Liebe Kollegen, das Betrugsbewusstsein in Ihrem Unternehmen ist jetzt von entscheidender Bedeutung. Betrüger versuchen, die Lücken in Notfallprozessen zu nutzen und passen ihre Modi Operandi an Corona an. Zusammenarbeit ist der Schlüsselfaktor bei der Betrugsprävention. Wir bieten hier Folien in Deutsch und Englisch an, die Ihr in Eurem Unternehmen verwenden könnt. Wir hoffen, dass dies Eure Arbeit erleichtert und Ihr das Bewusstsein Eurer Mitarbeiter für die aktuellen Risiken damit schärft. Risk Ident wird in der Fußzeile und auf Folie 7 benannt. Ihr könnt die Einträge einfach entfernen, wenn Ihr die nicht drinhaben wollt. Die Folien sind nicht geschützt. Eure internen Ansprechpartner könnt Ihr auf der ersten Folie des Anhangs (Folie 10) eintragen. Herzliche Grüße Dirk

1. 1March 2020
COVID-19-Krise:
Mögliche Schadens/Betrugs-Szenarien und Maßnahmen
Risk Ident: Fraud – Corona special

2. 2March 2020
Einführung
Liebe Kolleg*innen!
Wir erleben aktuell eine ernsthafte weltweite Krise und wir sind sicher, dass Ihr Euer Bestes tut, um diese Krise zu bewältigen und
Maßnahmen zum Schutz der Gesundheit der Mitarbeiter, zum Fortbestehen von Geschäftsprozessen und vielem mehr durchzuführen. Wir
wollen jedoch auf einen Punkt aufmerksam machen, der mit dieser Situation einhergehen kann:
Das Risiko, Opfer eines Betrugsversuchs zu werden, kann sich aktuell deutlich erhöhen, z. B. da
• Verantwortliche unter extrem hohen (Zeit-)Druck stehen und dadurch Warnsignale übersehen können
• Betrugsversuche wie z. B. ein CEO-Fraud nicht als solche erkannt werden, da beschriebene Szenarien plausibel erscheinen
• Interne Kontrollen geschwächt sind, weil Mitarbeiter im Krisenmodus agieren oder für andere Tätigkeiten abgestellt werden, bzw. die
Personaldecke dünner wird
• Rückversicherungen Face-To-Face wegen Home-Office nicht möglich sind
• Zahlungsanweisungen / Verträge wegen Home-Office elektronisch unterzeichnet werden müssen und so das Fälschungsrisiko steigt.
 Interpol warnt vor Betrugsversuchen in Zusammenhang mit COVID-19, vgl. diesen Artikel.
Daher die dringende Bitte, wachsam zu sein. Die folgenden Beispiele (nicht abschließend) zeigen mögliche Betrugsszenarien und
geeignete Gegenmaßnahmen. Bitte leitet diese Informationen an die entsprechenden Ansprechpartner in Eurer Organisation weiter.
Bei Fragen oder solltet Ihr Opfer eines Betrugsversuches geworden sein meldet Euch bei den genannten Ansprechpartnern (Anhang).
Risk Ident: Fraud Warning – Corona special

3. 3March 2020
CEO-Betrug / Fake-Präsident
Beschreibung:
Bei diesem Betrugsfall identifiziert sich der Täter als Teil des Unternehmens, oft als Mitglied der Geschäftsführung, um einen Mitarbeiter
mit Berechtigungen für Zahlungstransaktionen zu überzeugen, sofort Geld zu überweisen.
Durch Vortäuschung einer falschen Identität wird Geld auf ein externes Konto überwiesen. In der aktuellen Situation können sich die
Betrüger auf Notfallszenarien im Zusammenhang mit COVID-19 beziehen, z. B. Geld, welches zur Sicherung der Liquidität einer
Tochtergesellschaft benötigt wird.
Die Betrüger können E-Mails / Nachrichten schreiben, die wie eine E-Mail vom CEO aussehen. Auch erste Anrufe mit gefälschten
Stimmen sind bekannt.
Erforderliche Maßnahmen:
• Wann immer ihr eine zweifelhafte Nachricht / Anruf / E-Mail o.ä. erhaltet: Kontaktiert euer Gegenüber über einen etablierten, sicheren
Kanal (z. B. eine Handynummer aus eurem Adressbuch, und nicht aus der E-Mail Signatur).
• Kontaktiert die zuständigen Kollegen eurer Organisation (ISO, Compliance/Sicherheit etc.).
• Falls eine Transaktion bereits erfolgt ist, befolgt die Anweisungen im beigefügten Anhang zum Thema CEO-Fraud
Adressanten:
CEO, C-level, ISO, Finance Director, Treasury
Risk Ident: Fraud Warning – Corona special

4. 4March 2020
Gefälschte Zahlungsumleitungen, Lieferanten und Rechnungen
Beschreibung:
Bei diesem Szenario versuchen Kriminelle, eine Zahlung auszulösen, um Geld auf ein externes Konto zu überweisen.
Mehrere Szenarien sind bekannt, z.B.
• Die Buchhaltung erhält einen gefälschten Brief von einem Lieferanten, der über neue Bankkontodaten informiert
• Die Buchhaltung erhält eine (interne) Anfrage zur Erstellung eines neuen (falschen) Lieferanten (dieses Betrugsschema schließt einen
internen Täter ein)
• Die Buchhaltung erhält eine gefälschte Rechnung.
Erforderliche Maßnahmen:
• Wenn ihr eine Anfrage zur Änderung von Lieferantendaten (insb. Bankkontodaten) erhaltet, überprüft dies über einen etablierten und
bekannten Kommunikationskanal.
• Stellt sicher, dass alle relevanten Geschäftsvorgänge in der Buchhaltung, die zu einer Zahlung führen, im Vier-Augen-Prinzip
durchgeführt werden.
• Führt Zahlungen nach Möglichkeit über einen standardisierten Kanal mit systembasierten Kontrollen aus.
• Unerwartete Rechnungen – so plausibel sie auch erscheinen – sollten genau geprüft werden.
Adressaten:
CEO, C-level, ISO, Finance Director, Buchhaltung
Risk Ident: Fraud Warning – Corona special

5. 5March 2020
Gefälschte manuelle Zahlungsanweisungen
Beschreibung:
In Krisenzeiten wie der aktuellen kann es erforderlich sein schnell Notfallprozesse für manuelle Zahlungen zu definieren.
Werden manuelle Zahlungen auf Basis von elektronischen Unterlagen angewiesen, erhöht sich das Risiko, dass Betrüger mit gefälschten
Unterlagen, z. B. durch die Nutzung von gescannten Unterschriften von Freigabeberechtigten (diese sind oft leicht zugänglich)
unberechtigte Zahlungen initiieren.
Erforderliche Maßnahmen:
• Definiert und koordiniert die notwendigen Verfahren und Kontrollen für manuelle Zahlungen, welche basierend auf elektronischen
Dokumenten erfolgen.
• Definiert Kommunikationskanäle um gescannte Unterschriften zu verifizieren.
• Definiert Stellvertreterregelungen, um auch bei Ausfall einzelner Mitarbeiter handlungsfähig zu sein.
Adressaten:
CEO, C-level, ISO, Finance Director, Treasury
Risk Ident: Fraud Warning – Corona special

6. 6March 2020
Cyber Attacken (Phishing, Spam etc.)
Beschreibung:
Betrüger können die aktuelle Krisensituation ausnutzen:
• Mitarbeiter zu unvorsichtigem Handeln verleiten, z.B. Öffnen von Phishing-Mails
• Verbreitung von Malware, z.B. in virtuellen Karten, welche die Verbreitung des Virus anzeigen (sollen)
• Einladungen zu Fake-Team-Meetings (siehe Anhang)
• Abgreifen von vertraulichen Daten oder Zugangsdaten durch Social Engineering, z.B. Betrüger, die behaupten Mitarbeiter zu sein und
von zu Hause ohne diese Daten nicht arbeiten zu können
• Fake Hilferufe, Spendenaufrufe, Anfragen nach Unterstützung im Zusammenhang mit COVID-19-Szenarien
Erforderliche Maßnahmen:
• Sensibilisiert die Mitarbeiter, auch wenn dies bereits erfolgt ist, mit Hinweis auf die aktuell besondere Situation
Adressaten:
Alle Mitarbeiter
Risk Ident: Fraud Warning – Corona special

7. 7March 2020
Ansteigen von Bestell- und Antragsbetrug
Beschreibung:
• Betrüger bestellen Waren und erhalten diese direkt vom Logistik-Partner, da aktuell die Sicherheitsvorschriften bzgl. Abzeichnung des
Erhalts reduziert sind. Auch die betrügerischen Behauptungen, Ware nicht erhalten zu haben, können sich erhöhen.
• Es gibt einen Anstieg beim Antragsbetrug mit gefälschten Dokumenten. Es ist aktuell unklar, ob dies echte Kunden sind, die schlicht
Geld in der Tasche haben wollen, falls die Krise länger dauert oder ob professionelle Betrüger am Werk sind, die auf reduzierte
Prüfstandards hoffen.
Actions to be taken:
• Passt Eure Prüfprozesse der aktuellen Situation an
• Wenn Ihr bereits ein entsprechendes Problem habt oder erwartet, dann wendet Euch an Risk Ident (www.riskident.com)
Addressees:
Risk Management, Betrugsprävention
Risk Ident: Fraud Warning – Corona special

8. 8March 2020
Weitere Themen
Funktionstrennung / kritische Funktionen in deiner Organisation:
In kritischen Situationen wie der aktuellen Lage müssen möglicherweise vorübergehend interne Kontrollen wie z. B. Funktionstrennungen
oder das Vier-Augen-Prinzip für kritische Funktionen reduziert werden. Seid euch der Risiken bewusst, die mit diesen Maßnahmen
einhergehen und führt zumindest nachgelagerte Kontrollen ein.
Verlust von Ware - Spezielle Risiken in Lägern, Läden und Lieferprozessen an Endkunden:
Wann immer es um die physische Sicherheit der Ware geht – in Lägern, Läden oder in den Lieferprozessen an den Endkunden – kann
die aktuelle Situation spezifische Risiken bergen. Da diese Themen viel komplexer und unternehmensspezifisch sind, gehen wir hier nicht
weiter ins Detail.
Physische Sicherheit des Inventars:
Definiert einen Prozess, der die Mitnahme von Firmeneigentum, z.B. Bildschirme, Laptops, in das Home Office regelt.
Viele Büroräume sind aktuell nur von wenigen Mitarbeitern besetzt. Dies erhöht das Risiko von Diebstahl und Einbruch, da Kriminelle
ungestört Zugang zu den Räumlichkeiten und Arbeitsplätzen erhalten können.
Anpassung anderer Betrugsmuster
Praktisch alle anderen Betrugsmuster werden gerade an die Corona-Krise angepasst:
• Betrüger versuchen Zugang zu Häusern und Wohnungen unter dem Vorwand zu erhalten, Corona-Tests durchzuführen (auch schon
mal in Schutzkleidung). Hier werden Wertgegenstände und Geld gestohlen.
• Der Enkeltrick: Betrüger geben sich am Telefon als Enkel aus, hier bietet sich Corona als Grund an, dringend Geld zu benötigen
Risk Ident: Fraud Warning – Corona special

9. 9March 2020
Anhang

10. 10March 2020
Interne Ansprechpartner
Risk Ident: Fraud Warning – Corona special
Wer / Funktion Telefon EMail
XXX
Head of Finance
XXX
Management
XXX
Information Security Officer (ISO)
XXX
Interne Sicherheit
XXX
Compliance

11. 11March 2020
Betrügerische Einladungen zu Microsoft Teams
Microsoft bietet Teams als einen freien Service an
• Betrüger nutzen dies, um an neue Kontakte zu kommen
• Nach unseren Informationen warden Personen teilweise willkürlich
eingeladen
• ‘Willkürlich’ meint hier insbesondere Mitglieder des Managements
und spezielle Mitarbeiter Hamburger Firmen. Die Kontakte
scheinen aus gestohlenen Adressbüchern oder abgefangenen
Emails zu stammen
• Es ist für Krimiinelle durchaus sinnvoll, hier Einladungen nach dem
Gieskannenprinzip zu verteilen. Viele Organisationen stellen
gerade auf Teams zur virtuellen Kommunikation um und sind mit
der Software unerfahren.
• Erwartete Ziele: Empfänger, die über einen großen Verteilerkreis
Malware verteilen können, aber auch mögliche Opfer für CEO-
Fraud oder Personen, bei denen sensible Unternehmensdaten
erbeutet werden können.
Dieser Artikel soll nicht unterstellen, dass Teams oder Einladungen in
Teams generell unsicher sind. Wir möchten die Empfänger nur
sensibilisieren: gehen sie vorsichtig auch bei der Annahme von
Einladungen vor.
Risk Ident: Fraud Warning – Corona special

12. 12March 2020
Handling of CEO-Fraud – Detection, Mail-Backup
1. Analysiere die Situation
Welche Mailadressen sind betroffen (Absender, Empfänger), von welchem Mailserver stammen die Nachrichten?
Wie hat der Mitarbeiter reagiert (hat er geantwortet, sind bereits Vorgesetzte / andere Personen informiert und vor allem: wurde
eine Transaktion ausgelöst?)
Überprüfe den eMailServer:
• Sind weitere Mitarbeiter kontaktiert worden?
• Sind Antworten an den Empfängerserver versendet worden?
Enthält die eMail Anhänge, sind diese geöffnet worden? Achtung: nur in sicheren Umgebungen untersuchen.
Überprüft die Zieladressen angegebener Links
2. Beweissicherung
Sichert die Original-Mails
Risk Ident: Fraud Warning – Corona special

13. 13March 2020
Handling of CEO-Fraud – Communication and countermeasures
3. Interne Kommunikation
Information und Koordination mit dem Head of Finance und dem Management
Information und Koordination mit dem Verantwortlichen für das Mailsystem
Sofern die Mail Links enthält, Information und Abstimmung mit dem Verantwortlichen für das Zielnetzwerk
Information des Betriebsrats
4. Gegenmaßnahmen
Sofern eine Transaktion durchgeführt wurde: Information der Bank und Stop der Transaktion. Wenn dies nicht möglich ist, informiert
umgehend die empfangene Bank darüber, dass hier eine illegale Transaktion auf ein Konto duchgeführt wurde. Fragt eine
Rücküberweisung an, ggf. kann dies durch Eure Bank erfolgen. Eine Geldwäsche-Verdachtsanzeige sollte erstellt werden.
Informiert Kollegen aus Eurem Unternehmen.
In Abstimmung mit dem Verantwortlichen für das Mailsystem
• Prüft, ob der Server geblockt werden kann, von dem die Mail verschickt wurde
• Blockt die Domain oder zumindest den Absender
• Blockt die Antwortadresse oder die Domain für ausgehende Nachrichten
In Abstimmung mit dem Verantwortlichen für das Netzwerk
• Blockt die Ziel-URL bei Links in der Mail für ausgehenden Datenverkehr
Risk Ident: Fraud Warning – Corona special

14. 14March 2020
Handling of CEO-Fraud – Reporting and closing
5. Reporting
Erstellt einen Bericht für das Management
Erstellt einen Bericht für die interne Sicherheit mit allen Informationen über den Vorfall und die eingeleiteten Gegenmaßnahmen
6. Abschluss des Vorfalls
Erstellt einen Abschlussbericht und schließt den Fall
Lessons learned: prüft folgende Aspekte
• Ist die interne Reporting-Struktur effizient?
• War das aufgesetzte Team zur Bearbeitung des Vorfalls angemessen (Größe, Fähigkeiten)
• Prüft die eingesetzten Präventionsmaßnahmen wie SPF (Sender Policy Framework), Awarenesstrainings, Security
Monitoring (SMTP-from ≠ reply-to)
Zeigt den Betrugsfall oder – versuch in Zusammenarbeit mit der Information Security / Internal Investigations / dem Management
bei der Polizei an.
Risk Ident: Fraud Warning – Corona special