Wenn der „falsche Präsident“ schreibt Schwerpunkt Compliance

Ralf T. Krüger

von Ralf T. Krüger, Geschäftsführer Kommunikation Die Führungskräfte – DFK

Ein ganz normaler Tag im Büro für Herrn K. Bis die Mail von „ganz oben“ kommt: Streng vertraulich bittet der CEO darum, bei der Übernahme einer Firma zu helfen. Niemand dürfe davon erfahren, denn sonst sei der Deal gefährdet. Herr K. wird angewiesen einige Millionen an ein bestimmtes Konto zu überweisen. Was er, geschmeichelt ob des Vertrauens, gerne tut – bis zu dem Moment, wo sich herausstellt, dass er einem Betrug aufgesessen ist. Da ist der Schaden natürlich irreparabel und das Geld schon lange weg. Dazu kaum Chancen, das Verbrechen aufzuklären.

Einfacher Betrug mit großen Folgen

„Fake President“ (gefälschter Präsident) nennt sich diese Betrugsmasche, die sich so simpel anhört und doch so gut funktioniert. Und die Summen sind riesig. So berichtete der Focus von einer Transaktion von mehr als 800 Mio. Dollar, die letztendlich nur wegen eines Schreibfehlers auffiel. Das Vorgehen ist immer gleich: Eine gefälschte Mail eines Vorgesetzten – oder ein Anruf – erteilt die Anweisung zur Überweisung, wobei die absolute Vertraulichkeit des Vorganges betont wird. Dabei gehen die Banden hochprofessionell vor. Firmen werden ausgespäht, bis Namen und Positionen von Entscheidern bekannt sind. Manchmal werden Accounts gehackt, um falsche Mails von echten Postfächern versenden zu können. Je nach Sachlage wird von einem zweiten Account die erste Mail verifiziert. Mit dem oft – sprachlich – leicht durchschaubaren Phishing (gefälschte Mails um z. B. Bankdaten zu erhalten), wie wir es alle kennen, hat das nichts zu tun. Zumal die Mitarbeiter natürlich unter Druck geraten, der bewusst aufgebaut und verstärkt wird. So mancher traut sich da nicht, den eigenen Chef mit ins Vertrauen zu ziehen. Oft sind die Überweisungsgründe auch sehr plausibel dargelegt. Wenn dann der Betrüger sehr gut über die interne Struktur des Unternehmens und seine Vorgehensweise informiert ist, lassen sich auch die vorsichtigsten Mitarbeiter täuschen.

Fälle nehmen zu

Trotz der größeren Bekanntheit des Betruges steigen die Fallzahlen an. Versicherer sprechen von mehr als einem Fall pro Woche. Dabei variieren die Summen deutlich, je nach Firma und Situation. Sie werden den Realitäten des Unternehmens angepasst. Noch ein Beleg dafür, wie sehr die Betrüger sich mit der jeweiligen Firma vertraut machen. Die leichtesten Ziele sind natürlich sehr große und international agierende Unternehmen. Wenn dort in einem Tochterunternehmen die Mail des CEOs von Übersee kommt, fallen schon mal schneller die Schranken. Auch Tippfehler werden dann mal leichter verziehen, die im privaten Kontext bei Phishing-Mails sofort alle Alarmglocken schrillen lassen würden. Kleinen Unternehmen fehlt es häufig an der Anonymität, die es braucht, um den Betrug umzusetzen. Da wechseln dann auch nicht unbemerkt die Ansprechpartner oder Geschäftspartner. Das schafft etwas Sicherheit.

Nur Mitarbeiter helfen gegen Betrug

Einzige Hilfe gegen diese Masche sind aufmerksame Mitarbeiter. Das beginnt beim genauen Blick auf die Absenderadresse und die reale Mailadresse. Stimmen Name und Domain? Gerade in großen Firmen wird auf ein einheitliches Erscheinungsbild geachtet. Ist das in der Mail gewahrt? Guter Indikator ist sicherlich auch die absolute Dringlichkeit und das ungewöhnliche Vorgehen außerhalb der sonstigen Hierarchie. Wenn es nach einem Geheimprojekt klingt und Wirtschaftskrimi, ist es meist auch einer. Nur anders, als man sich das vorgestellt hat. Letztendlich hilft im Zweifel nur der Griff zum Telefon, um Klarheit zu schaffen. Nach einer Prüfung der in der Mail angegebenen Kontaktdaten sollte man trotzdem die hausintern ermittelte Nummer wählen. Es nützt wenig, wenn man den Kontakt aus der gefälschten Mail verwendet und auf einem Betrügerhandy landet.

So oder so muss das Vieraugenprinzip mit einer realen Person aus der Arbeitsumgebung greifen. Und jede Nachfrage der Mitarbeiter verdient ein Lob, weil es die Aufmerksamkeit erhält.


Bildquelle: © DIE FÜHRUNGSKRÄFTE – DFK

Zurück