Wirtschaftskriminalität: „CEO-Fraud“ wird zum Massendelikt


Cybercrime nimmt stetig zu – immerhin zeigen Compliance-Programme ihre Wirkung. | ©beebright/fotolia.com

40 % aller größeren deutschen Unternehmen sind in den in vergangenen 24 Monaten zumindest einmal zum Ziel einer „CEO-Fraud“-Attacke geworden, zeigt eine neue PwC-Studie. Cybercrime ist dabei insgesamt auf dem Vormarsch, dagegen geht die klassische Wirtschaftskriminalität langsam zurück.

Die „CEO-Fraud“ genannte Betrugsmasche, bei der Mitarbeiter großer Firmen dazu gebracht werden, erhebliche Geldbeträge auf ausländische Konten zu überweisen, entwickelt sich zum Massendelikt. Das zeigt die neunte Studie „Wirtschaftskriminalität“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC, eine repräsentative Befragung unter 500 deutschen Unternehmen. So berichteten 40 % der befragten Firmen, sie seien innerhalb der vergangenen 24 Monate zumindest einmal zum Ziel einer „CEO-Fraud“-Attacke geworden – wobei die Kriminellen in 5 % der Fälle Erfolg hatten. Die durchschnittliche Schadenssumme dieser Angriffsmethode, die technische Elemente mit dem sogenannten „social engineering“ kombiniert, liegt deutlich höher als bei der typischen Cyber Kriminalität.

An der Schwelle von Cybercrime und klassischer Kriminalität

„Bislang herrscht in der Öffentlichkeit der Eindruck vor, bei ‚CEO-Fraud‘ gehe es nur um ein paar wenige spektakuläre Einzelfälle. Unsere Untersuchung zeigt jedoch, dass wir es mit einer systematisch angewandten Betrugsmethode zu tun haben, die für deutsche Unternehmen ein signifikantes Bedrohungspotenzial birgt“, warnt Steffen Salvenmoser, PwC Partner und Experte für Wirtschaftskriminalität. Dass sich viele Firmen noch immer schwertun, das Problem in den Griff zu bekommen, liege auch daran, dass „CEO-Fraud“ genau an der Schnittstelle von Cybercrime und herkömmlicher Kriminalität spiele, so Salvenmoser: „Der Betrug läuft in vielen Fällen so ab, dass sich die Täter per gefälschter E-Mail als Mitglied des Topmanagements ausgeben und Mitarbeiter aus dem Finanzwesen unter Druck setzen, rasch eine größere Summe Geld anzuweisen. Es handelt sich also einerseits um ein technisches Delikt, andererseits aber auch um die Manipulation von Menschen. So machen sich die Kriminellen gleich zwei potenzielle Schwachstellen von Unternehmen zunutze.“

Fast jedes zweite Unternehmen wird attackiert

Auch jenseits von „CEO-Fraud“ bleibt Cybercrime ein beherrschendes Thema. So stellte in den vergangenen 24 Monaten fast jedes zweite deutsche Unternehmen (46 %) mindestens eine Attacke fest – eine deutliche Zunahme im Vergleich zur Befragung von vor zwei Jahren (2016 – 36 %). Dabei stiegen die Fälle von Computerbetrug von 13 % auf 21 %, es folgten die Manipulation von Konto- und Finanzdaten (14 %), das Ausspähen und Abfangen von Passwörtern und anderen sensiblen Daten (14 %), Fälle von Computersabotage und Datenveränderung (13 %), die Fälschung beweiserheblicher Daten (6 %) sowie Verstöße gegen Patent- und Markenrechte (6 %). Gleichwohl betont Salvenmoser, dass die Zunahme eindeutig festgestellter Cyber-Delikte nicht zwingend ein schlechtes Zeichen sein muss. Denn: „Die Zahl der bloßen Verdachtsfälle ist im Vergleich zur letzten Umfrage mit 39 % konstant geblieben. Darum könnte der Anstieg konkreter Fälle darauf hindeuten, dass viele Unternehmen sensibler für diese Risiken geworden sind und ihre IT-Sicherheitstechnik verbessert haben. Dann hätten wir es in erster Linie mit einer grundsätzlich wünschenswerten Verschiebung von hohen Dunkelziffern hin zu mehr Aufdeckung zu tun.“

Drei von vier Firmen haben Compliance-Programme installiert

Auch in anderer Hinsicht zeigt die PwC-Studie, dass deutsche Unternehmen das Thema Wirtschaftskriminalität immer offensiver angehen. So haben sich Compliance-Programme in der deutschen Wirtschaft etabliert; drei Viertel aller befragten Firmen mit mehr als 500 Mitarbeitern verfügen über ein solches Programm. Darüber hinaus weiten die Unternehmen ihre Compliance Management Systeme auf immer mehr Deliktfelder aus. So richten sich die Programme zwar weiterhin in erster Linie gegen Datenschutzverletzungen (89 % aller Unternehmen mit CMS) und Korruption (83 %), daneben geht es aber auch immer stärker um Vermögensdelikte (74 %), Geldwäsche (65 %), oder bei börsennotierten Unternehmen auch um strafbaren Insiderhandel (76 %). „Im Vergleich dazu ist ausgerechnet der Schutz vor Cybercrime mit nur 56 % immer noch unzureichend“, sagt PwC-Partner Salvenmoser. „Hier würden wir uns eine deutlich höhere Sensibilität wünschen.“

Warum die klassische Wirtschaftskriminalität zurückgeht

Die Fälle klassischer Wirtschaftskriminalität gehen unterdessen tendenziell zurück, belegt die PwC-Studie. Zeigten sich in der gleichen Umfrage von 2009 noch 61 % der Unternehmen betroffen, so sind es jetzt nur noch 45 %. Besonders gut ist diese langfristige Entwicklung bei Vermögensdelikten (von 42 % auf 32 %), beim Diebstahl vertraulicher Unternehmens- und Kundendaten (von 21 % auf 7 %) und bei Verstößen gegen Patent und Markenrechte (von 23 % auf 13 %) zu beobachten. „Dieser Rückgang ist in erster Linie das Ergebnis konsequent angewandter Compliance-Programme“, betont Professor Kai Bussmann von der Martin Luther Universität Halle-Wittenberg. Dabei sei es allerdings „zu kurz gesprungen, in der Kriminalitäts- und Betrugsbekämpfung allein eine lästige Notwendigkeit zu sehen“. Denn: 60 % der befragten Unternehmen sehen in CMS-Programmen mittlerweile einen Wettbewerbsvorteil am deutschen Markt – während nur noch 9 % von gegenteiligen Erfahrungen berichten. Und noch bemerkenswerter: Sogar 62 % haben festgestellt, dass ihre CMS-Programme Wettbewerbsvorteile auf ausländischen Märkten bringen. „Die Zeiten, in denen Compliance als möglicher Absatzkiller verunglimpft wurde, sind glücklicherweise vorbei. Selbst die Kritiker müssen allmählich einsehen: Das genaue Gegenteil ist der Fall“, so Salvenmoser.

(PwC, PM vom 22.02.2018 / Viola C. Didier)


Top