ZEIT ONLINE: Der Autozulieferer Leoni ist nach eigenen Angaben Opfer eines millionenschweren Betrugs geworden. Anhand gefälschter Dokumente und Identitäten wurden auf dem elektronischen Kommunikationsweg 40 Millionen Euro ins Ausland transferiert. Wie kann einem Unternehmen so eine Panne passieren, Herr Schartner?

Götz Schartner: Panne ist hier der falsche Ausdruck. Es handelt sich um einen perfekt geplanten und ausgeführten Finanzbetrug. Solche Straftaten führen allein in Deutschland jede Woche zu Schäden von bis zu mehreren Millionen Euro.

ZEIT ONLINE: Wie funktioniert das?

Schartner: Die Kriminellen wissen, dass in mittleren und großen Unternehmen heute fast der gesamte Zahlungsverkehr elektronisch erfolgt. Im Netz ist aber Identitätsdiebstahl und Identitätsmissbrauch sehr einfach. Die Betrüger übernehmen meist ohne großen Aufwand die Identität des Vorstandschefs oder von Lieferanten und wenden neben technischen Tricks auch gezielt psychologische Druckmittel gegen Mitarbeiter an, die dann unbemerkt in die Falle tappen. Man nennt diese Arten von Finanzbetrug auch Fake President oder Payment Diversion.

ZEIT ONLINE: Wie gehen die Täter dabei konkret vor?

Schartner: Wie der Name Fake President schon vermuten lässt, geht es um einen "gefälschten" Vorgesetzten. Die Kriminellen geben sich als Vorstandsmitglied oder Geschäftsführer aus, der einen einzelnen Mitarbeiter für ein extrem wichtiges und streng vertrauliches Projekt, zum Beispiel eine Unternehmensübernahme, ins Vertrauen zieht. Unter dieser Prämisse wird der Mitarbeiter dann gezielt unter Druck gesetzt. Ergänzt wird die Masche durch gefälschte E-Mail-Absenderadressen oder Anrufe von vermeintlichen Geschäftspartnern.

Eine gut gemachte Fake-President-Attacke ist ohne vorheriges professionelles Training nur schwer zu erkennen und setzt den betroffenen Mitarbeiter enorm unter Druck. Letztendlich wird das Opfer dazu gebracht, eine hohe Geldsumme zu überweisen – und damit ist der Betrug komplett. Opfer sind zumeist Beschäftigte, die natürlich in den Zahlungsverkehr eingebunden sind und Zahlungen für das Unternehmen auslösen können.

ZEIT ONLINE: Es ist aber doch schon erstaunlich, dass sich Betrüger für hochkarätige Manager ausgeben. Wie machen die das?

Schartner: Die zu imitierenden Personen werden im Vorfeld der Attacke ausspioniert. Neben abgefangenen E-Mails werden auch öffentliche Auftritte, Interviews, Webseiten und Social-Media-Profile ausgewertet. So können beispielsweise Lieblingsworte oder -formulierungen identifiziert werden und schon wirken gefälschte E-Mail-Nachrichten authentisch – wobei viele Mitarbeiter ihren "obersten Chef" ja auch nicht persönlich kennen und Abweichungen ohnehin nicht identifizieren könnten.

An dieser Stelle greifen die Kriminellen dann auch gerne zu gefälschten E-Mail-Absenderadressen, die nicht ohne Weiteres enttarnt werden können.

"Das Unternehmen haftet selbst"

ZEIT ONLINE: Ist das eine übliche Betrugsmasche?

Schartner: Ja, diese Art von Betrug gehört inzwischen zu den Standardvorgehensweisen von Kriminellen. Das verdeutlicht den Trend zum Social Engineering oder Human Hacking. Wo die Technik stark ist, da wird der Faktor Mensch ausgenutzt, um sie zu umgehen. Daher funktioniert Informationssicherheit immer nur als Kombination: Mensch und Technik müssen Hand in Hand arbeiten.

ZEIT ONLINE: Geht es immer um hohe Summen?

Schartner: Bei Fake-President-Angriffen werden gezielt größere Unternehmen ins Visier genommen, denn der Aufwand ist entsprechend groß und daher geht es meistens gleich um Summen in Millionenhöhe. Daneben gibt es noch die sogenannten Payment-Diversion-Fälle, bei denen Zahlungsströme umgeleitet werden.

Ein Mitarbeiter eines Unternehmens erhält zum Beispiel eine E-Mail von einem Partnerunternehmen, in der eine neue Bankverbindung zur Begleichung einer Rechnung angegeben wird. Nach der Überweisung stellt sich dann heraus, dass die Absenderadresse gefälscht und die E-Mail von einem Kriminellen verschickt wurde. Das Geld ging direkt an ihn. Hiervon sind oft auch kleinere Unternehmen betroffen. Und hier haben Kriminelle schon vier- bis sechsstellige Beträge erbeutet.

ZEIT ONLINE: Kann das Geld nicht einfach zurückgeholt werden? Kommt es immer zu einem großen Schaden?

Schartner: Reagiert ein Unternehmen zeitnah, kann das Geld durchaus zurückgeholt werden. Dazu müssen sie schlicht und einfach massiv Druck auf die eigene und auf die Korrespondenzbank ausüben. Aber wenn zu spät reagiert wird, ist das Geld oft schon über mehrere Banken und verschiedene Länder überwiesen worden und nicht mehr auffindbar.

ZEIT ONLINE: Wer haftet in einem solchen Fall?

Schartner: Prinzipiell immer das Unternehmen selbst. Sofern es eine entsprechende Versicherung abgeschlossen hat, beispielsweise eine Vertrauensschadensversicherung, übernimmt der Versicherer den Schaden bis zur maximalen Deckungshöhe. In Deutschland sind das aber häufig maximal fünf Millionen Euro.

ZEIT ONLINE: Wie können sich Unternehmen schützen?

Schartner: Wir ermitteln häufig in solchen Betrugsfällen und die Erfahrung hat uns gezeigt, dass Schutzmaßnahmen immer präventiv erfolgen müssen. So sind spezielle Hands-on-Aufklärungsmaßnahmen für alle Mitarbeiter, auch für die von Auslandsniederlassungen, wichtig. Gewappnet sind Unternehmen, wenn Mitarbeiter, die die sogenannten Zahlungsverkehrsberechtigungen besitzen oder Stammdaten in der Finanzbuchhaltung ändern können, entsprechend informiert und geschult sind.

Auch sollten alle Prozesse in diesem Zusammenhang genauestens analysiert und auf Einhaltung kontrolliert werden. Beispielsweise gibt es zwar fast immer ein Vier-Augen-Prinzip. Das wird in den meisten Fällen aber nicht eingehalten, da es nicht praktikabel ist. In allen Fällen, die wir bis heute untersucht haben, fehlte die professionelle und nachhaltige Aufklärung.