Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Sonnenuntergang in Tel Aviv

In der israelischen Hauptstadt lokalisierten Ermittler die Wohnung der Betrüger.

(Foto: Moment/Getty Images)

Kriminalität CEO-Betrug: Auf der Jagd nach den falschen Chefs

Seit Jahren erbeuten Kriminelle Millionen Euro in Firmen, indem sie Mitarbeitern vorgaukeln, ihr Chef zu sein. Bei Ritter Sport ging das schief. Ein Thriller.
Kommentieren

Berlin, Düsseldorf Henning Mühlbauer hatte ein komisches Gefühl, als er am 9. Mai 2017 die E-Mail aus seinem Postfach fischte. Eine vertrauliche Finanztransaktion sei vorzubereiten, schrieb ihm sein Chef. Höchste Diskretion hier Pflicht. Ein Dr. Schmidt von der Finanzaufsicht Bafin werde sich melden.

Mühlbauer war Buchhalter beim Schokoladenhersteller Ritter Sport. Geheime Kommandoaktionen kamen in seinem Job selten vor. In der E-Mail siezte ihn sein Chef Andreas Ronken, dabei duzten sich beide schon seit Jahren. Mühlbauer griff zum Telefon und rief Ronken einfach an. So löste er eine Kette von Ereignissen aus, die er nie geahnt hätte.

Neun Tage später brachen israelische Polizisten in Tel Aviv durch eine Wohnungstür und verhafteten einen damals 50 Jahre alten Franzosen und einen Komplizen auf frischer Tat. Die beiden Kriminellen waren Teil einer Bande, die jahrelang deutsche Firmen um Millionen Euro erleichterte, indem sie sich als Firmenchefs ausgaben und Mitarbeiter manipulierten, hohe Summen auf ausländische Konten zu überweisen.

Die Masche gilt als Klassiker der Internetkriminalität. Sie ist unter den Namen „CEO-Fraud“, „Präsidenten-Betrug“ oder „Business Email Compromise“ bekannt. Die Schäden gehen nach Schätzungen der US-Bundespolizei FBI weltweit in die Milliarden. Deutsche Staatsanwaltschaften – allen voran die Stuttgarter – ermitteln in mehr als 200 Fällen. Dabei werden längst nicht alle Angriffe bekannt, denn aus Angst vor Imageschäden scheuen viele Firmen den Gang zur Polizei.

Als Erfinder der Methode gilt der Franko-Israeli Gilbert Chikli, zurzeit inhaftiert in Frankreich. Der „Godfather of CEO-Fraud“ soll die gefährliche Mischung aus Cybercrime und Social Engineering entwickelt haben. Das Vorgehen des 53-Jährigen war so erfolgreich, dass Banden es weltweit kopierten. Bekannte Opfer sind der bayerische Autozulieferer Leoni und der österreichische Flugzeugteilebauer FACC. Sie wurden jeweils um rund 40 Millionen Euro geprellt.

Kaum eine Betrugsmasche plagt die deutsche Wirtschaft zurzeit so wie der CEO-Fraud, Ermittlungserfolge sind selten. Wenn Fahnder überhaupt mal anrücken, haben die Betrüger die Kommunikation meist abgebrochen, ihre Beute waschen sie über asiatische Banken. Dort verliert sich die Spur des Geldes für sie angenehm schnell.

Anfang 2019 verurteilte das Stuttgarter Landgericht nun aber in zwei Prozessen Täter unterschiedlicher Banden zu jeweils rund fünf Jahren Haft. Die deutschen Urteile sowie Dokumente von US-Strafverfolgern, die dem Handelsblatt vorliegen, erlauben erstmals einen Blick hinter die Kulissen der Banden. Wie sie funktionieren, wie sie manipulieren und wie Behörden sie knacken konnten.

Der spektakulärste Ermittlungserfolg ist dabei der Fall Ritter Sport im schwäbischen Waldenbuch. „Als ich die Mailadresse prüfte, die eine andere Endung hatte, war mir schnell klar, dass es sich um eine Anbahnung eines Betrugsfalles handeln muss“, erinnert sich der Buchhalter Mühlbauer heute. Er heißt eigentlich anders. Seinen echten Namen möchte er nicht in der Zeitung lesen. Mühlbauer will nicht identifizierbar sein für Kriminelle, deren Machenschaften er auffliegen ließ.

Jedenfalls informierte der Buchhalter seinen Chef, persönlich am Telefon. Ritter-Sport-Geschäftsführer Andreas Ronken staunte nicht minder über die E-Mail, die er nie geschrieben hatte. Sein Unternehmen war für Cyberkriminelle ein attraktives Ziel. Eine halbe Milliarde Jahresumsatz, 1100 Mitarbeiter – bei vergleichbaren deutschen Mittelständlern hatten die Banden in der Vergangenheit oft Erfolg. Aber die Schokoladenfirma schaltete sofort die Polizei ein.

Die Beamten erkannten ihre Chance. Sie wollten nicht nur Ritter Sport schützen. Ihnen ging es auch darum, den angeblichen Herrn Dr. Schmidt von der Bafin zu überführen und seine Hintermänner dingfest zu machen. Die Strategie der Fahnder: Die Manipulatoren selbst zu manipulieren, den Spielern ein anderes Spiel aufzuzwingen. Dazu mussten sie Zeit gewinnen.

Erhöhter Druck

Und so antwortete Mühlbauer erst am Abend auf die E-Mail seines vermeintlichen Chefs. Dr. Schmidt habe sich noch nicht gemeldet, schrieb er. Abwarten. Am nächsten Morgen klingelte Mühlbauers Telefon. Der sogenannte Dr. Schmidt von der Bafin war dran und kam gleich zur Sache. Ein Firmenkauf im Ausland sei geplant, und fragte nach Zeichnungsberechtigungen und Überweisungslimits für Kroatien. Mühlbauer gab sich offen. Was sei denn genau geplant?

Wenige Minuten später ploppte eine neue E-Mail des vermeintlichen Chefs auf, der Bezug auf das Telefonat mit Dr. Schmidt nahm. Der Buchhalter solle einen Überweisungsträger von 984.100 Euro vorbereiten. Ziel war eine Bank im chinesischen Hangzhou.
Mühlbauer spielte weiter auf Zeit. Er antwortete erst einen Tag später, gab sich verwirrt. Wo sollte das Geld denn nun hin? Kroatien? China? Er bat um Instruktionen. Wieder war ein Tag gewonnen. Im Hintergrund zogen Beamte des Landeskriminalamts die Fäden in diesem doppelten Spiel. Ein falscher Buchhalter wechselte E-Mails mit einem falschen Chef.

Der nächste Tag war Freitag und Mühlbauer schrieb, er sei erst am Dienstag wieder im Haus, dann könne er die Überweisung in Angriff nehmen. Um 13.20 Uhr schickte er dem falschen Chef eine E-Mail mit dem Überweisungsträger. Was dieser nicht ahnte: Der Überweisungsträger war mit einem Tracker versehen.

Mühlbauer baute zur Sicherheit einen Zahlendreher ein. So hatte er eine Ausrede, wenn die Bank die Überweisung nicht umsetzen würde, nachdem die Bande die Auszahlungsanweisung mit einer gefälschten Unterschrift des Chefs um 15:03 Uhr zurücksandte. Jetzt wurde es heikel. Dr. Schmidt rief am Dienstag mehrfach an und fragte, warum das Geld nicht angekommen sei. Es habe Probleme mit dem Unterschriftenabgleich gegeben, antwortete der Buchhalter und schickte einen gefälschten Kontoauszug zum Nachweis der Transaktion. Der falsche Ronken bedankte sich via E-Mail für die gute Arbeit.

Nun setzten die LKA-Beamten alles auf eine Karte: Die Gier der Täter. Sie ließen den Buchhalter seinem falschen Chef eine neue E-Mail schicken. Die Botschaft: Er habe bei der Bank eine Vereinfachung für Transaktionen innerhalb Europas erreichen können. Die Täter witterten noch mehr Geld. Ginge das auch nach Polen, wollten sie wissen. Mühlbauer solle den Transfer von knapp zwei Millionen Euro in zwei Tranchen veranlassen.

Showdown in Tel Aviv

Am Mittag des 18. Mai 2017 kam es zum spektakulären Showdown. Mühlbauer sollte Dr. Schmidt möglichst lange am Telefon halten. Nervös nahm er den Telefonhörer in die Hand. 16 Minuten dauerte das Telefonat, dann schnappte die Falle zu. Bundeskriminalamt und israelischen Behörden war es gelungen, die Wohnung der Täter zur orten.

Im Prozess vor dem Landgericht in Stuttgart bereute und gestand der 52-jährige Franzose. In Vernehmungen packte er über die Bande aus. Im Februar verurteilte ihn das Gericht wegen gewerbsmäßigen Bandenbetrugs zu fünf Jahren und drei Monaten Haft. Der Vorsitzende Richter Frank Maurer: „Dieses Betrugssystem hat durchaus perfide Züge.“

Mehrere Komplizen sind noch auf der Flucht. Im Urteil steht aber, dass der Kopf der Bande, ein bekannter Täter der CEO-Fraud-Szene, inzwischen in der Ukraine festgenommen werden konnte. Er befinde sich wegen anderer Betrugsfälle in französischer Haft. Beide Angaben treffen auf den mutmaßlichen Erfinder der Masche Gilbert Chikli zu.

Steckt der Mastermind Chikli also auch hinter dem Angriff auf Ritter Sport? Wollen ihn die deutschen Behörden haben, wenn er in Frankreich entlassen wird? Die Staatsanwaltschaft Stuttgart möchte den Fall nicht kommentieren, verweist darauf, dass bei der Strafverfolgung international agierender Krimineller Urteile und Haftstrafen im Ausland berücksichtigt würden.

Chikli verleitete von 2005 bis 2006 Unternehmen, rund 60 Millionen Euro zu überweisen, indem er sich bei Mitarbeitern von Großunternehmen als deren Chef oder sogar als Geheimagent ausgab. Zu seinen Opfern zählen bekannte französische Großbanken, ein Raumfahrtkonzern, der Zughersteller Alstom und eine Kaufhauskette.

Der notorische Betrüger saß 2009 schon einmal in Frankreich in Haft, bevor er sich nach Israel absetzte. Dort ließ er sich von Medien in seinem Haus in der Hafenstadt Aschdod besuchen. Weiße Möbel, weißes Klavier und ein wandfüllender Flachbildfernseher. Davor fläzte sich der Millionenbetrüger in Jeans im Sessel. Seine 20 Jahre jüngere Frau saß auf dem Schoß. Das sei wie mit berühmten Schauspielern, sagte Chikli in einem Interview, er habe „eine Gabe“ für Betrügereien. Chiklis Leben dient als Vorlage für den Spielfilm „Je compte sur vous“ („Ich verlasse mich auf Sie“).

Im Vergleich zu diesem schillernden Charakter ist der vermeintliche Dr. Schmidt eine tragische Figur. Der Franzose lebte bis 2015 in Phuket in Thailand und war Tauchlehrer, als er an Diabetes erkrankte und seinen Beruf aufgeben musste. Er steckte tief in finanziellen Schwierigkeiten. Deshalb folgte er einem Schüler nach Israel, als ihm dieser ein Jobangebot in einem Callcenter versprach.

In Tel Aviv wurde aus dem gescheiterten Tauchlehrer ein Betrüger. Der 52-Jährige stammt aus Straßburg und sprach fließend Deutsch. Deshalb sollte er helfen, die Chef-Mails fehlerfrei zu formulieren und später die Telefonate als angeblicher Vertrauensanwalt oder Bafin-Mitarbeiter zu führen. Dafür bot man ihm einen winzigen Teil der Beute. 5000 Euro für jede erfolgreiche Überweisung. 2017 stieß der Straßburger dann zu der Bande, die Chikli wahrscheinlich koordinierte.

Der Schaden, den die Täter um Dr. Schmidt anrichteten, ist enorm: Insgesamt erbeuteten sie 8,7 Millionen Euro, etwa die Hälfte davon ist für die geschädigten Unternehmen verloren. Weitere 2,8 Millionen Euro konnten nur gesichert werden, weil die sogenannten Zielpersonen umsichtig handelten. Das erbeutete Geld wurde meist zu Banken in China transferiert. Die Rückleitung an die Täter erfolgte unter anderem über von Chinesen betriebene Läden im Pariser Banlieue Aubervilliers.

Eine ähnlich hohe Summe erbeutete eine weitere Tätergruppe aus Osteuropa, die von 2014 bis 2015 aus „Safe Houses“ in Bulgarien, Tschechien, Polen und der Slowakei zuschlug. Sie manipulierten mehr als ein Dutzend deutscher Firmen, fast zehn Millionen Euro zu überweisen, von denen rund fünf Millionen Euro gerettet werden konnten.

Eine Täterin, die ähnlich wie Dr. Schmidt aufgrund ihrer Sprachkenntnisse als Telefonistin diente, verurteilte das Landgericht Stuttgart ebenfalls im Februar zu fünf Jahren Gefängnis. Ein anderes Bandenmitglied wurde in den USA zu drei Jahren und sechs Monaten Haft verurteilt. Beide waren zuvor im Rahmen von FBI-Ermittlungen festgenommen worden.

Technisch hoch versiert

Wie aus dem Urteil hervorgeht, war diese Bande technisch sehr versiert. Sie arbeitete mit Fake-E-Mail-Adressen, Domains und Voice-over-IP-Telefonaten. Mit VPN-Tunneln versuchten die Kriminellen, ihre Internetaktivitäten zu verschleiern. Rechnungen bezahlten sie in Bitcoin. Vielleicht war es ein Fehler, dass sie vor allem auf technische Dienstleister aus den USA zurückgriffen. Dort kamen die Behörden ihnen auf die Spur.

Das Vorgehen der Bande ähnelte der Chikli-Methode. Zur Gruppe gehörten Rumänen und Ungarn, doch im Hintergrund zogen Israelis die Strippen. Sie stellten den Osteuropäern vorformulierte E-Mails zur Verfügung, organisierten Finanztransaktionen und kassierten Teile der Beute, die zur Geldwäsche durch China geleitet wurde.

Die Sache bei Ritter Sport ging am Ende gut aus – weil der Mittelständler strenge Sicherheitsregeln hat. So sind Überweisungen unmöglich, wenn nicht zwei Leute grünes Licht gegeben haben. Henning Mühlbauer beachtet die Regeln konsequent. „Die Zusammenarbeit mit dem LKA war vom ersten Tag an sehr gut. Wir sind froh, dass wir dazu beitragen konnten, die Betrüger zu überführen. Durch unsere Mithilfe konnten zumindest weitere Straftaten verhindert werden“, sagt Mühlbauer.

Auch wenn immer mehr Firmen heute vorgewarnt sind und nicht mehr so leicht Opfer werden wie noch 2014, sieht das LKA in Baden-Württemberg keinen Grund zur Entwarnung. Der Trend gehe von aufwendigen Millionenbetrügereien hin zum massenhaften Verschicken falscher Rechnungen über kleinere Summen. Die rutschen in den Buchhaltungen schnell mal durch, heißt es aus Ermittlerkreisen.

Immerhin, eine Welle von Anrufen und E-Mails eines angeblichen Referenten aus dem Bundeskanzleramt lief letztes Jahr ins Leere. Wie das BKA warnte, wollte ein gewisser „Uwe Becker“ Unternehmen für Hilfe beim Freikauf deutscher Geiseln einspannen. Sie sollten millionenschwere Lösegelder ins Ausland transferieren. Das ist eine neue Masche der Betrüger. Bislang ist keine Firma bekannt, die darauf reingefallen wäre.

Mehr: Angriffe über das Internet sind für moderne Unternehmen eine große Gefahr. Gerade in der Industrie haben vielen Firmen nur einen mangelhaften Schutz – trotz besseren Wissens.

Startseite

Mehr zu: Kriminalität - CEO-Betrug: Auf der Jagd nach den falschen Chefs

0 Kommentare zu "Kriminalität: CEO-Betrug: Auf der Jagd nach den falschen Chefs "

Das Kommentieren dieses Artikels wurde deaktiviert.