https://www.faz.net/-gyl-8nhmq

Neue Masche von Betrügern : Hier spricht der Chef - ich brauche Geld!

Alles Fassade: So mancher dunkle Geselle richtet erheblichen Schaden an, indem er sich als Chef ausgibt. Bild: ddp Images

Mit einer neuen Masche nutzen Betrüger eine Schwachstelle in vielen Unternehmen: die Angst der Angestellten vor ihren Vorgesetzten. Das klappt öfter, als man denkt. Und ist richtig teuer.

          Solche Tage gibt es, gerade für die Im-Büro-Gebliebenen zur Ferienzeit: Der Wasserspender gurgelt, der Rechner summt, man klickt sich gelangweilt durch die Urlaubsfotos der anderen. Der Chef ist ja nicht da. Malediven, was man so hört. Dann kommt der Anruf, bei dem jeder sofort hellwach ist: Der Chef. Der Chef? Es sei dringend. Geld muss verschwinden, die Steuerfahndung, es eilt, es geht ums Ganze, jetzt ist Loyalität gefragt! Habe man nicht die letzten 20 Jahre durch dick und dünn gut zusammengearbeitet? Die Stimme nennt Interna, Zahlen, Namen. Sie klingt sogar wie der Chef. Und schließlich verschiebt man Millionen, schadet der Firma, macht den größten Fehler der eigenen Karriere - womit diese durchaus enden kann.

          Hendrik Wieduwilt

          Redakteur der Wirtschaft in Berlin, zuständig für „Recht und Steuern“.

          Es ist eine neue, extrem aufwendige Masche, mit der seit kurzem Angestellte und ihre Arbeitgeber aufs Kreuz gelegt werden: Der sogenannte „CEO-Fraud“, zu Deutsch Cheftrick. Der geht so: Betrüger rufen bei arglosen Mitarbeitern an und geben sich als deren Chef aus. Sie geben Anweisungen, woraufhin sie am Ende teilweise Millionenbeträge abstauben. Kürzlich traf es den Autozulieferer Leoni: 40 Millionen Euro flossen ab. Der Aktienkurs ging ebenfalls ordentlich in die Knie - manch einer interpretiert in so einen Vorfall Indizien für eine schlecht geführte Finanzbuchhaltung. Der Cheftrick ist aber kein simpler Telefonstreich - sondern ein bisweilen generalstabsmäßig geplanter, psychologisch und technisch ausgefeilter Angriff auf Unternehmen.

          „Zunächst werden Informationen gesammelt“, beschreibt Joachim Mohs von der Beratungsgesellschaft PWC die Vorbereitungen. Manchmal genügt es schon, die Internetseiten des Unternehmens zu durchforsten. Namen, Zuständigkeiten, Hierarchien - ein Organigramm wird da zum Risiko, zum Blick ins innere Machtgefüge eines Unternehmens. Hilfreich sind auch detaillierte Profile in geschäftlich genutzten sozialen Netzwerken - etwa Xing oder Linkedin. Ist etwa der Leiter des Rechnungswesens öffentlich sichtbar, ergibt sich ein guter Angriffspunkt. Hält sich die Firma bedeckt, kann es helfen, deren Rechner zu hacken.

          Dann folgt die Kontaktaufnahme. Hier ist der Zeitpunkt entscheidend. Durch den Abwesenheitsassistenten oder Anrufe im Vorzimmer lässt sich leicht herausbekommen, wann der Chef nicht da ist, erklärt Ronny Wolf von der Commerzbank, Abteilungsdirektor Betrugsprävention im Firmenkundengeschäft. Urlaubs- und Feiertage machen das Personal angreifbar und die Verfolgung mühselig. Zu Ostern werde etwa gern Geld über Zypern geleitet, weil dort die Feiertage eine Woche später stattfinden - so kann ein Mitarbeiter sich nicht so leicht rückversichern. In dieser Angriffsphase werden dem Opfer wichtige Geschäftstransaktionen vorgegaukelt, erklärt Mohs. Dabei wird Dringlichkeit vorgegeben, damit es nicht zu unnötigen Rückfragen kommt.

          Probiert man es nur oft genug, klappt es irgendwann auch

          „Social Engineering“ nennt man dieses Eindringen über das Personal - „Austricksen“ wäre wirklich zu harmlos. Viele Betrüger verraten sich allerdings, etwa weil der angebliche Chef plötzlich siezt oder gar die falsche Sprache spricht. „Oft funktioniert das nicht“, sagt Mohs. Doch mit der Chef-Masche ist es wie mit betrügerischen E-Mails: Probiert man es nur oft genug, klappt es irgendwann auch. Die aufgerufenen Summen würden meist an die Unternehmensgröße angepasst - doch seien sie meist so hoch gewählt, dass es sich schon bei einem Treffer richtig lohnt.

          Wenn der vermeintliche Chef am Hörer ist, sollte er möglichst auch so klingen. „Sie können Stimmen kaufen“, sagt Wolf trocken. „Der Sprecher muss nicht einmal wissen, dass er an einem Betrug mitwirkt.“ Stimmen lassen sich auch elektronisch auf die richtige Tonlage zerren. Man muss sich nur unter einem Vorwand zuvor einmal zum Vorstand durchtelefonieren, um eine Stimmprobe mitzuschneiden. Auch E-Mails lassen sich fälschen. Oft wird in den Absendernamen („Alias“) zusätzlich die richtige E-Mail-Adresse des Chefs angegeben - dann übersieht manch ein Angestellter im Stress, dass der eigentliche Absender ein anderer ist. Oder die Adresse macht den Eindruck, der Chef sende von seinem Mobiltelefon.

          Wie groß das Problem wirklich ist, lässt sich schwer abschätzen. Dreißig Betrugsversuche habe er bis in den Spätsommer für die Commerzbank bundesweit gezählt, sagt Wolf. Naturgemäß können nur Fälle gezählt werden, die auch bekannt werden. Bei dieser Art von Delikten muss das nicht oft der Fall sein. Zunächst habe bei Betroffenen oft ein gewisses Schamgefühl die Kommunikation blockiert - „weil man Angst hat, für dumm gehalten zu werden“, sagt Wolf. Außerdem schädigt so ein Vorfall die Reputation. Im Fall Leoni lässt sich das an einem deutlichen Knick im Aktienkurs ablesen, den man mit dem verlorenen Geld allein nicht begründen kann. „So ein Vorgang kann das Vertrauen in die Finanzbuchhaltung beeinträchtigen“, sagt Wolf. Das amerikanische FBI hatte die durch E-Mail-Betrug auf der Welt verursachten Verluste zuletzt auf 3,1 Milliarden Dollar geschätzt.

          Manche Unternehmen empfinden sich als zu unwichtig

          Die größte psychologische Schwachstelle: Hybris. Gerade kleinere Unternehmen meinten schlicht, dass sie gar keinen „CEO“ hätten und deshalb auch nicht anfällig für solche Tricks seien. Wolf nennt es deshalb jetzt „Chefbetrug“ - einen Chef wird es doch wohl auch bei jedem Mittelständler geben. Andere empfänden sich als zu unwichtig und meinten, betroffen seien nur die Dax-Konzerne, erzählt der Berater. Dabei haben gerade kleinere Unternehmen eine große Schwachstelle: Wenn nämlich noch ein Patriarch an der Spitze steht, vor dem die Belegschaft strammsteht und dem sie keine Fragen stellt. Wieder andere hielten ihre Prozesse für sicher.

          Wenn eine verdächtige Mail auftaucht, sollte man sie nicht geringschätzen, warnt Commerzbank-Mitarbeiter Wolf - denn dann ist noch nicht klar, wie viele solche Versuche gerade noch gegen den Betrieb unternommen werden. Daher habe man ein zentrales Meldewesen eingeführt, um einen gestarteten Angriff zu blockieren. „Wenn das Geld bereits geflossen ist, funken wir auf allen Kanälen, um es zurückzuholen“, sagt Wolf. 80 Prozent der Fälle würden abgewendet oder zurückgeholt.

          Da der Cheftrick meist grenzüberschreitend verwendet wird, ist die Strafverfolgung derzeit kompliziert. „Es handelt sich um international organisierte Wirtschaftskriminalität“, bilanziert Dirk Seiler aus der Kanzlei Herbert Smith Freehills. „Das Konto ist ja immer bekannt, insofern gibt es immer einen Ermittlungsansatz.“ Doch obwohl die Ermittler dieses „Ende des Wollknäuels“ in den Händen halten, würden viele Verfahren eingestellt, beklagt der Anwalt. Man müsse Glück haben und einen Ermittler erwischen, der auf Übersetzungsaufwand und andere Rechtskulturen Lust habe. Erleichterung ist allerdings in Sicht in Form der Europäischen Ermittlungsanordnung. Das ist eine Vereinheitlichung, auf die sich die Mitgliedstaaten der Europäischen Union geeinigt haben. Ein schlichtes Formblatt soll Hemmungen abbauen - „nur die Lücken ausfüllen und das Papier rüberschicken“, sagt Seiler.

          Prävention ist nötig

          Seilers Kollege Helmut Görling ist optimistisch: Die ausländische Behörde muss einer Ermittlungsanordnung innerhalb von 30 bis 60 Tagen nachkommen. „Das ist gemessen an den Üblichen Überschallgeschwindigkeiten.“ Geschwindigkeit ist wichtig: „Der Inhaber des Empfängerkontos muss kein nützlicher Idiot sein“, sagt Görling. Habe man ein Konto identifiziert, könne es durchaus sein, dass sich weitere Taten aufklären lassen. „Viele lassen das Konto volllaufen, andere schleusen das blitzschnell durch diverse Shell-Companys weiter.“

          Weil es womöglich tatsächlich eine Chance gibt, das Geld aufzuspüren, raten die Anwälte dazu, mehrgleisig zu fahren. Neben der Anzeige muss die Bank informiert werden. Erreicht man dort den Geldwäschebeauftragten, wird dieser den Finanzbehörden eine Geldwäscheverdachtsanzeige melden - Banken unterliegen hohen Sanktionen der Bankenaufsicht. „Daneben kann man auf dem Weg des Zivilrechts das Konto einfrieren“, erklärt Görling.

          Eine gute Prävention in Unternehmen kann aber Schlimmeres verhindern helfen, sagt Seiler. „So langweilig es klingt - es braucht einen Prozess“, sagt der Anwalt. „Dann kann sich der Mitarbeiter daran festhalten, selbst wenn ein angeblicher Chef Druck macht.“ Doch zunächst geht es vor allem um Problembewusstsein.

          Technik kann helfen

          Auch technisch lassen sich Grenzen ziehen: Eine Überweisung an eine Bank, die nicht im System ist? Das sollte nicht ohne weiteres möglich sein. Die E-Mail-Programme sollten erkennen, wenn eine Nachricht nicht intern ist. Inzwischen gibt es Software, die bestimmte Methoden der Überlistung („Social Engineering“) erkennt und entsprechende Warnungen einblendet. Mohs rät allgemein davon ab, Abwesenheiten in sozialen Netzwerken herauszuposaunen, und sei es nur durch unterwegs veröffentlichte Reisefotos. Man sollte sich vor allem nicht zu sicher fühlen. „Es werden alle angegriffen“, versichert Mohs. Mittelständler seien sogar sehr empfänglich, wenn sie unter einer besonders klaren Hierarchie arbeiten - sprich: wenn ein Wort des Chefs Bedenken schnell beiseitewischt.

          Ronny Wolf von der Commerzbank warnt vor einer falschen Fehlerkultur, die der Aufklärung im Wege stehen kann. Mitarbeiter, die hereingelegt wurden, hätten oft Angst, dass sie in die Täterschublade geschoben würden. Es addieren sich dann Ängste: Droht die Kündigung? Es läuft doch die Baufinanzierung! Was denken die Kollegen, der Bäcker - und muss ich wegen der Unterschriftenfälschung ins Gefängnis? „Wer hereingelegt wurde, leidet am meisten.“

          Weitere Themen

          Wachstum will gelernt sein

          Start-ups in Rhein-Main : Wachstum will gelernt sein

          Wenn Unternehmen schnell groß werden, freut das die Gründer wie auch die Mitarbeiter – sollte man meinen. Doch der Erfolg ist durchaus gefährlich. Experten raten daher, Wachstum lange im voraus zu planen.

          Topmeldungen

          SPD-Regionalkonferenz Hamburg : Moin, Moin

          Die Kandidatentour der SPD ist in Hamburg angekommen – der Heimat des Favoriten Olaf Scholz. Aber ist es deshalb auch ein leichtes Heimspiel?

          AfD-Wahlkampf in Thüringen : „Extrem bürgerlich“

          Beim Wahlkampfauftakt der Thüringer AfD in Arnstadt versucht die Partei, sich ein bürgerlich-konservatives Image zu geben. Doch vor allem die Aussagen eines Redners lassen daran Zweifel aufkommen – und es ist nicht Björn Höcke.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.