CEO-Fraud: Der Schaden geht in die Milliarden

Kaum eine Betrugsmasche plagt die deutsche Wirtschaft derzeit so sehr wie der CEO-Fraud. Das Prinzip: Kriminelle gaukeln Mitarbeitern vor, ihr Chef zu sein und fordern sie auf, hohe Summen auf ausländische Konten zu überweisen. Mit Erfolg: Weltweit geht der Schaden in die Milliarden. So können Sie sich schützen.

Herr Müller sitzt an einem viel zu warmen Arbeitstag im Büro der Buchhaltung eines mittelständischen Maschinenherstellers. Er nippt an einer kalten Cola, wischt sich den Schweiß von der Stirn und blickt sehnsüchtig zur Uhr. Er hört wie so oft das Geräusch einer ankommenden E-Mail. Beim Lesen des Absenders schreckt er auf: der Geschäftsführer. Herr Müller wundert sich, weil der eigentlich im Urlaub ist – und üblicherweise über seinen Vorgesetzten an ihn herantritt. Sein Geschäftsführer schreibt, dass er im Urlaub unerwartet eine Vereinbarung abgeschlossen habe, deren Vollzug nicht warten könne. Es müsste sofort ein hoher sechsstelliger Betrag an ein Konto in Asien überwiesen werden, die genauen Instruktionen würden folgen.

Herr Müller ist zwar etwas verwirrt, prüft aber die Mailadresse und die Signatur – alles stimmt, die Mail macht einen vertrauenswürdigen Eindruck. Er überweist das Geld noch am selben Tag. Das Unternehmen ist in die Falle getappt.

CEO-Fraud: Die Betrüger gehen nach Schema F vor

Herr Müller und sein Unternehmen sind frei erfunden, die Ereignisse nicht. Immer mehr deutsche Mittelständler geraten in das Visier von Betrügerbanden, die einen Weg gefunden haben, ganz ohne Gewalt oder Cyberangriffe das hart erwirtschaftete Geld der Unternehmen abzuzapfen. Der Name der Masche: CEO-Fraud, auch Präsidentenbetrug genannt – die Schäden gehen weltweit in die Milliarden.

Das Schema ist immer dasselbe: Buchhalter oder andere Angestellte mit Zugriff auf das Unternehmensvermögen bekommen eine unerwartete E-Mail, dass eine wichtige Transaktion anstünde. Sie stammt vermeintlich von einem Vorgesetzten, die Täter stellen den Sachverhalt gern als dringlich dar. Wenn der Mail-Empfänger nichtsahnend überweist, haben die Täter gewonnen. Das Geld wird in der Regel schnell vielfach umgeleitet und ist kaum wiederzubekommen.

Die Schuld bei Angestellten zu suchen, ist der falsche Weg

Es nutzt hier nichts, über die Angestellten den Kopf zu schütteln: Die Mails sind in der Regel gut gemacht, fast jeder Berufstätige, der das Problem nicht kennt, kann auf den Trick hereinfallen. Teilweise gehen die Täter sogar noch einen Schritt weiter: Sie schicken eine vermeintliche Mail zur Rücksetzung des Passworts an den Geschäftsführer, dieser gibt seine Login-Daten ein, die Täter greifen sie ab und können nun Betrugsmails von seiner echten Mailadresse verschicken. Spätestens dann ist für viele Angestellte eine Überweisung nur noch ein Reflex.

Dagegen können sich KMU nur auf eine Weise schützen: Indem sie ihre Mitarbeiter schulen. Die beste Firewall nützt nichts, wenn das Geld nicht von einem Hacker entwendet wird – sondern ein echter Mitarbeiter die Überweisung in bestem Gewissen tätigt. Daher kann nur Aufklärung zum Erfolg führen. Ein Sicherheitskonzept oder im besten Fall feste Verhaltensregeln – mindestens aber eine Mahnung zur Achtsamkeit. Denn die Betrüger ändern ihre Maschen – Aufmerksamkeit hilft gegen die meisten davon. Die Unternehmensführung muss das natürlich vorleben.

So können Mitarbeiter CEO-Fraud erkennen

Alles, was ungewöhnlich ist, sollte beachtet werden. Wenn es um das Geld des eigenen Unternehmens geht, ist Vorsicht geboten. Siezt der Vorgesetzte in einer Mail plötzlich, obwohl er das sonst nicht tut? Benutzt er eine ungewöhnliche Grußformel? Stimmen Informationen nicht, ist die Mailsignatur plötzlich anders? Oder ist es gar eine fremde, höchstens getarnte Mailadresse? Mitarbeiter sollten jeden Aspekt der Mail prüfen, bevor sie große oder ungewohnte Transaktionen anweisen.

All dies funktioniert aber auch in die andere Richtung: Gewiefte Betrüger sammeln Informationen über den Vorgesetzten, bevor sie in seinem Namen eine Mail schreiben. So grüßt der in der Mail aus seinem Urlaub auf Honolulu, von dem er an seinem letzten Tag freudig berichtet hatte, oder lässt Grüße von seiner Frau ausrichten. Unterschwellig bekommt der Mitarbeiter das Gefühl, mit dem echten Chef zu sprechen, und übersieht Details. Hier hilft nur ein besonderes Bewusstsein für die Maschen der Betrugsbanden.

Häufig wird auch auf andere, zuvor unbekannte Personen verwiesen. Diese rufen zum Teil sogar an und geben sich als jemand aus, der sie nicht sind. All das ist aber schnell übersehen, wenn der Respekt vor den vermeintlich handelnden Personen groß ist. Es wird Druck erzeugt, gleichzeitig gibt man dem Mitarbeiter ein gutes Gefühl durch Vertrautes – eine effektive Kombination: Die Angestellten wollen der neuen, ungewohnten Herausforderung gewachsen sein.

Das kann aber auch die Motivation für das Abwehren eines möglichen Angriffs sein.

Wie lassen sich Betrugsversuche aufklären?

Was macht der Mitarbeiter nun bei einem Anfangsverdacht? Er kann die Überweisung schlecht verweigern – schließlich wäre der echte Chef wohl sauer, wenn seine Anweisungen nicht beachtet werden. Die simpelste Antwort ist hier die richtige: nachfragen. In einem Telefonat lässt sich in wenigen Sekunden herausfinden, ob die Mail wirklich vom Chef stammt.

Sollte der gerade nicht erreichbar sein, tut es auch ein erfahrener Kollege oder die Vorgesetzte – sie muss die Suppe schließlich im Ernstfall mit auslöffeln. Sind beide geschult und aufmerksam und ist man sich einig, dass da etwas nicht stimmen könnte, sollte bis zur Bestätigung durch die Person, die die Mail vermeintlich geschrieben hat, nichts überwiesen werden. Bemerkt man dagegen Anzeichen von CEO-Fraud, ist sofort die Polizei einzuschalten.

Doch Vorsicht: Essenziell ist es, die Echtheit des Schreibens auf einem unabhängigen Weg zu prüfen und niemals über die Mailadresse, von der das Schreiben kam, oder eine eventuell mitgeschickte Telefonnummer. Auch die Mailadresse des Geschäftsführers könnte übernommen worden sein – sicher ist also tatsächlich nur das persönliche Gespräch oder ein Telefonat über eine bereits zuvor bekannte Nummer.

Das kann die Unternehmensführung unternehmen

Wichtig ist natürlich auch, diese Prinzipien vorzuleben. Nicht nur das: Die Kommunikationswege, über die die Unternehmensführung erreichbar ist, sollten allen, mit denen sie spricht, einwandfrei bekannt sein. Wenn die Kommunikation oft schwammig und unklar erfolgt, fallen seltsame Grußformeln oder vermeintlich private Mailadressen bei einem Betrugsversuch nicht negativ auf.

Außerdem ist es wichtig, für alle dringenden Belange Stellvertreter zu benennen. So ist in Abwesenheit klar, wer etwas entscheidet. Nur wenn das Unternehmen in guten Händen ist, können Mitarbeiter davon ausgehen, dass die hektisch getippte Mail aus dem Urlaub, in der scheinbar wichtige Entscheidungen angewiesen werden, gefälscht ist.

Was tun im Ernstfall?

Ist das Kind aber schon in den Brunnen gefallen – das Geld also bereits überwiesen –, sollte sofort die Polizei eingeschaltet werden. Es nutzt nichts, einfach den Angestellten verantwortlich zu machen und Köpfe rollen zu lassen. Das bringt das Geld nicht zurück, die staatlichen Behörden dagegen unter Umständen schon.

Hier schreiben die Kapitalmarktexperten der Quirin Privatbank über die deutsche Wirtschaft und alles, was den heimischen Mittelstand bewegt. Das erfahrene Team der Quirin Privatbank hat die Entwicklungen rund um die Mittelstandsfinanzierung immer im Blick und zeigt auf, welche alternativen Finanzierungsformen für KMU interessant sind.