Laut einer Erklärung der Charity-Organisation hatten Hacker das Postfach eines Angestellten gehackt und darüber falsche Rechnungen und Dokumente verschickt. Die Hacker behaupteten, dass rund eine Million US-Dollar gebraucht würden, um Solarzellen für ein Projekt in Pakistan zu kaufen, für das sich Save the Children bereits seit mehr als 30 Jahren engagiert. Als der Betrug nach einer Überweisung auf ein japanisches Konto aufflog, war es für eine Rückbuchung des Geldes bereits zu spät. Glücklicherweise hatte die Organisation für solche Fälle eine Versicherung abgeschlossen, sodass sich der endgültige Schaden auf „nur“ 112.000 Dollar belief. Für viele Spender – gerade von kleineren Beträgen – dürfte das ein geringer Trost sein, denn für sie ist auch das noch eine riesige Summe.
Neben diesem großen Vorfall kam es in den vergangenen Jahren auch zu kleineren Zwischenfällen. Einmal gaben sich Hacker per Mail als langjähriger Geschäftspartner aus, der seine Rechnungen nun auf ein neues Konto überweisen lassen wollte. Auch in diesem Fall war die Überweisung von rund 9.000 Dollar bereits gebucht, als klar wurde, dass man Betrügern aufgesessen war. Allerdings hatte Save the Children Glück im Unglück und konnte das Geld fast vollständig zurückbuchen.
Der Betrug mittels gefälschter E-Mails oder gehackter E-Mail-Konten ist eine beliebte Masche unter Hackern. Bereits vor zwei Jahren warnte das FBI vor einer Zunahme solcher Fälle nicht nur in den USA, sondern weltweit. Die Angreifer nutzen die Informationen über Geschäftskontakte oder geplante Projekte, die sie aus den gekaperten E-Mail-Accounts erhalten, um die Opfer mittels Social Engineering zu manipulieren. Aktuell ist ein Fall aus Österreich aus dem Jahr 2016 wieder präsent, bei dem eine Mitarbeiterin des Flugzeugteileherstellers FACC im Zuge eines Fake-President-Betrugs ganze 54 Millionen Euro an Kriminelle überwiesen hat, denn das Unternehmen verklagt nun zwei seiner Ex-Vorstände deswegen. Ihnen wird vorgeworfen, kein Kontrollsystem aufgebaut zu haben, um solche Betrugsfälle zu verhindern. Sollten die beiden zu den geforderten 10 Millionen Euro verurteilt werden, hätte das eine deutliche Signalwirkung auf andere Unternehmen.
Doch wie kann ein sinnvolles Schutzsystem vor solchen Angriffen aussehen? Diese Frage hat sich auch Save the Children gestellt und Kontrollmechanismen eingeführt. Demnach sollen alle Transaktionen über einem bestimmten Betrag, beispielsweise über 500 Euro, von einer weiteren Person abgesegnet werden. Das verhindert, dass einzelne Mitarbeiter dem Druck der Kriminellen nachgeben. Darüber hinaus soll vor der Überweisung die Richtigkeit der Kontodaten überprüft werden, beispielsweise durch einen telefonischen Abgleich mit dem betreffenden Geschäftspartner. So können legitime Zahlungen nicht umgeleitet werden. Diese Maßnahmen und vor allem deren Gründe sollte man Mitarbeitern klar kommunizieren und sie für derartige Betrugsmaschen ebenso sensibilisieren wie für andere Formen von Cyberangriffen. Zu guter Letzt ist auch eine Cyberversicherung durchaus sinnvoll, wie der Fall von Save the Children zeigt.