FACC: Ein Krimi wie aus dem Lehrbuch

Wenn es einen Lehrbuchfall für einen Fake President Fraud gibt, dann kommt man schwer am oberösterreichischen Flugzeugkomponentenhersteller FACC vorbei. Der Versuch einer Rekonstruktion.

Das Unternehmen FACC AG (früher Fischer Advanced Composite Components) ist ein österreichischer Flugzeugkomponentenhersteller mit Firmensitz in Ried im Innkreis. Das Unternehmen notiert seit Juni 2014 am Prime-Market an der Wiener Börse und beschäftigt sich mit der Entwicklung und Produktion von Komponenten sowie Systemen aus Composite-Leichtbaukomponenten der Primär- und Sekundärstruktur für die Luftfahrtindustrie. Der Umsatz im Geschäftsjahr 2015/2016 betrug 580,2 Millionen Euro, FACC beschäftigt derzeit rund 3.400 Mitarbeiter weltweit. Die Mehrheit am Unternehmen (55 Prozent) hält die FACC International Company Ltd., rund 45 Prozent befinden sich im Streubesitz. Indirekte Mehrheitseigentümerin der FACC International ist die Aviation Corporation Industry of China, ein staatlicher chinesischer Rüstungs- und Flugzeugtechnologiekonzern, der mittels der Future Aviation International Investment Company Ltd. 89,12 Prozent der Anteile an der Mehrheitseigentümerin hält.

Einer breiten Öffentlichkeit bekannt wurde FACC allerdings durch einen der spektakulärsten Cybercrime-Betrugsfälle der Gegenwart. Dieser dokumentiert eindrucksvoll, wie Straftaten mit Hilfe neuer Technologien begangen werden können und ein davon betroffenes Unternehmen in eine öffentlich wahrnehmbare, eruptive Krisensituation schlittern kann. Da FACC über den gesamten Krisenverlauf in seiner Kommunikationspolitik äußerst zurückhaltend agierte und damit überdimensional viel Raum für Spekulationen offen ließ, lässt sich der tatsächliche Sachverhalt nur äußerst schwer rekonstruieren. Es ist ein Musterbeispiel für die Manipulationsfähigkeit der Internet-Kriminellen und zeigt gleichzeitig die Vulnerabilität international agierender Unternehmen auf, da häufig keine geeigneten Maßnahmenpläne in den Unternehmen existieren. Der Erfolg Krimineller kann sich nämlich nur dann einstellen, wenn keine Sensibilisierung der Mitarbeiter für derartige Manipulationshandlungen der Täter besteht. Und genau das dürfte bei FACC der Fall gewesen sein.

Vermutlich hat sich der Sachverhalt folgendermaßen zugetragen: Im Zeitraum zwischen Dezember 2015 und 19. Jänner 2016 wurden von FACC rund 52.847 TEUR ins Ausland überwiesen. Ein Betrag von 10.860 TEUR, konnte gesperrt werden. Dass es sich dabei um Konten in der Slowakei, Hong Kong, China und Taiwan handelt, wurde von den Ermittlungsbehörden nicht bestätigt. Offenbar gingen der oder die Mitarbeiter davon aus, dass diese Überweisungen korrekt seien, weil sie von einer dazu autorisierten Person beauftragt worden waren. Es handelte sich dabei allerdings nicht um einen Vorgesetzten, sondern um Internetbetrüger.
Diese hatten offenbar eine gefälschte E-Mail-Adresse des damaligen Vorstandschefs und Firmengründers Walter Stephan eingerichtet und damit vorgetäuscht, es handle sich um offensichtlich streng vertrauliche Transaktionen für einen Firmenkauf. Der Schriftverkehr, der so stattgefunden hatte, umfasste laut Medienberichten etwa 48 E-Mails, die Überweisung erfolgte in 18 Tranchen.

Abberufung der Finanzvorständin

Wie spätere Ermittlungen ergaben, fanden bereits tatsächlich im Dezember 2015 erste Überweisungen statt. Jedoch wurde erst am 19. Jänner 2016 die Kriminalpolizei eingeschaltet. Unmittelbar darauf stand bereits fest, dass es sich um keinen Hacker-Angriff gehandelt hatte, sondern um einen Cyber Fraud, in Form eines sogenannten Fake President Fraud oder auch Fake President Incident, wie es das Unternehmen später nannte. In der ersten Ad-Hoc-Meldung des Unternehmens kommunizierte dieses, ohne auf weitere Details einzugehen, lediglich Opfer von cyberkriminellen Aktivitäten geworden zu sein und dass der Schaden bis zu 50 Mio. Euro betragen könne. Bereits am Tag darauf versuchte man, offensichtlich als Resultat des Drucks der Öffentlichkeit und des Kapitalmarkts, zu kalmieren. In einer neuerlichen Ad-Hoc-Meldung, hielt FACC fest, dass keine Existenzgefährdung bestehe.

Den vorläufigen Höhepunkt fand die akute Krisensituation am 3. Februar 2016 mit der Abberufung der Finanzvorständin, Minfen Gu: „FACC AG gibt bekannt, dass das Mandat von Frau Minfen Gu als Finanzvorständin der FACC AG mit sofortiger Wirkung endet. Der Aufsichtsrat gab die Suche einer Nachfolge in Auftrag. Nach derzeitigem Stand der forensischen und kriminalpolizeilichen Untersuchungen waren die kriminellen Aktivitäten, die die Finanzbuchhaltung zum Ziel hatten, betrügerische Handlungen von Außenstehenden, die eine falsche Identität vorspiegelten (sog. Fake President Fraud).“

In weiterer Folge klärte das Unternehmen auf, dass es sich um keinen Hacker-Angriff gehandelt habe, der die technische Infrastruktur des Unternehmens betraf:

„FACC’s IT-Infrastruktur, Datensicherheit, IP-Rechte sowie die operativen Bereiche des Unternehmens waren von den kriminellen Aktivitäten nicht betroffen. Es wurden keine Hinweise auf Malware identifiziert. Der Vorstand ist daran, die Finanzabteilung grundlegend neu aufzustellen, sowie Schadenersatz- und Versicherungsansprüche zu verfolgen. Zur Unterstützung des Vorstandes bei der Neuaufstellung der Finanzabteilung bestellte der Aufsichtsrat sein bisheriges Mitglied des Aufsichtsrates, Herrn Yongshen Wang, interimistisch zum Mitglied des Vorstandes“.

Weiters musste das Unternehmen nachweisen, dass die Kundendaten sicher seien, dass die IT-Infrastruktur nicht in Mitleidenschaft gezogen worden und Datensicherheit gewährleistet sei, die IP-Rechte und der operative Bereich sicher seien, sowie keine Malware oder andere Schadprogramme eine Rolle spielten. Im Mai 2016 berief der mehrheitlich mit Chinesen besetzte Aufsichtsrat schließlich auch den Firmengründer und CEO Walter Stephan ab. Ein Expertenteam habe in Folge der Nachuntersuchungen zeigen können, dass Stephan seine Plichten „schwerwiegend“ verletzt hatte.

Warnung der Behörden

Inzwischen zeigt sich eine deutliche Zunahme des Fake President Fraud, wie einige Beispiele demonstrieren. Ein Top-Manager der amerikanischen Agrar-Management Firma Scoular Co. überwies 17,2 Millionen Dollar (umgerechnet 15 Millionen Euro) auf ein chinesisches Bankkonto. Im August 2016 wurde der Autozulieferer Leoni um 40 Millionen Euro betrogen, wobei das Vorgehen der Angreifer dem im Fall FACC glich. Die Angreifer nutzten den Umstand aus, dass das Unternehmen eine Tochterfirma in Nord-Rumänien unterhielt. Das Primärziel war der Finanzchef des rumänischen Subunternehmens. Von hier aus wurde das Geld auf ein tschechisches Konto überwiesen. Erst im August dieses Jahres sah sich das Österreichische Bundeskriminalamt aufgrund aktueller Ermittlungsergebnisse dazu veranlasst, österreichische Unternehmen vor einem geplanten, breit angelegten CEO-Betrug (Anm.: entspricht dem President Fraud) zu warnen. Im Zuge internationaler Ermittlungen waren nämlich Hinweise aufgetaucht, denen zufolge in Österreich bis zu 500 Firmen als Ziel von Cyberkriminellen gelten könnten. Nach Angaben des Deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden insgesamt 5.000 Personen identifiziert, die als „Absender“ derartiger Fake President Frauds in Frage kommen.

Das Kernproblem beim Fake President Fraud ist die geschickte Mischung aus Identitätsdiebstahl und Human Hacking. Die Betrüger nehmen sohin zunächst eine fremde Identität an, etwa das Profil von Führungspersönlichkeiten, Rechtsanwälten oder Beratern eines Unternehmens und erteilen in dieser Position Zahlungsanweisungen. Diese erfolgen allerdings nicht sofort, sondern oftmals am Ende einer umfangreicheren E-Mail Korrespondenz. Die Sache selbst wird als dringlich und hochgeheim bezeichnet und es wird darauf hingewiesen, dass nicht darüber gesprochen werden darf. Es handle sich beispielsweise um geheime Forschungsprojekte oder Firmenübernahmen.

Die Cyberkriminellen machen sich dabei menschliche Verhaltensmechanismen zu Nutze, die darauf abzielen, durch ein Vermeiden des Hinterfragens der Zahlungsanweisung keinen Konflikt mit dem Vorgesetzten riskieren oder provozieren zu wollen. Oftmals fühlen Sie sich auch geschmeichelt, ja sogar in ihrer Bedeutung erhöht, dass sie an dem „Geheimprojekt“, durch zur Verfügung gestellte Geldmittel oder Know-How nun zum kleinen Kreis der Wissenden im Unternehmen zählen. Die Manipulation solcher häufig anzutreffender Verhaltensmuster von Mitarbeitern helfen den Kriminellen dabei, ihr Ziel zu erreichen und zeigen deutlich, dass die Hauptfehlerquelle bei cyberkriminellen Handlungen meistens der Mensch ist.

FACC war als Unternehmen – aufgrund seiner chinesischen Eigentümer und der damit verbundenen Unternehmenskultur – ein besonders dankbares Opfer für die asiatischen Cyberkriminellen. Laut der Angaben des Unternehmens im aktuellen Finanzbericht hat bis dato keine Rücküberweisung der im Ausland eingefrorenen Gelder stattgefunden.

Faktum ist, dass das Unternehmen seit dem Bekanntwerden der Cyberattacke nicht mehr zur Ruhe kommt. Im Rahmen der letzten Hauptversammlung wurden kritische Stimmen laut, dass die börsennotierte FACC gegenüber den Kleinaktionären intransparent agieren würde. Ebenfalls im Zentrum der Kritik steht der FACC-Aufsichtsrat, welcher zu 100 Prozent aus Vertretern des chinesischen Mehrheitseigentümers besteht. Parallel dazu musste sich das Unternehmen mit einer Prüfung durch die Finanzmarktaufsicht herumschlagen. Zum Stand der seit Jänner 2016 im Zusammenhang mit dem Fake President Fraud stattfindenden strafrechtlichen Ermittlungen wollte man – unter Hinweis auf das laufende Verfahren – keine Angaben machen.

Autoren: Martin Zechner/Elisabeth Hödl

Martin Zechner wirkte im Rahmen seiner Berufslaufbahn bei mehr als 250 nationalen wie internationalen Krisen- und Risikoprojekten sämtlicher Komplexitätsgrade mit und trägt die redaktionelle Verantwortung für krisenkompass.at. Er erlangte in den USA (CSUEB) einen Master der Betriebswirtschaft, lehrt am Institut für Wirtschafts- und Betriebswissenschaften an der Montanuniversität Leoben und ist zertifizierter psychosozialer Krisen- und Traumaberater (Sigmund Freud Privatuniversität).

 

Elisabeth Hödl ist  Gastautorin bei krisenkompass.at. Sie ist promovierte Juristin, Spezialistin für IT-Recht, Zukunftsfragen und Digitalstrategien. Elisabeth Hödl referiert dazu auf nationalen und internationalen Kongressen und publiziert in Fachmedien. Ihre Spezialisierung gilt der Frage, wie sich Digitalisierung und technische Innovationen auf Recht und Organisationen auswirken. Sie ist Lektorin für Datenschutzrecht an der FH Joanneum (Graz) und bei der Styria Media Group AG tätig. Als Herausgeberin des Blogs ubifacts.org, befasst sie sich mit Strömungen der Digitalgesellschaft.

 

Kommentar schreiben