnung, Mahnung oder ein verdächtiges Inkassoschreiben im Briefkasten finden: „Bereits bei der ersten Mahnung sollte man sich erkundigen – woher kommt die Forderung, ist sie berechtigt, gibt es das genannte Inkassobüro überhaupt“, weist der KSV1870 Experte hin.
 
Phising und Erpressung. Vorsicht ist besser als Nachsicht, denn wenn das Geld erst weg ist, ist es meist unwiederbringlich weg – und wenn größere Unternehmen im Visier der Betrüger stehen, kann der Schaden in die Millionen gehen, wie aktuelle Fälle im In- und Ausland zeigen. So wurde unlängst der US-Pay-TV-Sender HBO mit der Veröffentlichung von Folgen der Erfolgsserie „Game of Thrones“ erpresst. Und beim bisher prominentesten Fall in Österreich, wurde der Luftfahrtzulieferer FACC um Millionen betrogen – das Bundeskriminalamt weiß von Dutzenden weiteren Fällen und beziffert die Schadenssumme mit insgesamt 83 Millionen Euro. „Unser aktueller Global Threat Intelligence Report 2017 zeigt, dass Cyberattacken weltweit zunehmen und sich die Ziele der Hacker auf bestimmte Branchen verlagern“, sagt Daniel Miedler, Head of Business Unit Netzwerk, Infrastruktur und Security bei Dimension Data Austria, dem führenden Service- und Lösungsanbieter für Informationstechnologie. „Es sind mittlerweile nicht mehr nur Großunternehmen oder spezielle Branchen betroffen, sondern auch KMU aller Branchen.“ Dem Threat Intelligence Report 2017 zufolge sind Phishing, Social Engineering sowie Erpressungsversuche durch Ransomware derzeit die größten Bedrohungen für Unternehmen.
 
Internetzugang als Gefahrenquelle. Das bestätigt auch Florian Bogner, Information Security Auditor des Technologiekonzerns Kapsch BusinessCom, der die Welt der Hacker wie seine Westentasche kennt. Er hält bei geschlossenen Unternehmensveranstaltungen Präsentationen, wo er zeigt, welchen Schaden ein Wirtschaftskrimineller anrichten kann – allein mit Handy, Laptop und einem Internetzugang bewaffnet. So beobachten Betrüger oft monatelang den gesamten E-Mail-Verkehr der ausgewählten Angriffsziele unbemerkt, um zum richtigen Zeitpunkt genau beim schwächsten Glied der Entscheidungskette in einem Unternehmen einzugreifen. Beispielsweise wird das Handy eines gerade auf Geschäftsreise im Ausland weilenden Vorstands geklont und seine Stimme elektronisch generiert, damit der Betrüger der in der Zentrale sitzenden Sekretärin per Telefon Anweisungen geben kann, hohe Summen auf ausländische Konten zu überweisen – braucht es dafür Hintergrundgeräusche vom Flughafen, um glaubwürdiger zu wirken, werden diese auch per Computer erzeugt. Selbst Erpresserviren werden immer wieder in die Systeme von Produktionsbetrieben eingeschleust – und dann drohen die Betrüger, die Produktion lahm zu legen, wenn sie kein Lösegeld bekommen. Betroffene Unternehmen zahlen meistens lieber das Lösegeld und halten den Fall von der Öffentlichkeit fern. Das Fazit des Kapsch-Experten: „Jedes Unternehmen mit einem Internetzugang kann zum Opfer werden.“ Auch Dimension-Data-Sicherheitsexperte Miedler bestätigt: „Unternehmen sollten sich bewusst sein, dass keine IT-Infrastruktur zu 100 Prozent sicher ist. Laut aktuellen Reports bestehen etwa ein Drittel aller Sicherheitslücken schon seit drei bis fünf Jahren, Angreifer aus dem Internet nutzen Schwachstellen, die durch veraltete IT-Systeme entstehen.“ Daher ist es ratsam, IT-Systeme regelmäßig auf Schwachstellen überprüfen und veraltete Komponenten rasch austauschen zu lassen. Informationen und Schulungen kommt ebenfalls eine wichtige Rolle zu – denn Mitarbeiter, die die Tricks der Betrüger kennen, gehen ihnen nicht auf den Leim.

Text: André Exner