Mitarbeitende geschickt manipulieren, um sich zu bereichern – das ist das Ziel des Social Engineerings. Marie-Christine Kragh, Global Head of Fidelity bei Euler Hermes Deutschland, erklärt im GFL-Interview, wie sich Unternehmen vor Cyberbetrug schützen können und warum die größte Gefahr in den Unternehmen selbst liegt.

GFL: Internetkriminalität kann jedes Unternehmen treffen. Gehen Kleinunternehmen bzw. Mittelständler immer noch zu sorglos damit um?

Kragh: Wir sehen, dass die vermehrte Berichterstattung, gerade jetzt in der Corona-Zeit, mehr Aufmerksamkeit auf das Thema gelenkt hat. Dennoch gibt es bei kleinen Unternehmen oft noch die Grundhaltung: Wir sind doch überhaupt nicht attraktiv für Betrüger. Da ist unsere Schadenserfahrung allerdings eine ganz andere. Die Bandbreite ist hier so groß, dass sich keiner in Sicherheit wiegen kann – weder was die Unternehmensgröße noch was die Branche angeht.

GFL: Was sind momentan die häufigsten Cyberbetrugsmaschen, die Sie beobachten?

Kragh: Beim Betrug von außen spielt das sogenannte „Social Engineering“ die größte Rolle. Betrüger bedienen sich dabei einer anderen Identität, um sich zu bereichern. Hierbei gibt es drei große Maschen: Beim „Fake President“ geben sich die Betrüger meist als Firmenchefs aus. Das ist die aufwändigste Spielart beim Social-Engineering. Weitere Spielarten sind der Bestellerbetrug, bei dem sich der Betrüger als Kunde ausgibt, oder der Zahlungsbetrug, bei dem er in die Rolle des Lieferanten schlüpft. Diese beiden Arten erfordern weniger Aufwand, weshalb wir hier eine höhere Frequenz und auch etwas niedrigere Schadensvolumen beobachten.

GFL: Die meisten setzen beim vorsorglichen Schutz an, indem sie ihre digitale Infrastruktur sicherer machen: Sie setzen auf Virenscanner, Firewalls oder Verschlüsselungen. Warum reicht das nicht?

Kragh: Natürlich ist es essenziell, die Technik auf dem neusten Stand zu halten. Doch die häufigste „Schwachstelle“ ist der Mensch. So ist das Social Engineering kein rein technischer Angriff, sondern es wird sozusagen der Mensch gehackt. Dagegen kann keine Technik helfen. Neben einer Versicherung, die im Schadensfall greift, ist hier vor allem eine einladende Unternehmenskultur wichtig. Das sieht man am Beispiel des „Fake President“: Alles was es braucht, ist der persönliche Kontakt zu der echten Führungsperson, und schon funktioniert diese Betrugsmasche nicht mehr.

GFL: Aus welchem Anlass schließen Neukunden bei Ihnen eine VSV ab?

Kragh: Hier gibt es unterschiedliche Treiber. Wir sehen in der letzten Zeit, dass sich das Risikobewusstsein immer weiterentwickelt – entweder aufgrund der zunehmenden Berichterstattung oder eigener Erfahrungen. Zudem ist die Vertrauensschadenversicherung (VSV) ein Instrument, um die Compliance-Anforderungen zu erfüllen.

GFL: Wir werden von Kunden oft gefragt, was der Unterschied zwischen einer Vertrauensschaden- und einer Cyberversicherung ist …

Kragh: Das sind zwei Versicherungen, die sich ergänzen und einige Berührungspunkte aufweisen. Die VSV deckt Betrug von innen und außen ab, also zielgerichtete kriminelle Attacken gegen ein Unternehmen. Sie übernimmt Vermögensschäden, die bei Straftaten von Mitarbeitenden und bei Angriffen von außen wie beispielsweise durch Hacker entstehen. Die Cyberversicherung hat hingegen den Schwerpunkt auf Bausteinen aus der Haftpflicht-, Rechtschutz- und Betriebsunterbrechungsversicherung sowie auf Assistanceleistungen und springt auch bei nicht zielgerichteten Attacken ein. Es gibt zwar kleinere Bereiche, bei denen sich beide Produkte leicht überschneiden, aber wichtig ist: Für einen guten Rundumschutz braucht es beide Produkte.

GFL: Wie hoch sind die Schäden, die durch solche Fälle entstehen?

Kragh: Beim Fake President sehen wir Schäden zwischen 150.000 und 50 Millionen Euro. Was man bei der ganzen Diskussion aber nicht vergessen darf: Der Großteil der Schäden – was die Anzahl und das Volumen angeht – entsteht durch interne Täter. Etwa zwei Drittel aller Fälle werden durch Mitarbeitende versursacht. Es ist ein interessantes Phänomen, dass das in der Berichterstattung kaum eine Rolle spielt.

GFL: Gibt es neue Betrugsmaschen, die sich zeigen?

Kragh: Da Fake President, Besteller- und Zahlungsbetrug bereits einen sehr großen Teil des Social Engineerings abdecken, sehen wir statt neuer Maschen eher, dass sich die vorhandenen in der Umsetzung weiterentwickeln. Beim Fake President waren die Mails früher oft unsauber formuliert und kamen von unglaubwürdigen Absenderadressen. Heute sind die Texte viel professioneller und passen oft sogar zum Ton des Unternehmens. Teilweise wird das Vertrauen auch dadurch verstärkt, dass die Betrüger noch eine zweite Quelle einsetzen: Dann erhält der Mitarbeiter zum Beispiel eine Mail des CEOs und danach eine weitere von einem Anwalt. Die letzte Evolutionsstufe dieser Masche ist, dass ein geklontes Stimmenprofil eingesetzt wird.

GFL: Gab es in den vergangenen Monaten „außergewöhnliche“ Schäden?

Kragh: Nicht aus den letzten Monaten, aber doch sehr außergewöhnlich: Wir hatten einen spektakulären Fall, in dem ein Mitarbeiter eine E-Mail mit einer Zahlungsaufforderung erhalten hat. Daraufhin hat sich telefonisch die vermeintliche IT-Abteilung des eigenen Unternehmens gemeldet: Die Mail sei ein Betrugsversuch, die Polizei bereits informiert. Um die Betrüger zu fassen, müsse der Mitarbeiter nun einmal so tun, als würde er die Überweisung tätigen. Natürlich ging diese „Test-Überweisung“ direkt an die Betrüger.

GFL: Hat die Internetkriminalität durch die Corona-Krise und den damit einhergehenden Trend zum Homeoffice zugenommen?

Kragh: Was wir sehen, ist vor allem eine Zunahme des Besteller- und Zahlungsbetrugs. Social Distancing ist natürlich begünstigend fürs Social Engineering, denn je mehr Kontakt man hat, umso einfacher ist es, solche Fälle aufzudecken. Und natürlich ist auch die Technik im Homeoffice eine andere. Eine wichtige Rolle spielt dabei, ob auch die Prozesse – die Kontrollen, das Vier-Augen-Prinzip usw. – mit umgezogen sind. Das ist essenziell, denn im Homeoffice muss das gleiche gelten wie im Büro, wenn nicht noch mehr.

GFL: Umsatzeinbrüche in Folge der Krise, der akute Materialmangel in der Fertigung … viele Unternehmen haben gerade ganz andere Sorgen, als den Schutz vor Internetkriminalität. Merken Sie das bei der Nachfrage nach VSV?

Kragh: Wir sehen zum Glück auf mehreren Ebenen den Effekt der größeren Awareness. Mit 500 Euro Mindestprämie im Jahr beginnt die VSV sehr kleinvolumig, so dass die Hürden gering sind. Wir verzeichnen deshalb keinen Nachfrageeinbruch. Was man aber auch sagen muss: Obwohl der Markt stetig wächst, ist durchaus noch Luft nach oben.

GFL: Kurz zusammengefasst: Was raten Sie Unternehmen, die noch keine VSV haben?

Die Risiken sind da und leider gibt es kein Zaubermittel dagegen. Wichtig ist daher ein Zusammenspiel verschiedener Bereiche. Eine Vertrauensschadenversicherung gehört definitiv dazu und ist ein gutes Investment in die Sicherheit des Unternehmens.