CEO Fraud: Die neue Maske des Verbrechens

24.08.2017 Awareness

Hunderte Millionen Euro, eine Beute von der jeder Bankräuber nur träumen kann: Die Rede ist von einer Betrugsmasche, die unter der Chiffre „CEO Fraud“ Strafverfolgern wie Sicherheitsverantwortlichen die Sorgenfalten auf die Stirn treibt. Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen, heißt es dazu in einer jüngst herausgegebenen Presseerklärung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das BSI, so wird weiter betont, „informiert die Betroffenen über die akute Gefährdung und weist auf die Risiken des CEO Fraud hin.“ Für einige Personen, deren Name meist stellvertretend für Unternehmen steht, kommt die Warnung allerdings zu spät.

Die „Süddeutsche Zeitung“ berichtete Mitte Juli über einen ebenso exemplarischen wie auch erschreckenden Fall eines erfolgreichen CEO Fraud Angriffs, der bereits im November 2015 stattfand und nun ein gerichtliches Nachspiel hatte.

Stillschweigen und zeitlicher Druck

Es war der 25. November 2015, genau 9.22 Uhr als die Buchhalterin der traditionsreichen Hofpfisterei in München eine E-Mail mit der kryptischen Ankündigung erreichte, sie werde in einer Stunde Informationen über eine „vertrauliche Finanztransaktion“ erhalten, über die sie auf jeden Fall Stillschweigen zu wahren habe. Exakt eine Stunde später kam die Anweisung: 1,9 Millionen Euro sollten überwiesen werden. Ist schon der Betrag selbst bei gut gehenden Firmen nicht unbedingt alltäglich, so war es das Ziel – ein Bankhaus in Hongkong – schon zweimal nicht. „Die Buchhalterin H. tat wie geheißen. Nach einigem Hin und Her ging die Überweisung an die Bank. Und dann war das Geld weg“, fasst die SZ lakonisch zusammen.

Im Rechtstreit in München ging es nun darum, ob nicht das Bankhaus Donner & Reuschel, das die Überweisung für die namhafte Bäckerei ausführte, in Haftung genommen werden könne und für den Schaden aufzukommen habe. Der Kern des ungereimten Trauerspiels liest sich in der SZ folgendermaßen: „Die Mails, die die Buchhalterin H. instruierten, kamen – vorgeblich – von Nicole Stocker, der Geschäftsführerin der Hofpfisterei. Es war ein in mehrfacher Hinsicht bemerkenswerter Vorgang: Zunächst die Höhe der Transaktion – ,die Buchhaltung wird ja kaum jeden Tag zwei Millionen Euro irgendwohin überweisen‘, sagte der Vorsitzende Richter. Zudem: Nach Hongkong sollte das Geld gehen, kein gewöhnlicher Ort für Hofpfister-Geschäfte. Und schließlich: Warum war der Buchhalterin jeder Kontakt mit der Chefin verboten? Sie saß doch in der Firmenzentrale nur ein paar Türen weiter. ‚Da hätten die Alarmleuchten angehen müssen‘, sagte der Richter.“ Der 23. Senat des Oberlandesgerichts (OLG) fand, die Schuld läge „zu einem Viertel bis zu einem Drittel“ bei der Bank und forderte die beiden Firmen auf, in Vergleichsverhandlungen einzutreten.

Meistens nach China oder Hongkong

Der Betrug weist alle charakteristischen Merkmale von CEO Fraud auf. Die US-Bundespolizei FBI stellt fest, dass zwar die meisten CEO Fraud-Opfer in den USA ansässig seien, dass aber Unternehmen in über 100 Länder mit der Masche betrogen wurden. Laut FBI seien es in der Regel Firmen, zu deren Geschäftsalltag der grenzüberschreitende Geldtransfer gehöre. Obwohl betrügerische Geldüberweisungen in über 79 verschiedene Länder gingen, sei das meiste ergaunerte Geld an Banken in der Volksrepublik China und Hongkong geflossen. Von Januar 2015 bis Juni 2016 registrierte das FBI einen Anstieg der Verluste um 1.300 Prozent, die durch CEO Fraud entstanden sind und bezifferte sie auf eine Dimension von rund 3,1 Milliarden US-Dollar. Allerdings, so schätzt das FBI ein, könnte das Ausmaß dieses Problems noch viel größer sein, da viele dieser Betrügereien aufgrund von „Verlegenheit oder Verzweiflung“ der Opfer sowie der offensichtlichen Aussichtslosigkeit von praktischen Lösungen, möglicherweise gar nicht gemeldet werden. Auch das kanadische Anti-Betrugs-Zentrum schätzt, dass nur fünf Prozent der gelungenen oder versuchten Betrügereien den Ermittlungsstellen überhaupt zur Kenntnis gebracht werden.

Anders der Nürnberger Automobilzulieferer Leoni, der auf seiner eigenen Website darüber informierte, dass man am 12. August vergangenen Jahres feststellen musste, „Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ geworden zu sein. „Der Schaden beläuft sich auf einen Abfluss an liquiden Mitteln von insgesamt ca. 40 Mio. Euro“, so das Unternehmen, das über Standorte u.a. in China, Indien, Korea und einer Vielzahl weiterer Länder verfügt. Von 2013 bis zum Zeitpunkt des Leoni-Betruges waren bereits 250 Fälle dieser Art gezählt worden, betonte der Leiter des Sachgebietes Wirtschaftskriminalität beim Bundeskriminalamt (BKA), Holger Kriegeskorte, gegenüber der Presse. In 68 Fällen seien die Betrüger erfolgreich gewesen. Der Gesamtschaden für die Firmen belief sich bis zu diesem Zeitpunkt auf 110 Millionen Euro.

Täuschend ähnliche E-Mail-Domains

Die Firmen, die von den Kriminellen ins Visier genommen werden, haben gründliche Ausspähungen zu erwarten. Tom Kemp, Chef der Software-Firma Centrify in Santa Clara, Kalifornien, mit mehr als 450 Angestellten, hat den CEO Fraud selbst erlebt, wie er in der US-Fernsehsendung „Nightly Business Report“ schilderte. Eine Masche aus der Trickkiste der Kriminellen war, das konnte man bei genauerem Hinsehen feststellen, dass sie sich eine E-Mail-Domain besorgten, die mit der Firma leicht verwechselt werden konnte. In der Mail-Adresse des Chefs – tom.kemp@centrify.com – war beim Firmennamen lediglich ein zweites „i“ eingebaut. Was beim flüchtigen Lesen nicht sofort aufgefallen war. Centrify-Chef Kemp, selbst IT-Fachmann, wollte der Geschichte auf den Grund gehen. Er fand heraus, dass die gefälschte Domain bei Vistaprint gebucht worden war. Ein Anruf dort ergab, dass der Inhaber dieser Domain noch fast 70 weitere Adressen beantragt hatte. Alle waren echten Firmennamen zum Verwechseln ähnlich.

Andere IT-Spezialisten scheinen nicht so sorgfältig in ihrem Metier unterwegs zu sein. Wie das US-Magazin „Fortune“ Ende April bekannt machte, mussten die beiden Internet- Monopolisten Google und Facebook einräumen, von einem Betrüger mittels der CEO Fraud-Masche um 100 Millionen US-Dollar erleichtert worden zu sein. Beide Unternehmen bestätigten den Verlust im Gespräch mit dem Magazin. Es sei jedoch gelungen, „einen Großteil“ der entwendeten Summe wiederzubeschaffen, betonten die Unternehmen gegenüber „Fortune“.

Informationen aus allen Quellen

In Frankreich sind, wie bekannt wurde, mehr als 700 Unternehmen aller Größenordnung von CEO Fraud betroffen, und seit 2010 mehr als 485 Millionen Euro auf diese Weise gestohlen worden. Carole Gratzmuller, Chefin der mittelständischen französischen Firma Etna Industrie, berichtet, wie sie Opfer von CEO Fraud wurde. Sie habe sich gerade im Urlaub befunden, als ihre Buchhaltung die Information bekam, Etna Industrie wolle ein Unternehmen auf Zypern kaufen, erzählte sie später der Londoner BBC. Es sei großer zeitlicher Druck von den Betrügern ausgeübt worden. Zum Glück für die Etna Industrie, die seit fast 75 Jahren Industrieausrüstung am Rande von Paris herstellt, seien drei der Überweisungen von den Banken aufgehalten worden, eine über 100.000 Euro sei jedoch durchgegangen. CEO Fraud ist eine Bündelung verschiedenster Vorgehensweisen. Die international agierenden Kriminellen sammeln jegliche Art von Informationen über ein Unternehmen, ob mittels Wirtschaftsberichte, Handelsregisterinformationen, Webseiten, Werbebroschüren, sozialen Medien und dergleichen mehr. Eine Grundregel muss deshalb lauten: So wenig wie möglich Unternehmensdaten öffentlich einsehbar machen! Das BKA startete im Mai dieses Jahres eine Aufklärungskampagne und bietet einen Flyer mit Warnhinweisen zu CEO Fraud zum Download an.

Wie das FBI zu berichten weiß, wird das Konto, wenn die betrügerische Überweisung eingegangen ist, zum Teil von bis zu 20 verschiedenen Personen an ebenso vielen verschiedenen Stellen innerhalb einer Stunde leergeräumt, um eventuellen Rückbuchungen zuvorzukommen.

Zurück