Wenn der falsche Firmenchef das Konto leerräumt

Die Betrugsmasche mit falschen Überweisungsanordnungen kommt immer häufiger vor. Deutsche Firmen kostete das in den letzten Jahren 190 Millionen Euro.

Betrüger geben sich Online als Chefs von Firmen aus und erbeuten so große Geldsummen. Foto: dpa

Es ging ganz schnell. Denn die E-Mail wirkte seriös – und sah aus, als ob sie direkt vom Chef kam. Die Mitarbeiter mögen sich bitte mit dem Anwalt Michael Meyer in Verbindung setzen, um eine Überweisung von rund 4,8 Millionen Dollar abzuwickeln, wies der Absender die Kreditorenbuchhaltung der US-Softwarefirma Medidata an.

Nach Rücksprache mit zwei Managern, die die Transaktion abnickten, überwies eine Mitarbeiterin später die Summe auf ein Konto in China. Das Geld erreichte jedoch niemals einen Geschäftspartner, sondern verschwand spurlos — denn es waren raffinierte Betrüger am Werk.

„Fake President“ wird diese Masche genannt, mit der Cyberkriminelle weltweit Unternehmen ausnehmen. Doch neben dem „Fake President“-Trick sind in den letzten Jahren auch der Besteller-(„Fake Identity“) und Zahlungsbetrug („Payment Diversion“) auf dem Vormarsch.

Cyberkriminalität wird damit immer mehr zu einem ernsten Problem für viele Firmen. Allein in Deutschland geht der Schaden in die Abermillionen, wie eine am Dienstag vorgestellte neue Studie des Kreditversicherers Euler Hermes aufzeigt.

Nach einer Analyse des zum Allianz Konzerns gehörenden Unternehmens führten diese drei Spielarten des Internet-Betrugs bei vorwiegend deutschen Unternehmen sowie deren ausländischen Tochtergesellschaften seit 2014 zu Schäden von insgesamt über 190 Millionen Euro.

Einen starken Anstieg bei den Fallzahlen gab es 2018 vor allem beim Bestellerbetrug: plus 35 Prozent im Vergleich zum Vorjahr. Dabei geben sich Hacker als Kunden aus, lassen sich die Ware an eine andere Lieferadresse schicken und den bestehenden Kunden auf der Rechnung sitzen.

Ein kräftiges Plus verzeichnete auch der Zahlungsbetrug mit einem Zuwachs von 24 Prozent. Dabei gibt der Betrüger sich für einen Lieferanten aus und gibt für die Bezahlung einer bereits erfolgten Lieferung eine abweichende Kontoverbindung durch.

„Für Betrüger haben die Betrugsmaschen Besteller- und Zahlungsbetrug durchaus ihren Reiz“, sagt Ron van het Hof, CEO von Euler Hermes in Deutschland, Österreich und der Schweiz. „Beide sind wesentlich einfacher durchzuführen als der Chef-Betrug.“

Ein Fake-President-Betrug erfordere dagegen relativ viel strategische Planung sowie eine zeitintensive Vorbereitung, beispielsweise zum Ausspähen der Gepflogenheiten. Zudem müssten die Täter sich mit sozialen Auftreten auskennen, um die Mitarbeiter dazu zu animieren, die gewünschten Zahlungen zu veranlassen und dies gleichzeitig geheim zu halten.

Die Anonymität des Internets nutzt den Betrügern

Cyberkriminalität hat sich zu einem Wachstumsmarkt entwickelt. Im sogenannten Darknet, wo sich viele Betrüger und Kriminelle im versteckten Internets tummeln, bieten Hacker ihre Dienste an.

Die Fallzahlen steigen in den letzten Jahren rasant an, sowohl bei „Fake President“ als auch bei den beiden verwandten Betrugsmaschen. Stets wird dabei per E-Mail kommuniziert und zuvor ein digitaler Identitätsdiebstahl begangen. Der Aufwand für die Hacker ist gering, die Ausbeute riesig, selbst, wenn der Versuch in vielen Fällen scheitert.

Hinzu kommt, dass das Risiko erwischt zu werden, vergleichsweise gering ausfällt, da die Angreifer aus der Anonymität des Internets agieren. Das einzige wirklich wirksame Gegenmittel, um den Betrug zu vereiteln, ist ein unverstelltes Urteilsvermögen und eine angelernte Vorsicht bei den Mitarbeitern.

Wenn Firmen ihre Mitarbeiter für die Betrugsmasche sensibilisieren, haben es die Verbrecher schwerer. Jeder ungewöhnliche Sachverhalt sollte mit gesundem Menschenverstand betrachtet werden, rät der Bankenverband in einer Mitteilung an die Unternehmen. Auch eine offene Unternehmenskultur hilft beim Schutz gegen solche Vorfälle.

Sollte einem Mitarbeiter etwas Ungewöhnliches auffallen, müssen Rückfragen bis hin in die Spitzenebene möglich sein. Denn allzu oft kommen die Betrüger mit der Chef-Masche durch, weil dieser den Vorgang möglichst vertraulich behandelt wissen will. Solche Anweisungen zu hinterfragen, wagen nicht alle Mitarbeiter.

Auch ein genauer Blick auf die Absenderadresse der E-Mail und das Herkunftsland der abgeschickten elektronischen Post lohnt in vielen Fällen. Wird in Unternehmen grundsätzlich eine Signatur benutzt, so ist auch diese ein guter Anhaltspunkt, weil es schwerfällt, diese genau zu kopieren.

Top-Manager sollten zudem nicht jedem Außenstehenden per Abwesenheitsmail mitteilen, wann sie im Urlaub und nur schwer zu erreichen sind. Das sei ein Einfallstor für Cyber-Angriffe. Doch auch die Kriminellen werden professioneller. „Früher war das Vorgehen oft stümperhaft, E-Mails in hanebüchenem Google-Translate-Deutsch verfasst“, heißt es von Experten. „Heute finden wir keine Fehler mehr in der Grammatik.“

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, Mitarbeiter systematisch zu schulen. „Zahlungsprozesse können so angelegt werden, dass einzelne Person nicht ohne weiteres hohe Summen ins Ausland überweisen können“, sagte vor einiger Zeit BSI-Boss Arne Schönbohm. Selbst wenn der Chef per Mail eindringlich darum bittet. Bei Medidata hat allerdings nicht einmal das geholfen.