Montag, 08.08.2016
Immer häufiger werden Mittelständler Opfer von sogenannten Fake-President-Betrugsfällen: Kriminelle geben sich online als Firmenchefs aus und veranlassen illegale Zahlungen.

Fotoquelle: anyaberkut/Thinkstock/Getty Images

Immer häufiger werden Mittelständler Opfer von sogenannten Fake President-Betrugsfällen: Kriminelle geben sich online als Firmenchefs aus und veranlassen illegale Zahlungen.

Personal
Gefälschte E-Mails

Fake President: Mittelstand verliert Millionen

Professionelle Betrüger, die sich als Unternehmenschefs ausgeben, bringen den deutschen Mittelstand derzeit um Millionen. Im Visier: die Finanzabteilung. Wie sich Mittelständler vor dem Fake President schützen.

53 Millionen Euro weg, einfach so. Diesen Albtraum durchlebt gerade der österreichische Flugzeugzulieferer FACC. Das Geld wurde nicht etwa in ein erfolgloses Produkt investiert oder mit riskanten Finanzgeschäften versenkt. Nein, FACC verlor knapp 10 Prozent seines Jahresumsatzes an Betrüger. Die Österreicher sind das wohl prominenteste Opfer einer Masche, die gerade auch im deutschen Mittelstand um sich greift: der falsche Vorstand, zu Neudeutsch: Fake President.

Im Kern funktioniert die Methode so: Ein vermeintliches Vorstandsmitglied kontaktiert einen Mitarbeiter der Finanzabteilung und weist ihn an, einen hohen Geldbetrag zu überweisen. Im Glauben daran, er spreche mit dem Chef, leistet der Mitarbeiter Folge – und das Geld ist verloren. Seit einigen Monaten nehmen solche Betrugsfälle in Deutschland massiv zu, berichtet Rüdiger Kirsch vom Versicherer Euler Hermes: „Immer wieder gelingt es den Betrügern, mit dieser Masche Geld zu erbeuten.“

Wie groß der Schaden ist, der deutschen Unternehmen dadurch entsteht, kann niemand genau sagen, zu hoch ist die Dunkelziffer. Bei der österreichischen FACC wurde der Fall nur deshalb publik, weil das Unternehmen inzwischen börsennotiert ist und seinen Aktionären darüber berichten musste. Klar ist aber: Obwohl sich die Fälle inzwischen häufen, fallen noch immer viele Mittelständler auf die Masche herein. „Es gab beispielsweise einen Fall, in dem 17 Millionen Euro erbeutet wurden“, sagt Kirsch.

Soziale Manipulation durch Fake President

Anders als bei plumpen Phishing-Mails bereiten sich die Fake-President-Betrüger akribisch vor. Sie spähen das Unternehmen, interne Abläufe und zum Teil sogar einzelne Personen über Monate hinweg aus. In einem Fall gab die Buchhalterin eine Zahlung frei, weil sie die Stimme des vermeintlichen Chefs am Telefon erkannte. Wenige Wochen zuvor hatte derselbe Anrufer ihr zum Dienstjubiläum gratuliert. Soziale Manipulation oder „Social Engineering“ nennen Experten dieses Vorgehen. „Nicht immer, aber zum Teil gehen diese Methoden mit ‚echtem‘ Cyber Crime einher, also etwa mit dem Hacken des Firmennetzwerks“, sagt Marcus Schreibauer, Cyber-Crime-Spezialist der Anwaltskanzlei Hogan Lovells.

Auch der Finanzleiter eines deutschen Mittelständlers, der lieber anonym bleiben möchte, vermutet, dass die E-Mail-Konten gehackt wurden. Einer seiner Mitarbeiter wurde gebeten, dringend 5 Millionen Euro zu überweisen – angeblich für einen streng geheimen Unternehmenskauf, weshalb er niemanden ins Vertrauen ziehen durfte: „Eine Frau, die sich als unsere Kontaktperson bei unserer Wirtschaftsprüfung ausgegeben hat, hat den Mitarbeiter dreimal angerufen, um das weitere Vorgehen zu besprechen“, erzählt der Finanzleiter. Bei dem Mittelständler ging es glimpflich aus: Mindestens zwei Personen müssen dort eine Zahlung freigeben. Als der Mitarbeiter die Rechtsabteilung kontaktierte, flog der Betrug auf.

Die Spur des Geldes ist schwer nachvollziehbar

Generell ist es nicht so einfach, das Geld zurückzuerhalten, sagt Jurist Schreibauer: „Dafür muss es sehr schnell gehen. Denn in der Regel transferieren die Betrüger das Geld sofort auf Konten im Ausland und verwischen so ihre Spuren.“ Schreibauers Aufgabe ist es dann, das Geld aufzuspüren. Dafür arbeitet er eng mit Banken zusammen, die nach eigener Aussage aber nicht viel mehr unternehmen können, als Kunden auf die Gefahr hinzuweisen. Das Unternehmen müsse den Betrug als solchen erkennen, nicht die Bank: „Unsere Systeme schlagen nur dann Alarm, wenn es im Freigabeprozess Auffälligkeiten gibt“, sagt ein Firmenkundenbanker. Wenn der Mitarbeiter die Zahlung ordnungsgemäß auslöst und freigibt, läuft sie in der Regel normal durch.

Eine wichtige Rolle spielen auch Polizei und Staatsanwaltschaften. „Einige Behörden haben inzwischen exzellente Expertise aufgebaut. Aber wir erleben durchaus Unterschiede in der Motivation, sich mit solchen Betrugsszenarien zu befassen“, berichtet Schreibauer. Zumindest hat jedes Bundesland mittlerweile eine zentrale Ansprechstelle für Cyber Crime eingerichtet, die 24 Stunden am Tag erreichbar ist. Für Unternehmen, die Opfer einer Fake-President-Attacke geworden sind, sind diese Zentralen eine gute erste Anlaufstelle – auch wenn diese Methode nicht im engeren Sinne zu Cyber Crime gehört. Darunter verstehen die Experten eher Datendiebstahl, Wirtschaftsspionage und Co. Die örtliche Polizeistation könne in der Regel nicht weiterhelfen, berichten Betroffene.

Maßnahmen, um Fake President vorzubeugen

Doch natürlich will kein Geschäftsführer, dass es überhaupt so weit kommt. Das muss es auch nicht, denn es gibt durchaus einfache Maßnahmen, mit denen sich die Finanzabteilung schützen kann:

Info

Wie Mittelständler sich gegen den Fake-President-Betrug schützen können

  • Kommunikation: Mitarbeiter auf die Tricks der Betrüger hinweisen und schulen
  • Kontrolle: prüfen, ob die E-Mail-Adresse vom Original abweicht
  • Nachfragen: den Geschäftsführer über einen anderen Kanal kontaktieren und sich die Zahlung bestätigen lassen
  • Abwesenheit: automatische E-Mail-Benachrichtigungen ausschalten, um es Betrü¬gern zu erschweren, während Ihrer Abwesenheit zuzuschlagen
  • Mehrstufige Prozesse: Zahlungen immer von mehreren Personen autorisieren lassen
  • Tochtergesellschaften: Oft sind Auslandstöchter Einfallstore für Betrüger. Hier sollten Kompetenzen im Zahlungsverkehr beschränkt werden.
  • Verschlüsselung: sensible Kommunikation nur in zertifizierter Form verschicken
  • Kanäle im Zahlungsverkehr: sofern es das Geschäftsmodell des Unternehmens zulässt, Zahlungen per Fax oder Beleg besser ausschließen

Quelle: Markt und Mittelstand