Social Distancing und Compliance – wie den aktuell erhöhten Betrugsrisiken vorgebeugt werden kann

In Krisen florieren kreative Betrugskonzepte. Betrüger – insbesondere solche, die nicht zu einem Unternehmen gehören, aber Kenntnis von dessen internen Abläufen haben – versuchen häufig aus Unsicherheiten in den altbekannten Strukturen, Zuständigkeiten und Prozessen persönlichen Nutzen zu ziehen.

Betrugsrisiken in Krisen sind vielfältig. Neben einer individuellen Fehleranfälligkeit durch Überlastung und Umstellungen droht eine strukturelle Fehleranfälligkeit durch die Vernachlässigung von Sicherheitsmaßnahmen, standardisierten Prozessen, grundlegenden Standards und der Überwachung und Kontrolle ganzer Unternehmensbereiche. Doch welche Risiken bestehen für Wirtschaftsunternehmen konkret und wie kann diesen begegnet werden?

Risiko 1: Spear-Phising & „Whaling“

Der aktuell größte Umbruch in Arbeitsabläufen besteht im schlagartigen Wechsel von selbstverständlicher Präsenz am Arbeitsplatz zum flächendeckenden Home Office sowie von persönlichen geschäftlichen Kontakten hin zu überwiegender Fernkommunikation. Dieser Wandel wirkt als Katalysator für Betrugskonzepte, die auf Identitätstäuschungen beruhen, wie den sogenannten „Spear Phishing“- oder „Whaling“-Angriffen. Bei solchen gezielten Phishing-Angriffen übernehmen Betrüger die Identität des Geschäftsführers oder eines anderen Vorgesetzten und weisen Mitarbeiter beispielsweise an, Zahlungen auf eine fiktive Rechnung zu leisten oder nicht genehmigte Überweisungen zu tätigen.

Risiko 2: Umsatzsteuerkarusselle

Ein weiteres Beispiel der durch persönliche Distanz forcierte Betrugsmethoden sind Umsatzsteuerkarusselle. Insbesondere Unternehmen und Einzelkaufleute, die hochwertige mehrwertsteuerpflichtige Kleinteile verkaufen, sind gefährdet, zu ungewollten Teilnehmern entsprechender Geschäfte zu werden. Zur Vermeidung gilt es, ein besonderes Augenmerk auf neue Kunden ohne vorausgehende Geschäftsbeziehung zu legen. Insbesondere, wenn auf eine Erstbestellung eine Vielzahl an großen, umfangreichen Bestellungen folgt, ist Vorsicht geboten.

Risiko 3: Auswechslung der Kontodaten

Ein weiterer Fall aus der Kategorie der Identitätstäuschungen betrifft Unternehmen mit hohen, regelmäßig wiederkehrenden Zahlungen (z.B. Mietzahlungen). Entsprechende bestehende Zahlungsbeziehungen sind besonders anfällig für eine subtile Auswechslung der Kontodaten angeblich im Namen des Vertragspartners oder die Vereinbarung von Sonderzahlungen auf ein separates Bankkonto.

Mit folgenden Maßnahmen können Sie die Risiken in Ihrem Unternehmen minimieren:

• Ausreichender Schutz der Buchhaltung und aller in die Finanzen eingebundener Bereiche: Sind diejenigen mit Zugang zu Bankkonten und der Kompetenz, Überweisungen zu veranlassen, sicher vor betrügerischen E-Mails und Telefonanrufen und haben sie regelmäßigen persönlichen Kontakt zu ihren Vorgesetzten?
• Sind die zuständigen Mitarbeiter auf Betrugs- und sonstige Risikoindikatoren geschult? Zu diesen zählen:
  • Ungewöhnliche Anfragen oder auffällig große Bestellungen von Neukunden, über deren geschäftlichen Hintergrund wenig bekannt oder in Erfahrung zu bringen ist. Ebenso ungewöhnlich ist die frühzeitige Anfrage/Übersendung der Umsatzsteuer-Identifikationsnummer.
• (Neu-)Kunden, die eine große Bestellung aufgeben, bezahlen und anschließend versuchen, die Bestellung gegen Rückzahlung des Kaufpreises zu stornieren. Ein solches Vorgehen kann der Geldwäsche dienen und sollte zu einer genauen Geschäftspartnerprüfung veranlassen.
• Eine angeblich COVID-19 bedingte plötzliche Änderung der Umstände oder Kontaktdaten eines Geschäftspartners, zu dem eine laufende Geschäftsbeziehung besteht (z.B. eine geänderte E-Mail-Adresse oder eine neue Bankverbindung zur Begleichung einer Rechnung). Solche Änderungen sollten mit äußerster Vorsicht behandelt und lieber einmal zu viel als zu wenig überprüft werden.
• Freigestellten oder ehemaligen Mitarbeiter sollten die Zugänge zu den Unternehmenssystemen gesperrt werden und eine genaue Überprüfung ihrer Anfälligkeit für Betrüger durchgeführt werden.