Betrugsmasche „CEO Fraud“ - Abgezockt vom falschen Chef

Eine Betrugsmasche macht Karriere: Beim „CEO Fraud“ geben sich Betrüger als Chefs aus, um Geld zu ergaunern – teils Millionensummen. Ermittlungen des Bundeskriminalamts vermitteln nun eine Ahnung, wie hoch der Schaden ist.

Düsseldorf. Herr Becker bittet um Diskretion. Das Thema ist heikel: Die Bundesregierung benötige für den Freikauf deutscher Geiseln hohe Lösegelder, berichtet der Referent des Bundeskanzleramts am Telefon. Da es um zwei- bis dreistellige Millionenbeträge gehe, sei sie auf Spenden aus der Wirtschaft angewiesen. Etwa 40 Millionen Euro fehlten immer noch – ob der Geschäftsführer das wichtige Anliegen unterstützen könne?


So mancher Vorstand und Familienpatriarch hat sich diese spektakuläre Geschichte in den vergangenen Wochen vermutlich angehört. Am anderen Ende spricht allerdings – wie viele wohl gleich vermuten – kein Beamter, sondern ein Betrüger. Es handelt sich um eine Masche, die Experten als CEO Fraud bezeichnen, auf Deutsch: Chefbetrug. Dabei geht es darum, Unternehmen unter einem Vorwand zu Zahlungen ins Ausland zu bewegen.

Das Bundeskriminalamt (BKA) warnt vor einer Welle von Anrufen im Namen eines Herrn Becker aus dem Kanzleramt. Diese steht stellvertretend für die Karriere eines kriminellen Geschäftsmodells. „Das Phänomen hat in den letzten drei bis vier Jahren eine besondere Bedeutung erlangt“, sagte BKA-Vizepräsident Peter Henzler am Montag in Wiesbaden. Gemeinsame Ermittlungen mit sieben Bundesländern zeigen, dass allein eine Bande aus Israel einen Schaden in Höhe von 175 Millionen Euro verursacht hat – und andere Kriminelle sie sich zum Vorbild nehmen.

Bislang ließ sich das Problem CEO Fraud höchstens umreißen. Nur wenige Fälle sind publik geworden, beispielsweise beim Autozulieferer Leoni, der 40 Millionen Euro verlor, gestückelt in zahlreiche kleine Zahlungen. Die US-Bundespolizei FBI schätzte 2016, dass Betrüger rund eine Milliarde Dollar erbeuten konnten. Eine halbwegs repräsentative Statistik für Deutschland gibt es aber nicht – nur Polizeiberichte über anonyme Einzelfälle.

Wie groß die Schäden sind, lassen nun Zahlen erahnen, die das BKA mit anderen Polizeibehörden ermittelt hat: Es sei gelungen, „eine Tätergruppierung zu identifizieren, die aus Israel heraus agiert“, sagte Sabine Vogt, die die Abteilung „Schwere und Organisierte Kriminalität“ leitet. Diese habe es in Deutschland seit 2014 rund 800 Mal versucht, in gut 100 Fällen mit Erfolg. Dabei seien den Opfern 175 Millionen Euro verloren gegangen.

Das sind jedoch nur die Schäden, die eine einzelne, wenn auch professionelle Gruppe verursacht hat. Dass das BKA und andere Polizeibehörden gemeinsam einige Täter festnehmen konnten, darf nicht als Entwarnung gelten. „Wir wissen, dass auch andere Täterstrukturen aktiv sind“, sagte Vogt. Das BKA erwarte, dass CEO Fraud auch künftig ein Problem sein werde. Damit nicht genug: „Die Täter werden ihre Methoden weiterhin verändern.“ Unternehmen müssen also wachsam bleiben.

Der erschreckende Erfolg der Täter habe damit zu tun, „wie Unternehmen heute arbeiten“, sagte BKA-Vize Henzler. Einerseits ist ihr Geschäft komplex geworden – so überschreiten Käufe, Lieferungen und Zahlungen häufig die Grenzen von Ländern und Konzerngesellschaften. Die E-Mail ist darüber das wichtigste Kommunikationsmittel geworden. Andererseits geben sie so viele Informationen wie nie über sich preis, ob in digitalen Registern oder den sozialen Medien.

Die Täter könnten daher Unternehmen und ihre Chefs leicht auskundschaften, erläuterte Henzler. Mit diesem Wissen kontaktieren sie meist Mitarbeiter in der Buchhaltung oder Finanzabteilung – wer der richtige ist, ist über Karrierenetzwerke wie Xing und LinkedIn ebenfalls leicht herauszufinden. Diesen werde „sehr plausibel vorgetäuscht, dass ausgerechnet sie das vollständige Vertrauen des CEO besitzen und in eine Sache eingeweiht werden, die das Vertrauen erfordert.“

Dabei beweisen die Kriminellen einiges Geschick. Einerseits in Sachen Psychologie: Ermittler und Sicherheitsexperten berichten von E-Mails, die an die Eitelkeit der Empfänger appellieren oder Druck aufbauen. Wer will schon widersprechen, wenn sich der Chef mit einem Spezialauftrag meldet? Andererseits sind die Betrüger technisch versiert. In E-Mails können sie den Absender fingieren, bei Anrufen die Telefonnummer.

Das BKA hat eine Aufklärungskampagne gestartet. Die Behörde empfiehlt mehrere Grundsätze, um CEO Fraud zu verhindern. Der wohl wichtigste Schutz: die Mitarbeiter sensibilisieren. Denn nach einer Studie der Wirtschaftsprüfungsgesellschaft KPMG ist die Betrugsmasche in 60 Prozent der Firmen nicht bekannt. Entsprechend unsicher gehen Buchhalter und Finanzexperten häufig mit ungewöhnlichen Zahlungsaufforderungen um.

Die Bundespolizei rät außerdem zu mehr Zurückhaltung bei der Veröffentlichung von internen Informationen. Transparenz sei zwar wichtig, biete aber eben auch Angriffsflächen, sagte Henzler. Auch genaue Vorschriften für ungewöhnliche Transaktionen können Schäden verhindern, etwa die Verifizierung von Zahlungsaufforderungen beim Geschäftspartner oder eine Kontaktaufnahme mit dem Chef.