Leoni AG: 40 Mio. EUR-Betrug durch Social Engineering

Der Autozulieferer Leoni ist einem sog. „CEO-Fraud“ zum Opfer gefallen. Der Schaden beläuft sich auf ca. 40 Millionen EUR. Die Täter gaben sich als Mitarbeiter wohl aus dem hohen Management aus und ergatterten ihr Beute mithilfe von Informationen, über das Unternehmen, die sie geschickt einzusetzen wussten, mutmaßlich aus dem hohen Management mit entsprechenden Befugnissen. Der Fall ist ein Lehrstück für Social Engineering.

Betrüger erbeuten von Leoni mit Social Engineering 40 Millionen EUR

Das Unternehmen machte aufgrund seiner Börsennotierung den Betrug selbst mit einer Pressemitteilung öffentlich. Die Täter hätten sich „unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ als Mitarbeiter mit entsprechenden Befugnissen ausgegeben und eine Transferierung von ca. 40 Millionen EUR auf ausländische Konten veranlasst. Die Täter nutzten dabei den sog. „CEO-Fraud“, auch „Chef-Masche“ genannt. Dabei geben sie sich als in der Unternehmenshierarchie weit oben stehende Personen oder Personen mit sonstigen speziellen Befugnissen aus, um Mitarbeiter zur Transferierung von Geldsummen anzuweisen. Der aktuelle Leoni-Fall ist ein Lehrstück für Social Engineering.

Social Engineering als Methode für Hacking und Betrug

Social Engineering ist eine Low Tech-Methode, um an Daten zu gelangen. Es handelt sich dabei de facto um Hacking von Menschen. In einem Beitrag für die DATEV haben sich zwei Autoren von MKM+PARTNER mit dem Thema beschäftigt und die verschiedenen Angriffsmethoden sowie Schutzmaßnahmen vorgestellt. In einem weiteren Beitrag für DATEV stellen sie Social Engineering und Visual Hacking als Low Tech-Angriffe vor und geben Tipps, wie sich Unternehmen schützen können.

Kurz und knapp lässt sich Social Engineering als das Erzeugen einer Illusion beschreiben, mittels derer ein Angreifer an Daten gelangen möchte. Der Angreifer schafft ein Szenario, in welchem er vorgibt eine bestimmte Person zu sein. Diese kann entweder tatsächlich existieren (Identitätsdiebstahl) oder erfunden sein und ist mit echten oder vermeintlichen Befugnissen bzw. Aufträgen ausgestattet. Um das Szenario so wirkmächtig wie möglich zu gestalten werden vor dem Angriff so viele brauchbare Informationen wie möglich über das Ziel, i.d.R. ein Unternehmen, gesammelt: Konzern- und Personalstruktur, Personen der verschiedenen Führungsebenen, Veranstaltungen, Kunden, Projekte und dergleichen. Oftmals sind diese Informationen öffentlich zugänglich.

Mitarbeiter in Unternehmen sollten im Rahmen von Schulungen für diese Themen sensibilisiert und geschult werden. Die Schwachstelle ist beim Social Engineering grundsätzlich der Mensch. Falls Sie Beratungsbedarf hierzu haben, kommen Sie gern auf uns zu.