Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Datenschutz : Gehaltszahlungen stehlen: gar nicht so schwer

Beschäftigte ziehen um, wechseln ihre Bank, heiraten, lassen sich scheiden oder bekommen Nachwuchs. Diese und ähnliche private Entwicklungen führen zu Datenänderungen beim Arbeitgeber. Die Postanschrift ist anzupassen, die IBAN zu ändern usw. Es sind ganz alltägliche Vorgänge, die andauernd in Unternehmen vorkommen.

Dr. Niels LepperhoffDatenschutzPraxis
Lesezeit 5 Min.

Spannend wird es, wenn Außenstehende sich den Ablauf zum Ändern von Beschäftigtendaten zu Nutze machen wollen, um illegal Geld zu verdienen. Wäre eine solche Straftat auch in Ihrem Unternehmen erfolgreich?

Das in diesem Beitrag beschriebene Vorgehen stellt eine Straftat dar. Die Darstellung zeigt auf, wie einfach eine solche Tat ausgeführt werden kann und wie man sich als Unternehmen schützen kann.

Geld verdienen mit der IBAN

Beschäftigte kommunizieren ganz selbstverständlich per E‑Mail mit ihrem Arbeitgeber. Die Mitteilung, dass sich die IBAN für die Gehaltsüberweisung geändert hat, trifft genauso per E‑Mail ein wie die Heiratsurkunde.

Wie kann ein krimineller Angreifer daraus Kapital schlagen?

Als Erstes braucht der Angreifer den Namen eines Beschäftigten. Unternehmenswebseiten nennen in der Regel Ansprechpartner und oft tragen Beschäftigte ihren Arbeitgeber in ihre Social-Media-Profile ein. Eine kurze Recherche reicht aus, um eine Liste Beschäftigter zusammenzustellen. Der Angreifer wählt dann den Beschäftigten Mustermann aus.

Als Nächstes registriert der Angreifer eine kostenfreie E‑Mail-Adresse, beispielsweise „wdg82@freemailer. com“. Diese kann, muss aber nicht auf den Namen Mustermann lauten. Der spätere Empfänger wird regelmäßig die E‑Mail-Adresse nicht weiter beachten, sondern nur den angezeigten Namen.

Die Mitteilung, dass sich die IBAN geändert hat, ist schnell erstellt. Spricht man die Sprache des Unternehmens nicht, hilft ein Large Language Model (LLM) weiter. Mit der Anweisung „Write a short email to my employer. I want to change my IBAN to DE02120300000000202051. Write in German.“ wird etwa der folgende deutsche Text erzeugt:

„Sehr geehrte Damen und Herren,

hiermit möchte ich Sie darüber informieren, dass sich meine IBAN geändert hat. Bitte aktualisieren Sie Ihre Unterlagen entsprechend.

Neue IBAN: DE…

Vielen Dank für Ihre Unterstützung.

Mit freundlichen Grüßen“

Um zu verhindern, dass die neu angelegte E‑Mail-Adresse in Outlook angezeigt wird, nutzt der Angreifer zum Versand nicht Outlook, sondern ein Programm, welches ihm weitergehende Kontrolle über die E‑Mail-Inhalte einräumt.

Als Absender trägt der Angreifer ein: „Name von Mustermann “. Outlook wird nur den Namen anzeigen und die E‑MailAdresse in den „“-Zeichen ausblenden.

Fertig ist eine E‑Mail im Namen von Mustermann, die seine IBAN auf eine fälschliche IBAN ändert, auf die der Angreifer Zugriff hat. Mit dem Versand der E‑Mail beginnt der Angreifer seine Straftat.

Geld an Unbefugte auszahlen

Die versandte E‑Mail zur IBAN-Änderung erregt in der Personalabteilung kein Misstrauen. Der Name des Absenders, Mustermann, steht in der „Von“-Zeile. Auch wenn die E‑Mail mit dem Hinweis markiert sein sollte, dass der Personalsachbearbeiter nicht viele Nachrichten von wdg82@freemailer.com erhalte, regt sich – aller Erfahrung nach – kein Misstrauen. Von Beschäftigten bekommen Personalsachbearbeiter selten E‑Mails. Beschäftigte haben zudem teilweise phantasievolle E‑Mail-Adressen.

Nachdem die IBAN geändert wurde, wird das Gehalt beim nächsten Zahllauf an den Angreifer überwiesen. Das läuft so lange, bis dem Beschäftigten Mustermann auffällt, dass er kein Gehalt erhält und sich beschwert. Den finanziellen Schaden trägt der Arbeitgeber.

Ursache: Fehlende Authentifizierung

Fehlende Authentifizierung ermöglicht diesen einfachen Angriff. Aus technischer Sicht bestimmt der Absender einer E‑Mail, welcher Absender dem Empfänger angezeigt wird. Eine naheliegende Maßnahme wäre es, zu prüfen, ob die Absenderadresse der im Stammdatensatz hinterlegten E‑MailAdresse entspricht. Eine solche Prüfung reicht jedoch nicht aus.

Der Absender kann einstellen, an welche E‑Mail-Adresse die Antwort geschickt werden soll, indem er im Feld „Reply-To“ eine Empfängeradresse unter seiner Kontrolle, beispielsweise wdg82@freemailer.com, einträgt. Die „Reply-To“-Adresse zeigt Outlook an, wenn man auf die E‑Mail antwortet. Leider nimmt das menschliche Gehirn solche subtilen Änderungen, die der Erwartung widersprechen, nicht immer wahr.

Beispiele für vorbeugende Maßnahmen

Technisch ließe sich eine Authentifizierung etwa durch signierte E‑Mails umsetzen. Allerdings kann ein Arbeitgeber seine Beschäftigten nicht verpflichten, privat bestimmte Arten von E‑Mail-Programmen und -Anbietern zu benutzen. Die technische Umsetzung würde zudem eine zusätzliche Einschränkung und Anforderung im Privatleben des Beschäftigten voraussetzen.

Es verspricht mehr Erfolg, am Prozess anzusetzen, wie Änderungswünsche von Beschäftigtendaten zu bearbeiten sind. Es sollte eine verpflichtende Authentifizierung vorgeschrieben werden. Diese kann beispielsweise erfolgen durch

  • telefonische Rücksprache am Arbeitsplatz,
  • Rücksprache per Videokonferenz mit aktivierter Kamera, sofern der Beschäftigte dem Sachbearbeiter visuell bekannt ist, [1]oder
  • Abfrage von Angaben, die ausschließlich der Beschäftigte kennt.[2]

Alternativ oder auch zusätzlich kann auch vorgegeben werden, dass Beschäftigte Änderungswünsche zum Beispiel nur

  • per Hauspost,
  • mittels persönlicher Vorsprache in der Personalabteilung oder
  • per Brief

einreichen dürfen.

Das macht doch keiner!

Der Gedanke: „Wer seine IBAN angibt, ist von der Polizei schnell gefasst“, ist verlockend, doch nur bei dilettantischen Angreifern zutreffend. Ein freiheitsliebender Krimineller nutzt nicht sein Konto, sondern wendet sogenannte „Money Mules“ an. Money Mules sind Menschen, die wissentlich oder unwissentlich ihr Konto für fragwürdige Überweisungen zur Verfügung stellen. Die Polizei findet über die IBAN den Money Mule, der jedoch den Aufenthaltsort oder die Identität des Angreifers nicht kennt.

Straftaten, wie hier beschrieben, sind keine Theorie, sondern Realität.

Fazit

Der Beitrag zeigt, wie leicht sich Kriminelle alltägliche Prozesse zur Datenänderung zu Nutze machen können. Besonders die Änderung der IBAN per EMail eröffnet Risiken für Unternehmen. Fehlende Authentifizierungsmechanismen begünstigen solche Angriffe und führen im Ernstfall zu finanziellen Schäden. Ein verbindlicher Prozess zur Identitätsprüfung bei Änderungswünschen von Beschäftigtendaten hilft, solche Schäden zu vermeiden.

Die angesprochenen Risiken bestehen auch bei einer telefonischen Entgegennahme von Änderungswünschen. Es gibt Werkzeuge, die es erlauben, Stimmen täuschend echt nachzumachen. Damit entfällt die Stimme als Identifikationsmerkmal.

Deshalb sollten per E‑Mail oder Telefon geäußerte Wünsche von Beschäftigten immer dahingehend geprüft werden, ob sie wirklich von dem jeweiligen Beschäftigten stammen. Es sollte ein anderer Kanal gewählt werden als der, über den der Änderungswunsch eintraf.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

 

[1] Eine visuelle Kontrolle via Videokamera ist nicht ganz zuverlässig, da das angezeigte Bild technisch manipulierbar ist.

[2] Das Geburtsdatum ist teilweise öffentlich verfügbar, d. h. es ist für eine Authentifizierung ungeeignet.

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.