Fake President: Wie Betrüger den Verstand ausknipsen

Immer wieder schaue ich in völlig verblüffte Gesichter, wenn ich über Schadensfälle spreche, die durch die Betrugsmasche „Fake President“ entstanden sind. Diese Masche hat viele Namen und viele Gesichter: CEO Fraud, Enkeltrick bei Unternehmen, falscher Chef. Ihrem Gesichtsausdruck nach sind sich meine Gegenüber sind sich oft nicht sicher, ob ich sie vielleicht veräppeln will oder total übertreibe. Nicht selten kommt die Frage: „Wie kann jemand nur so blöd sein?“ oder „Das ist aber nicht wirklich passiert, oder?“ Doch, ist es.

Fake President oder CEO Fraud ist eine Betrugsform, bei dem ein falscher Chef einen Mitarbeiter anweist, beispielsweise für eine angeblich geheime Unternehmensübernahme in China, Ungarn, Russland oder ähnliches, Gelder zu überweisen. Natürlich ist alles streng vertraulich, deshalb darf der Mitarbeiter auch auf keinen Fall jemanden im Unternehmen über diesen Vorgang informieren.

Aber wie funktioniert das denn? Wer macht sowas denn wirklich und warum schaffen es die Betrüger eigentlich, dass der gesunde Menschenverstand komplett versagt, wie wenn man eine Lampe einfach ausknipst? Die Lösung heißt „Social Enineering“. Diese Kunst beherrschen die Betrüger sehr gut.

Social Engineering: Persönliche Informationen als Schlüssel

Was das ist? Das ist eine Art der sozialen Manipulation oder zwischenmenschliche Beeinflussung, mit der Menschen dazu gebracht werden, bestimmte Dinge zu tun beziehungsweise ein bestimmtes Verhalten an den Tag zu legen. Das können ganz einfache Dinge sein: Der vermeintliche Chef sagt, er habe die Buchhalterin deshalb für dieses geheime Projekt ausgewählt, weil sie besonders zuverlässig sei und ihm durch ihre jahrelange hervorragende Arbeit aufgefallen sei. Durch diese Wertschätzung des obersten Bosses fühlt sie sich geschmeichelt und will ihm gerne den Gefallen tun.

Social Engineers spionieren zudem das persönliche Umfeld ihres Opfers aus, täuschen eine falsche Identität vor oder nutzen Autoritätshörigkeit aus, um an geheime Informationen zu gelangen. Persönliche Informationen sind vielfach ein Schlüssel: In einem Fall rief der falsche CEO die Mitarbeiterin sogar wenige Wochen vor seinem Coup an, um ihr zu ihrem Firmenjubiläum persönlich zu gratulieren. Das diente der perfekten Vorbereitung, denn als der Betrüger loslegt, erkennt sie seine Stimme natürlich wieder und schöpft zunächst keinen größeren Verdacht. Bei Fake President kommt zudem ein immenser Druck dazu. Ständig wird der oder die Mitarbeiterin an die absolute Geheimhaltung erinnert und muss die Verpflichtung dazu teilweise sogar mehrfach neu bestätigen.

Wertschätzung + Persönliches + Druck = Erfolg

Die Formel ist deshalb bei den meisten CEO Fraud Fällen ähnlich: Wertschätzung + Persönliches + Druck = Erfolg. Nur, dass der Erfolg des einen in der Regel ein Millionenloch in die Kasse des anderen reißt. So viel dazu. Wenn der „einfache Mitarbeiter“ darauf hereinfällt, ist das kein Fall von grober Fahrlässigkeit, auch wenn der gesunde Menschenverstand zeitweise komplett ausgesetzt zu haben scheint. Wirklich spektakulär wird es jedoch, wenn das „Opfer“ nicht die Buchhalterin ist, sondern der CEO oder Geschäftsführer höchstpersönlich. Sowas gibt es ernsthaft? Ja, auch diese Frage höre ich häufig. Die einfache Antwort lautet: Ja! Und nicht so selten wie man jetzt vermuten würde.

Wie ein Reserve-Soldat, wenn der Oberoffizier einen Befehl gibt

„Ich dachte, ich bin mit dem CEO online.“ Das ist die Antwort des Chefs der französischen Tochtergesellschaft eines deutschen Lebensmittelkonzerns, auf praktisch alle Fragen, die ihm nach einem CEO Fraud Betrugsfall im Zuge der Ermittlungen gestellt werden. Knapp 1,4 Mio. Euro hat er in mehreren, kleineren Tranchen überwiesen – ohne mit der Wimper zu zucken. Was er denn gedacht habe, was mit der Aktivseite seiner Bilanz passiere? „Ich habe überweisen, weil ich dachte, ich sei mit dem CEO online.“ Wie er denn die Zahlung habe verbuchen wollen, denn wenn er Geld ausgebe, müsse er ja auch etwas dafür bekommen, um das gegenzubuchen? „Ja, aber ich dachte, ich bin mit dem CEO online.“ Was er denn für Unterlagen bekommen habe und für was diese gewesen seien? „Ich dachte, ich sei mit dem CEO online und er würde mir diese dann schon schicken.“

Urplötzlich hat der Chef der französischen Niederlassung vergessen, wie man bilanziert und dass man bei Aktiva auch Passiva braucht, um sie gegenzubuchen. Plötzlich dachte er, er könne Unternehmensanteile von externen Firmen ohne Gesellschafterbeschluss kaufen.

Du, überweis‘ das mal schnell

Dabei war der Betrugsversuch gar nicht so perfekt umgesetzt. Es hätte viele Punkte geben können, ja eigentlich müssen, an denen er hätte stutzig werden müssen. Dass der Gruppenvorstand ihn mit Vornamen ansprach, obwohl sie gar nicht per Du waren, fiel ihm aber ebenso wenig auf wie die zwei unterschiedlichen Namen, die bei der E-Mailadresse angezeigt wurden oder die fehlende Signatur. Eigentlich ein Anfängerfehler. Auch dass der Gruppenvorstand weder seine Überweisungslimite und Anweisungsbefugnisse kennt, noch über das Cashpooling im Konzern im Bilde ist, lässt ihn nicht aufhorchen. Dass Herr Müller von der Bafin seine Verschwiegenheitserklärung unterschrieben hat, irritiert ihn nicht. Die Frage, was die Bafin überhaupt damit zu tun hat, streift seine Gedanken offensichtlich nicht einmal.

Immerhin macht er sich die Mühe, per Google herauszufinden, ob bei der Bafin tatsächlich ein Herr Müller arbeitet. Das stimmt, also immer schön weiter. Den Empfänger der Zahlungen überprüft er hingegen ebenso wenig wie Telefonnummern oder E-Mail-Adressen. Diese Liste ließe sich sogar noch eine ganze Weile fortsetzen. Aber sie fragen sich sicher jetzt schon wieder ungläubig: Wie kann man nur so blöd sein? Oder das ist doch kein echter Fall, oder? Bei einem Manager, der ein Unternehmen oder eine Landeseinheit steuert müsste man – trotz Social Engineering – in der Tat etwas mehr erwarten.

Gefahr bekannt – Gefahr gebannt?

Seine fachliche Expertise sollte ihn deutlich von einem einfachen Mitarbeiter unterscheiden. Der gesunde Menschenverstand würde in vielen Punkten aber auch schon reichen. Hinzu kommt aber, dass ein Manager mit allen internen Richtlinien und Regelungen vertraut sein sollte, von Legal & Compliance bis hin zu Bilanzierungsrichtlinien, Berichtspflichten, Prozessen oder Sicherheitsregelungen. Die alle außer Acht zu lassen und am Ende sogar noch versuchen das Ganze zu vertuschen, ist sicherlich keine Glanzleistung.

Gefahr bekannt – Gefahr gebannt? Leider noch lange nicht… Die Betrugsmasche hat in den letzten Jahren keinesfalls an Brisanz verloren. Ermittlungserfolge wie zuletzt bei Ritter Sport gab es kaum. Die Fallzahlen bewegen sich weiter auf sehr hohem Niveau – trotz der vielen Warnungen. Die finanziellen Schäden steigen weiterhin deutlich an – zuletzt auch vermehrt im Mittelstand.

Bildrechte / Copyright: Jefferson Santos / Unsplash