Vielleicht gehen Sie davon aus, dass CEO- oder Rechnungsbetrug Ihrem Unternehmen nicht passieren wird. Mehr als vier von zehn Unternehmen in Großbritannien sind sich der Risiken von Rechnungsbetrug nicht bewusst. So das Ergebnis einer Umfrage des Bankenverbandes UK Finance. Und sind sich Unternehmen der Gefahren bewusst waren sie vielleicht bereits Opfer eines Betrugs.
In diesem Artikel erklären wir, was CEO- oder Rechnungsbetrug bedeutet, was Sie im Betrugsfall unternehmen können und welche Maßnahmen und Lösungen Ihr Unternehmen schützen.
Rechnungsbetrug versus CEO-Betrug
Rechnungs- oder CEO-Betrug, auch bekannt als “Spoofing” oder “Kompromittierung geschäftlicher E-Mails”, bezeichnet den Vorgang, bei dem sich Betrüger als rechtmäßige Zahlungsempfänger ausgeben und Unternehmen dazu bringen, Geld auf ein vermeintlich richtiges Konto zu überweisen.
Die Betrüger geben sich als Verkäufer oder Geschäftspartner aus und bringen Unternehmen dazu, große Geldbeträge für Dienstleistungen, die nie erbracht wurden, auf ein Offshore-Konto zu überweisen.
Rechnungsbetrug und der CEO-Betrug sind zwei verschiedene Fälle. Wir gehen in diesem Artikel auf beide Formen ein und verdeutlichen Überschneidungen und Unterschiede.
CEO-Betrug liegt vor, wenn sich Kriminelle als CEO, Vorstandsmitglied oder Geschäftsführer eines Unternehmens ausgeben und so die Mitarbeiter, häufig mit gefälschten E-Mails, täuschen. Diese tätigen dann Zahlungen für nicht erbrachte Leistungen an den gefälschten Empfänger.
Rechnungsbetrug bezeichnet die Fälschung einer Rechnung, die ein Unternehmen dazu veranlasst, Geld an Kriminelle zu zahlen.
Gibt sich ein Krimineller als CEO aus und verwendet zudem eine fiktive Rechnung, liegen beide Betrugsfälle vor. Da immer mehr Geschäfte online abgewickelt werden, steigt auch die Anzahl der gemeldeten Rechnungs- oder CEO-Betrugsfälle.
Wie groß ist dieses Problem?
Laut der britische Finanzstudie kosteten die Betrugsfälle britische Firmen im Jahr 2018 fast 93 Millionen Pfund. Beispielsweise wurden wurden Google und Facebook im Jahr 2019 um 123 Millionen Dollar betrogen, im Juni dieses Jahres überwies ein irisches Unternehmen über 74.000 Dollar auf ein betrügerisches Konto mit Sitz in China.
Nach FBI-Angaben erhöhte sich die Summe des Geldes, die Betrüger durch gefälschte E-Mails oder Rechnungen zu stehlen versuchten, zwischen Dezember 2016 und Mai 2018 um 136 %. Weltweit erzielten die E-Mail-Betrüger zwischen Oktober 2013 und Mai 2018 mehr als 12 Milliarden Dollar.
Werden Sie Opfer eines Betrugs, ist dies kein Grund sich zu schämen. Die Betrüger sind sehr clever und wissen genau, wie sie Unternehmen täuschen können. Die Kriminellen tauschen sich teilweise im Darknet darüber aus, welche Möglichkeiten sie haben, andere zu schädigen und welche Hilfsmittel und Tricks es gibt.
Vorgehensweisen der Betrüger
Kriminelle recherchieren zuerst ihre Zielperson, häufig aber auch ein gesamtes Unternehmen. Dann fälschen sie eine E-Mail-Adresse des CEOs oder der Führungskraft dieses Unternehmens und erstellen eine Botschaft mit einer vermeintlichen Dringlichkeit.
Die Opfer, meistens die ganze Belegschaft, aber auch gezielt einzelne Mitarbeiter, erhalten eine gefälschte E-Mail von dem Geschäftsführer oder CEO, öffnen sie und geben anschließend private Informationen an die Phishing-Website weiter.
Diese Informationen nutzen die Betrüger dann, um in das Netzwerk des Opfers einzubrechen. Diese Vorgehensweise ist typisch und kommt am häufigsten vor. Es gibt aber noch zahlreiche andere Beispiele und Möglichkeiten.
Im Falle von Rechnungsbetrug werden oft Rechnungen von bestehenden Lieferanten abgefangen und lediglich die Bankkontodaten verändert. Daher ist die Rechnung auf den ersten Blick authentisch. Die Produkte wurden tatsächlich gekauft und der Lieferant ist vertrauenswürdig.
Die Zahlung erfolgt dann jedoch an die Konten der Betrüger. In manchen Fälle informieren die Kriminellen die jeweiligen Finanzabteilungen per E-Mail oder telefonisch über eine Änderung der Bankkontodaten eines Lieferanten, um zukünftige Zahlungen an diesen Lieferanten zu erhalten.
Jede unerwartete und nicht überprüfte Änderung der Bankverbindung ist also ein großes Warnsignal. Vertrauen Sie niemals einer E-Mail oder einem Telefonanruf ohne eine zweite Verifizierung.
In den genannten Fällen von Google und Facebook gab sich ein litauischer Betrüger zwei Jahre lang als ein Geschäftspartner aus. Das Geld der Technikgiganten reiste um die Welt, um gewaschen zu werden und dann in die Händen des Kriminellen zu gelangen.
Die Gelder wurden zunächst auf seine Bankkonten in Lettland und Zypern überwiesen und dann auf verschiedene Bankkonten auf der ganzen Welt verteilt. Er fälschte Rechnungen, Verträge und Briefe mit gefälschtem Firmenstempel, die anscheinend von Führungskräften von Google und Facebook ausgefertigt und unterzeichnet wurden.
Google verlor durch den Betrug rund 23 Millionen Dollar, Facebook sogar 100 Millionen Dollar.
Sie wurden betrogen: Was nun?
Erfahrungen zeigen leider, dass es sich als sehr schwierig erweist, Geld aus einem Betrugsfall zurück zu erhalten. Vertreter von Google und Facebook berichteten zwar, ihre jeweiligen Unternehmen hätten die gestohlenen Gelder wiederbeschafft, das ist allerdings sehr selten der Fall.
Wenn Sie von einem gefälschten Lieferanten getäuscht wurden, können Sie nicht den echten Lieferanten um Ihr Geld zu bitten, da dieser nicht der Täter ist. Die besten Chancen haben Sie bei Ihrer Bank, über die Sie gegebenenfalls abgesichert sind und dadurch das Geld zurückerhalten können. Allerdings zögern die Banken in den meisten Fällen, für etwaige Schäden aufzukommen. Wichtig dabei ist, dass Sie alle Nachrichten und Beweise, die im Zusammenhang mit einem Betrugsfall stehen, sichern.
In jedem Fall ist Schnelligkeit von entscheidender Bedeutung. Je länger es dauert, den Betrug aufzudecken, desto geringer ist die Chance, dass das Geld gefunden werden kann. Betrüger versuchen, das Geld so schnell wie möglich in der ganzen Welt zu verteilen.
Außerdem gilt es zu verhindern, dass sich diese Art von Verbrechen überhaupt geschehen und wenn bereits geschehen, diese es nicht wieder passiert.
Was kann Ihr Unternehmen tun?
1. Informieren Sie Ihre Mitarbeiter! Bereiten Sie Ihre Angestellten darauf vor, wie Betrüger agieren, wie die Mitarbeiter mit Rechnungen umgehen sollen und wann besondere Aufmerksamkeit wichtig ist.
So sollten Ihre Mitarbeiter äußerst wachsam sein, wenn sich die Zahlungsbedingungen plötzlich ändern oder wenn ein Verkäufer darum bittet, Geld auf ein anderes Bankkonto (als gewöhnlich) zu überweisen.
2. Führen Sie für alle Zahlungstransfers ein “Vier-Augen-Prinzip” ein, anstatt die Verantwortung bei einer einzigen Person zu belassen.
3. Sprechen Sie mit Ihrer Bank oder Ihrem Buchhaltungssoftware-Anbieter über die Erstellung spezieller Protokolle für den Überweisungsvorgang, wie beispielsweise Sprach- oder Zwei-Faktor-Überprüfung.
Wie Technologie helfen kann, Rechnungsbetrug zu verhindern
Technische Lösungen können dabei helfen, menschliche Fehler und Unachtsamkeiten zu verhindern. Das kann z.B. im Rahmen einer Buchhaltungssoftware, sein, aber auch ein konkretes Programm für die Kreditorenbuchhaltung. Durch Automatisierung der manuellen Handhabung und Prozesse werden menschliche Fehler insgesamt vermieden.
Statistiken zeigen, dass nur ein Viertel der Mitarbeiter die Rechnungen vor der Zahlung mit einem Kollegen absprechen. Das bedeutet, dass viele Betrügereien also leicht umgangen werden könnten. Ein ähnlicher Prozentsatz der Mitarbeiter gibt an, dass sie Opfer eines Betrugsfalls wurden, weil sie dem Absender der gefälschten Rechnung vertrauten.
Wo Menschen arbeiten, passieren Fehler – das war schon immer so. Allerdings werden die Kriminellen auch immer raffinierter. Besonders in Krisensituationen, wie aktuell durch COVID-19, geraten viele Organisationen in finanzielle Notlage und die Mitarbeiter unter Druck, schnell zu handeln. Ein Faktor, der den Kriminellen in die Karten spielt.
Zudem arbeiten immer mehr Menschen im Homeofffice, teilweise außerhalb der geschützten IT-Infrastruktur des Unternehmens, ein Risiko für die IT-Sicherheit, denn diese ist nur so stark wie ihr schwächstes Glied. Wenn Ihr WLAN-Passwort also “hello123” lautet, gehören Sie wahrscheinlich zum schwächsten Glied in der Kette. Für Hacker bedeutet das einen einfachen Zugang auf der Suche nach dem nächsten Opfer.
Klippa’s Lösung
Der Kampf gegen Online-Kriminalität sollte ebenfalls online geführt werden: durch den Einsatz zuverlässiger Software, welche Ihnen hilft, Ihren Prozess der Rechnungsstellung und -bearbeitung zu sichern. Die Rechnungssoftware von Klippa verfügt über verschiedene Funktionen, die dazu beitragen, Rechnungsbetrug ein Ende zu setzen:
1. 3-Way-Matching: Wenn Sie jede Rechnung mit z.B. einer Bestellnummer und einem Wareneingang abgleichen können, ist die Wahrscheinlichkeit, eine betrügerische Rechnung zu bezahlen, viel geringer. Die Erstellung von drei separaten Dokumenten ist für die meisten Kriminellen zu viel Arbeit.
2. Prüfung die Bankverbindung der Lieferanten: Betrügerische Rechnungen werden in der Regel entweder unter gefälschten Firmennamen ausgestellt oder sie enthalten einen legitimen Namen, aber eine gefälschte Adresse oder gefälschte Bankdaten. Klippa’s Software überprüft automatisch die Legitimität eines bestimmten Lieferanten, indem sie die angegebenen Daten wie Handelsregister-Nummer, die Bankverbindung und die Steuernummer mit den Daten der Handelskammer abgleicht. Sollte hier keine 100% Übereinstimmung auftreten, bekommen die zuständigen Mitarbeiter einen Hinweis zur Überprüfung.
3. Prüfung der Adresse des Lieferanten auf Google Maps. Handelt es sich um eine Wohnanschrift oder ein Postfach, ist die Wahrscheinlichkeit groß, dass die Rechnung gefälscht ist.
4. Prüfung des Zeitpunkt der Rechnung: Erwarten Sie eine Rechnung von diesem Unternehmen? Ist dies ein gewöhnlicher Zeitpunkt für den Rechnungseingang?
5. Doppelte Rechnung: Die Software spürt automatisch doppelte Rechnungen auf und sendet eine Benachrichtigung an die zuständigen Mitarbeiter. Auf den ersten Blick ist es schwierig, Duplikate zu erkennen, besonders wenn täglich hunderte Rechnungen bearbeitet werden. Eine Software erkennt und meldet dies innerhalb Millisekunden.
Trotzdem schützt eine Software allein Ihr Unternehmen nicht vor Angriffen. Informieren Sie Ihre Mitarbeiter über die Risiken und stellen eine genaue Prüfung jeder Rechnung sicher – besonders hohe Beträge genauso wie kleinere, die regelmäßig anfallen. Stellen Sie Ihren Mitarbeitern immer zwei Kanäle zur Verfügung, um auffällige Anfragen zu prüfen. Erhalten Sie Anfragen per Post, rufen Sie den vermeintlichen Absender an und verifizieren die Nachricht. Dies reduziert drastisch das Risiko, Opfer eines Betrugs zu werden.
Wenden Sie bei jeder eingehenden Rechnung das Vier-Augen-Prinzip an: Dies erhöht die Chance, betrügerische Rechnungen zu entdecken. Wenn Lieferanten die Bankdaten ändern, nehmen Sie direkten Kontakt auf, um zu erfahren, ob die Änderung legitim ist. Wichtig: Verwenden Sie zur Überprüfung nicht die auf der Rechnung angegebene Telefonnummer sondern die Telefonnummer einer vertrauenswürdigen Kontaktperson innerhalb der Organisation.
Nehmen Sie Kontakt auf…
… wenn Sie mehr darüber erfahren möchten, wie Klippa’s Software für die Kreditorenbuchhaltung Ihr Unternehmen schützen und Ihre Geschäftsabläufe verbessern kann.