Ein Betrugsfall in Grossbritannien zeigt, dass selbst die raffiniertesten Online- Sicherheitssysteme wegen menschlicher Fehler versagen.
Zu häufig beurteilen Firmen die Cybersicherheit als technisches Thema und vernachlässigen das grosse Risiko, das von den Mitarbeitenden selbst ausgeht. So wie bei diesem britischen Hedgefonds.
Thomas Meston, der Chief Financial Officer (CFO) von Fortelus Capital Management, wollte im Dezember 2013 Feierabend machen und ins Wochenende gehen, als er einen Anruf erhielt.
Menschliches Versagen
Der Anrufer gab sich als Mitarbeiter von Coutts aus, der Hausbank des Londoner Hedgefonds, wie die britische Zeitung «Daily Mail» berichtete. Er warnte Meston, es könnten betrügerische Transaktion auf dem Firmenkonto stattgefunden haben.
Finanzchef Meston willigte ein, mithilfe des Smartcard-Sicherheitssystems der Bank Codes zu generieren. Damit wollte der angebliche Coutts-Banker 15 verdächtige Zahlungen rückabwickeln, heisst es.
Konto abgeräumt
Die böse Überraschung folgte am Montag: Als Meston sich in das Online-Bankkonto einloggte, sah er, dass über 1 Million Franken fehlten. Und bei Coutts gab es keine Aufzeichnung des Telefonats. Meston war einem Betrüger aufgesessen.
Darauf erhielt Finanzchef Fortelus die Kündigung und wird nun von dem Fonds verklagt. Er soll seine Pflicht verletzt haben, die Vermögenswerte der Firma zu schützen, behauptet Fortelus jetzt vor Gericht.
«Freitag-Nachmittag-Betrug»
Der Fall weckt Erinnerungen. Nicht nur Hedgefonds wurden Opfer des sogenannten «Freitag-Nachmittag-Betrugs». Im Mai warnte der Versicherer Zurich, Betrüger gäben sich Anwaltskanzleien gegenüber als Bankmitarbeiter aus, um Zugang zu Konten zu erhalten. Und zwar häufig spät an Freitagen.
Die Betrügereien hätten die Unternehmen und ihre Versicherer innerhalb von drei Monaten in diesem Jahr über 7 Millionen Franken gekostet, schätzt Zurich.