 |
| Risikomanagement und aktuelle Schadenentwicklungen im Bereich Vertrauensschadenversicherung |
| AIG versteht sich nicht nur als reiner Risikoträger, sondern vor allem als Partner im Bereich eines unternehmensweiten Risikomanagements. Daher möchten wir Sie hier über aktuelle Entwicklungen informieren und Ihnen so Ansatzpunkte für ein effektives Risikomanagement in Ihrem Unternehmen an die Hand geben. |
| © 2016 American International Group, Inc. Alle Rechte vorbehalten. |
| Der Abschluss einer Vertrauensschadenversicherung ist heute als Teil eines unternehmensweiten Risikomanagements von enormer Bedeutung, da die Risiken bzw. Pflichten eines ordentlichen Geschäftsmannes und deren Absicherung immer wichtiger werden. Der Bereich „Schäden durch Dritte“ ist neben dem originären Versicherungsschutz bei Schäden durch Vertrauenspersonen und der Deckung im Bereich Computer der wesentliche Bereich im Deckungskonzept der Vertrauensschadenversicherung. Aktuelle Schadenentwicklungen sehen wir hier vor allem in der vorsätzlichen Umleitung oder in Versuchen der Umleitung von etablierten unternehmensinternen Zahlungsströmen zu Dritten. Dies kann z. B. durch eine wie auch immer geartete Mitteilung oder anderweitig gelagerte Versuche an das versicherte Unternehmen geschehen, dass sich bisher vereinbarte Bankverbindungen geändert haben und dass der Zahlungsverkehr nun über diese neue Bankverbindung abgewickelt werden soll. Eine wahre Begebenheit So riefen Betrüger bei mehreren Mitarbeitern eines Unternehmens an und gaben vor, von der Bank aus anzurufen, bei der das Unternehmen Konten unterhält. Die Anrufer behaupteten, dass es auf einem Konto des Unternehmens zu ungewöhnlichen Aktivitäten gekommen sei. Im Laufe des Gesprächs wurden die Mitarbeiter gebeten, ihre Anmeldedaten für das Online-Bezahlsystem der Bank preiszugeben und ihre im System hinterlegte Antwort zur Sicherheitsabfrage durch einen vom Betrüger genannten Begriff zu ersetzen. Die Mitarbeiter nannten den Betrügern auch die zur Challenge-Response-Authentifizierung erforderlichen Informationen, welche durch das persönliche Kartenlesegerät des Mitarbeiters generiert werden. Im Verlauf des Anrufs sprachen die Betrüger insgesamt mit drei Mitarbeitern. Nachdem das Gespräch mit dem ersten Mitarbeiter beendet war, wurde der Anrufer an den nächsten Mitarbeiter weiterverbunden. Der vom Betrüger konstruierte Sachverhalt erweckte beim Weiterleiten keinen Verdacht. Der jeweilige Mitarbeiter erläuterte seinem Kollegen stets den vom Betrüger vorgebrachten Sachverhalt, bevor er das Gespräch durchstellte. Durch die zur Verfügung gestellten Passwörter und das Zurücksetzen der Sicherheitsabfrage konnten die Betrüger das Passwort jedes Mitarbeiters ändern. Da die Betrüger über die Anmeldedaten von drei Mitarbeitern verfügten, konnten sie die Notwendigkeit zur doppelten Kontrolle bei Zahlungen umgehen. Durch Nennung der zur Challenge-Response-Authentifizierung erforderlichen Informationen erhielten die Betrüger Zugriff auf gesperrte Benutzer und konnten die im Bezahlsystem vorgenommen Änderungen bestätigen. Der betrügerische Anruf wurde erst beendet, als ein Mitarbeiter den Betrüger nach seinem vollen Namen sowie seiner Anschrift und Telefonnummer fragte. Dies geschah leider erst, nachdem die oben genannten Informationen weitergegeben wurden. Folgen Während des Anrufs wurde versucht, 20 Zahlungen in Höhe von insgesamt über 4 Millionen US-Dollar zu tätigen - 2 Millionen US-Dollar wurden so „erfolgreich“ transferiert. Bei dem Unternehmen, das diesem Betrug zum Opfer fiel, handelt es sich um eine kleine europäische Niederlassung eines grossen europäischen Unternehmens. Schadenverhütung Auch wenn Betrug zu den unerfreulichen Begebenheiten des Geschäftsalltags zählt, sind Betrüger oft nur erfolgreich, weil sie auf Mitarbeiter setzen, die sich nicht an intern festgelegte Kontrollmassnahmen halten. Betrug kann folgendermassen verhindert oder eingeschränkt werden:
|
 |