Cyberkriminalität
Chefbetrug – so schützen sich Unternehmen

Dreist und erfolgreich: Kriminelle geben sich als Chefs aus und drängen Buchhalter per E-Mail dazu, Firmengelder ins Ausland zu überweisen. Die Betrugsmasche „CEO Fraud“ grassiert – wie sich Unternehmen vor ihr schützen.
  • 2

DüsseldorfDie Sache verlangt höchste Vertraulichkeit, daran lässt die E-Mail keinen Zweifel. „Zurzeit bereiten wir eine Übernahme vor“, lässt der Chef die Mitarbeiterin ohne lange Einleitung wissen. Niemand werde darüber informiert, selbst im eigenen Haus nicht. Nur die Frau wird eingeweiht – sie soll die Zahlung vorbereiten: „Aufgrund ihrer Diskretion und bisher einwandfreien Arbeit möchte ich Ihnen die Verantwortung über das Projekt übertragen“, schmeichelt ihr der Vorgesetzte.

E-Mails wie diese gehen in vielen deutschen Unternehmen ein. Dahinter verbergen sich jedoch nicht Familienpatriarchen und Vorstände: Immer öfter versuche Kriminelle, Mitarbeiter in der Buchhaltung oder dem Rechnungswesen dazu zu bewegen, Geld auf ein Konto im Ausland zu überweisen – etwa wegen einer angeblichen Übernahme oder Fusion. Experten bezeichnen diese Betrugsmasche meist als „CEO Fraud“, auf Deutsch Chefbetrug. Der wohl bekannteste Fall: Der Autozulieferer Leoni machte vor einem Jahr einen Schaden von 40 Millionen Euro publik.

Konkrete Zahlen zum Ausmaß des Problems gibt es nicht. „Das Phänomen hat in den letzten Jahren stark zugenommen“, beobachtet aber Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch Praktiker berichten in Gesprächen mit dem Handelsblatt, dass ihre Firmen es mit immer mehr und immer besseren Betrugsversuchen zu tun bekommen. So zählen die Sicherheitschefs zweier deutscher Konzerne mit mehr als 10.000 Mitarbeitern durchschnittlich zwei professionelle Versuche pro Monat – und deutlich mehr laienhafte.

Viele Unternehmen sind darauf nicht vorbereitet. Das zeigt sich etwa daran, dass allein die Staatsanwaltschaft Köln mit ihrer Zentral- und Ansprechstelle Cybercrime (ZAC) derzeit in 158 Verfahren ermittelt, bei denen Schäden in Höhe von 56 Millionen Euro anfielen. Hätten die Banken nicht etliche Transaktionen stoppen können, wären bis zu 150 Millionen Euro abgeflossen. Im schlimmsten Fall ist die Existenz einer Firma bedroht. Dabei ist es durchaus möglich, sich dagegen zu schützen, wie Schönbohm betont: „Es gibt gute und wirksame Gegenmaßnahmen.“

Wie die Chefmasche funktioniert, und was dagegen hilft: Die beiden Sicherheitschefs geben dem Handelsblatt Einblicke. Da sie die Täter nicht provozieren wollen, wollen sie die Namen ihrer Arbeitgeber nicht öffentlich nennen – der Einfachheit halber nennen wir sie Konzern Nord und Konzern Süd.

Schulungen gegen „Fehler 40“

Ein Auftrag des Chefs, der höchste Diskretion erfordert – es ist verständlich, wenn Mitarbeiter in einer solchen Situation nervös werden. Dabei wäre Besonnenheit besonders wichtig: Würde der Vorstand wirklich per E-Mail bitten, große Summen ins Ausland zu überweisen, ganz ohne interne Absprachen? „Wir bezeichnen das als Fehler 40“, sagt der Sicherheitschef eines deutschen Industriekonzerns: Die Fehlerquelle sitze 40 Zentimeter vor dem Bildschirm.

Die Sensibilisierung der Mitarbeiter sei daher der wichtigste Schutz und könne die meisten Betrugsversuche dieser Art abwehren. Der Konzern veranstaltet deswegen regelmäßig Schulungen für Buchhaltung und Finanzabteilung und verschickt gelegentlich selbst fingierte E-Mails, um die Reaktionen zu testen. Und er bläut den Buchhaltern ein, im Zweifel einmal mehr zu fragen als einmal weniger.

„Nur weil wir das Thema innerhalb des Konzerns gemeinsam mit den Mitarbeitern angehen, erkennen wir die meisten Betrugsversuche.“ Bisher konnte sein Team jegliche Schäden verhindern – in wenigen Fällen erst nach der Überweisung, aber noch rechtzeitig, um die Transaktion zu stoppen.

Mit diesen Maßnahmen ist der Konzern nicht allein. BSI-Präsident Schönbohm beobachtet, dass größere Firmen die Gefahr erkannt haben – kleinere jedoch häufig nicht. „Wir müssen auf unsere Familienunternehmen und die Hidden Champions aufpassen“, betont der Behördenchef. Und auf die haben es einige Betrüger offenbar abgesehen: Ermittler berichten, dass eine erste Welle sich im Südwesten der Republik ausbreitete, wo viele erfolgreiche Maschinenbauer ihren Sitz haben.

Kommentare zu " Cyberkriminalität: Chefbetrug – so schützen sich Unternehmen"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • "(...) Und ein gesundes Misstrauen auch (leider)"

    "Leider" deshalb, weil an dem zynischen Spruch "Alle wollen nur Dein Bestes - Dein Geld" heute mehr denn je jede Menge dran ist.

  • „Aufgrund ihrer (…) bisher einwandfreien Arbeit“

    Ha! „Bisher“. Echt fies. Bisschen Druck, ganz subtil, hilft immer, was?

    Aber nur, wenn „Fehler 40“ allzu abhängig von der Meinung und den Weisungen anderer ist, sprich: nicht genug Selbstvertrauen hat.

    Selber denken und dann eigene Entscheidungen treffen (z.B. nachfragen) hilft. Und ein gesundes Misstrauen auch (leider). Sonst nichts.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%