„Chef-Betrug“ schädigt nicht nur Großunternehmen

Betrüger haben Unternehmen bundesweit bereits in Millionenhöhe geschädigt, indem sie sich als deren Chefs ausgaben (sog. „Chef-Masche“, auch als „CEO-Fraud“, „Vorstands-Betrug“ oder „Geschäftsführer-Trick“ bekannt).

Es meldet sich hier der vermeintliche Chef oder Finanzchef des Unternehmens über eine gefälschte E-Mail-Adresse beim Buchhalter und drängt, für wichtige Transaktionen müsse schnell Geld überwiesen werden. In einer Variante wurde behauptet, die Steuerfahndung sei überraschend ins Haus gekommen und das Geld müsse rasch verschwinden. Der Mitarbeiter wird zu „strikter Geheimhaltung“ verpflichtet. Dies und vorbereitete Zahlungsaufträge mit der ggf. notwendigen gefälschten zweiten Unterschrift setzen auch interne Kontrollmechanismen außer Kraft. Auf diese Weise werden große Geldsummen auf ausländische Konten überwiesen, die sofort nach Eintreffen leergeräumt werden. E-Mail-Adressen sind gefälscht, Prepaid-Handynummern nicht nachzuverfolgen.

Hinter der Betrugsmasche soll ein weltweit operierendes Netzwerk der organisierten Kriminalität stecken. Das FBI bezifferte den weltweiten Schaden auf 3,1 Milliarden US-Dollar (2,8 Milliarden Euro) in 100 Staaten (Stand: Mitte 2016). Dem Bundeskriminalamt wurden in der Zeit von 2013-2016 bundesweit rund 60 Betrugsfälle mit einem Gesamtschaden von 106 Millionen Euro bekannt. Der tatsächliche Schaden liegt jedoch vermutlich deutlich höher, weil es dazu keine verlässliche Statistik gibt. Viele Betrugstaten werden aus Angst vor Vertrauensverlust nicht angezeigt. Dabei ist das rasche Einschalten von Polizei und Hausbank entscheidend, um den überwiesenen Betrag zurückzubekommen.

Nach Erkenntnissen der Polizei sind die Betrüger in diesen Fällen über das Unternehmen bestens im Bilde und bereiten sich wochenlang vor. Besonders anfällig sind patriarchalisch-autoritär geführte Unternehmen, in denen Zweifel und Widerspruch nicht erwünscht sind. Betroffen sind daher v. a. Großkonzerne, uns sind jedoch auch Fälle bekannt, in denen mittelständische Unternehmen die Zielscheibe der Betrüger waren.

Firmeninternes Insiderwissen

Für die Tat werden alle verfügbaren Informationen gesammelt, um täuschend echt zu attackieren, so etwa Wirtschaftsberichte, das Handelsregister oder Werbebroschüren. Manchmal rufen die Täter unter einem Vorwand an, nutzen einen Komplizen im Unternehmen oder durchsuchen gar den Müll. Im Internet lassen sich jedoch bereits häufig die Firmenstruktur (Homepage) und Funktionen der Mitarbeiter (Berufs-Netzwerke) nachvollziehen, über Social Media lässt sich z. B. herausfinden, ob sich der Vorstand gerade im Ausland befindet oder sonst schlecht erreichbar ist.

„Spear-Phishing“ (engl. „speer“) heißt diese perfide Methode, sich ganz gezielt Zugang zu fremden Computern zu verschaffen. Denn der Angreifer kennt nicht nur die persönliche Mailadresse des Opfers, sondern auch Details aus dem privaten und beruflichen Umfeld. Er kapert quasi die Identität eines Freundes oder Kollegen, sodass E-Mails vollkommen unverfänglich klingen. Das macht es für Opfer nahezu unmöglich, einen Angriff zu erkennen.

Wie kann sich ein Unternehmen schützen?

Vor der Überweisung sollte unbedingt persönlich Kontakt mit dem Geschäftsführer oder dem Vorstandsmitglied aufgenommen werden. Da die Betrugsmails nicht von Firmenadressen versandt werden, sollten Sie die genutzte E-Mail-Adresse genau überprüfen. Kontaktieren Sie bei Betrugsverdacht umgehend die Polizei.

Ferner sollten Sie darauf achten, welche Informationen über Ihr Unternehmen öffentlich abrufbar sind, wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren. Auch sind klare interne Abwesenheitsregelungen und Kontrollmechanismen zu empfehlen. Daneben sollte dringend eine Sensibilisierung der Mitarbeiter für das Betrugsphänomen erfolgen.