Fake-President – ein enormes Schadenpotential für die D&O- und Vertrauensschadenversicherung:
Eine Variante des Cyberangriffs, der speziell auf die Finanzabteilung ausgerichtet ist, ist das sog. Fake-President- oder Chef-Masche-Phänomen. Dabei geben sich Kriminelle als CEO oder CFO aus und verleiten Mitarbeiter dazu, Geldbeträge zu überweisen. Beim Flugzeugzulieferer FACC erbeuteten Hacker Anfang des Jahres auf diese Weise EUR 43 Mio. (DiePresse). In dem Artikel „Wie falsche Chefs Millionen ergaunern“ der WiWo werden einige Schadenbeispiele sowie das raffinierte Vorgehen der Betrüger beschrieben. Interessant ist, dass immer häufiger mittelständische Unternehmen betroffen sind und das Bundeskriminalamt mittlerweile 250 Vorfälle gezählt hat. In einem weiteren Artikel, erschienen im Focus, werden Unternehmen bereits vor der Weiterentwicklung der Betrugsmasche gewarnt: erste Schäden in Kombination mit der „Fake-IT“ werden bereits gemeldet.
Bei der Schadenbewältigung und -minimierung ist eine schnelle Reaktion wichtig. Um das Geld schnellstmöglich zurückzuholen, können Unternehmen auf sogenannte „Asset Tracer“ zurückgreifen. Denn die Kriminellen zerlegen die erbeuteten Summen schnell in kleinere Beträge, die sie dann auf verschiedene Konten verteilen. Die Gesamtsumme führen die Angreifer erst später wieder zusammen. Asset Tracer können diese Bewegungen gut nachverfolgen. Unternehmen sollten Kontakt zu den Behörden im Inland als auch zu den Behörden in den Ländern suchen, in die das Geld überwiesen wurde. Möglicherweise sollte auch eine Rechtanwaltskanzlei vor Ort mandatiert werden. Der reine Rechtsweg über eine Strafanzeige reicht meist nicht aus, da dieser Weg zu lange dauert und in der Zwischenzeit die Gelder weiter transferiert werden.
Da bei Fake-President auch personenbezogene Daten betroffen sein können, sollte zudem die Meldefrist des im Mai 2018 in Kraft getretenden EU-Datenschutz-Grundverordnung (DSGVO) beachtet werden. Danach haben Unternehmen maximal 72 Stunden Zeit, um eine Cyberattacke zu melden.
Grundsätzlich sind solche Fake-President Schäden über eine Vertrauensschadenversicherung oder Cyber-Versicherung versicherbar, wobei die Versicherer aufgrund des Schadenvolumens mit einem verschärften Underwriting reagieren. Anderseits ist vermehrt auch festzustellen, dass im Schadensfall organisatorische Mängel bei den betroffenen Unternehmen festzustellen sind, die dann mitunter zu einer Managerhaftung führen, die wiederum Gegenstand eines D&O-Schadens werden.
Sehen Sie zu den neuesten Trends das folgende Interview von Rechtsanwalt Dr. Stefan Steinkühler mit Claudia Bechstein.
Zum Zusammenspiel von Vertrauensschadenversicherung und D&O-Versicherung klicken Sie hier.