ZEIT ONLINE: Der Autozulieferer Leoni ist nach eigenen Angaben Opfer eines millionenschweren Betrugs geworden. Anhand gefälschter Dokumente und Identitäten wurden auf dem elektronischen Kommunikationsweg 40 Millionen Euro ins Ausland transferiert. Wie kann einem Unternehmen so eine Panne passieren, Herr Schartner?

Götz Schartner: Panne ist hier der falsche Ausdruck. Es handelt sich um einen perfekt geplanten und ausgeführten Finanzbetrug. Solche Straftaten führen allein in Deutschland jede Woche zu Schäden von bis zu mehreren Millionen Euro.

ZEIT ONLINE: Wie funktioniert das?

Schartner: Die Kriminellen wissen, dass in mittleren und großen Unternehmen heute fast der gesamte Zahlungsverkehr elektronisch erfolgt. Im Netz ist aber Identitätsdiebstahl und Identitätsmissbrauch sehr einfach. Die Betrüger übernehmen meist ohne großen Aufwand die Identität des Vorstandschefs oder von Lieferanten und wenden neben technischen Tricks auch gezielt psychologische Druckmittel gegen Mitarbeiter an, die dann unbemerkt in die Falle tappen. Man nennt diese Arten von Finanzbetrug auch Fake President oder Payment Diversion.

ZEIT ONLINE: Wie gehen die Täter dabei konkret vor?

Schartner: Wie der Name Fake President schon vermuten lässt, geht es um einen "gefälschten" Vorgesetzten. Die Kriminellen geben sich als Vorstandsmitglied oder Geschäftsführer aus, der einen einzelnen Mitarbeiter für ein extrem wichtiges und streng vertrauliches Projekt, zum Beispiel eine Unternehmensübernahme, ins Vertrauen zieht. Unter dieser Prämisse wird der Mitarbeiter dann gezielt unter Druck gesetzt. Ergänzt wird die Masche durch gefälschte E-Mail-Absenderadressen oder Anrufe von vermeintlichen Geschäftspartnern.

Eine gut gemachte Fake-President-Attacke ist ohne vorheriges professionelles Training nur schwer zu erkennen und setzt den betroffenen Mitarbeiter enorm unter Druck. Letztendlich wird das Opfer dazu gebracht, eine hohe Geldsumme zu überweisen – und damit ist der Betrug komplett. Opfer sind zumeist Beschäftigte, die natürlich in den Zahlungsverkehr eingebunden sind und Zahlungen für das Unternehmen auslösen können.

ZEIT ONLINE: Es ist aber doch schon erstaunlich, dass sich Betrüger für hochkarätige Manager ausgeben. Wie machen die das?

Schartner: Die zu imitierenden Personen werden im Vorfeld der Attacke ausspioniert. Neben abgefangenen E-Mails werden auch öffentliche Auftritte, Interviews, Webseiten und Social-Media-Profile ausgewertet. So können beispielsweise Lieblingsworte oder -formulierungen identifiziert werden und schon wirken gefälschte E-Mail-Nachrichten authentisch – wobei viele Mitarbeiter ihren "obersten Chef" ja auch nicht persönlich kennen und Abweichungen ohnehin nicht identifizieren könnten.

An dieser Stelle greifen die Kriminellen dann auch gerne zu gefälschten E-Mail-Absenderadressen, die nicht ohne Weiteres enttarnt werden können.