header-placeholder


image header
image
internet 1862312 960 720

NEWS LKA - Geschäftsführerbetrug (CEO-Fraud) beliebte Betrugsmasche in Sachsen-Anhalt.

Das Landeskriminalamt Sachsen-Anhalt informiert über das Vorgehen der Kriminellen und wie man sich schützen kann

CEO-Fraud - Was steckt dahinter?

Bei dieser Betrugsmasche, die sehr häufig mittelständische Unternehmen auch in Sachsen-Anhalt betrifft, erwecken gut organisierte kriminelle Banden in einer E-Mail den Anschein, als sei der Vorstand oder Geschäftsführer der Absender.

Sie deuten die Übernahme eines Unternehmens an, die natürlich streng geheim bleiben müsse. Ziel ist es, einen Mitarbeiter des Rechnungswesens über Aufträge aus der Geschäftsführung zu täuschen und so zu beeinflussen, dass er einen hohen Geldbetrag ins Ausland überweist, vorzugsweise auf Konten in China und osteuropäische Staaten.

So geschehen 2016 im nördlichen Sachsen-Anhalt. Ein seit vielen Jahren in Sachsen Anhalt erfolgreich im produzierenden Gewerbe tätiges Unternehmen wurde um eine 6-stellige Summe gebracht.
Die Firma glänzt mit einem umfangreichen Internetauftritt, aus dem hervorgeht:

-       Jahresumsatz im oberen zweistelligem Millionenbereich

-       Standorte des Unternehmens im In- und Ausland

-       für alle Standorte die Erreichbarkeiten der Geschäftsführer und verantwortlicher Mitarbeiter (Telefon / E- Mail), wie z.B. die der Buchhaltung

-       Grußwort eines Geschäftsführers mit eingescannter Unterschrift.
Alles in Allem eine sehr professionelle und umfangreiche Außendarstellung. Dies wurde dem Unternehmen scheinbar zum Verhängnis.

Was war passiert?

Eine Buchhalterin des Unternehmens erhielt eine dienstliche E-Mail, die scheinbar vom Geschäftsführer stammte und in der er ihr mitteilte, dass er allein sie dazu ausgewählt habe, bei einem streng geheimen Unternehmenskauf mitzuwirken. Er verlange absolute Diskretion. Alle Kommunikation dürfe ausschließlich per Mail erfolgen. Die zu veranlassende Zahlung sollte an den Besitzer einer Beratungsfirma, gehen. Dazu übersandte der angebliche Geschäftsführer ihr dessen E-Mail Kontaktdaten sowie eine von ihm genehmigte Rechnung über 400.000 €. In der Kopfzeile dieser beglaubigten Rechnung waren die Daten der Bundesanstalt für Finanzdienstleistungsaufsicht ersichtlich. Der angebliche Eigentümer der Beratungsfirma schickte ihr auf ihre E-Mail Anfrage umgehend die Daten eines Kontos in der Tschechischen Republik.

Bevor sie die Zahlung veranlasste bat sie, wie intern vorgesehen, den vermeintlichen Geschäftsführer zuvor um eine schriftliche Bestätigung eines weiteren Geschäftsführers des Unternehmens, welche sie ebenfalls sofort per E-Mail als PDF Dokument erhielt.

Daraufhin hat sie die Zahlung veranlasst. Der gesamte Geschäftsablauf erweckte bei ihr keinen Verdacht, da sich das Unternehmen kurz zuvor in Tschechien engagiert hatte.

Wie flog der Betrug auf?

Von dem angeblichen Berater erhielt die Buchhalterin eine Bestätigung über den Zahlungseingang der 400.000 €. Diese E-Mail erhielt sie auf ihr Diensthandy und hat diese Nachricht mittels des dort vorhandenen E-Mailkontakts an den Geschäftsführer weitergeleitet. Der tatsächliche Geschäftsführer kannte diesen gesamten Geschäftsvorgang natürlich nicht. Das Geld allerdings war vom Konto in der Tschechischen Republik sofort auf ein Konto in Hongkong weitergeleitet worden.

Warum funktioniert die Masche?

Da nunmehr der „richtige“ Geschäftsführer die E-Mail erhalten hatte, wurde klar, dass die zuvor verwendete E-Mailadresse nicht ordnungsgemäß war. Aufgefallen war dies jedoch nicht, weil die „gefälschte E-Mailadresse“ nur marginal vom Original abwich (meist nur ein Punkt, Unterstrich oder Buchstabe).
Dies hätte vermieden werden können, wenn die Buchhalterin die E-Mail Adresse ihres Chefs händisch in das System eingegeben hätte und nicht die Funktion „antworten“ genutzt hätte.

Die Polizei rät deshalb Unternehmen, ihren Internetauftritt kritisch zu betrachten, weil sich die Kriminellen dort zuerst die wichtigsten Informationen für ihre Betrugsmasche holen.

Selbst wenn eine große Transparenz für den Kunden gewünscht ist, sollte man kritisch überdenken, ob die vollständigen Daten der verantwortlichen Mitarbeiter, wie z.B. die vollständige E-Mailanschrift, direkte Telefondurchwahlen oder gar die Unterschriften von Geschäftsführern, z.B. im Grußwort der Homepage, veröffentlicht werden sollten.

Hierfür nutzen die Täter aber auch Informationen aus verschiedenen anderen Quellen wie Zeitungen, Handelsregister, Webseiten, Werbungen, sozialen Netzwerken und Karriereportalen. Abgerundet wird die Anbahnung durch einen telefonischen Kontakt einer Rechtsanwaltskanzlei oder eines Vermittlers, der über gefälschte Telefonanschlüsse, dafür mit klangvollem Namen und einem akademischen Titel vor dem Nachnamen, dem ganzen Treiben nicht nur einen seriösen Anstrich geben, sondern auch aufkommende Zweifel zerstreuen soll. Schließlich wird auch Eile vorgetäuscht und zeitlich Druck ausgeübt, wofür beispielsweise eventuelle Vertragsstrafen oder Druck der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als Argumente angeführt werden.

Wie schützt man sich nun?

Zu Recht stellen sich Unternehmen die Frage nach einem wirksamen Schutz. Um einen Schaden zu verhindern, sollten Unternehmer Ihre Mitarbeiter sensibilisieren, dass Manipulationen nicht nur schriftlich oder per Telefon, sondern auch online möglich sind. Innerhalb des Unternehmens muss es klare Abwesenheitsregelungen, Kontrollmechanismen, aber auch eindeutige Regelungen zur Übermittlung sensibler Daten an Dritte geben. Hausinterne Telefondurchwahlen, persönliche E-Mail-Adressen, Informationen über Zahlungsberechtigte usw. sollten hausintern bleiben.
Die Belegschaft  muss auch wissen, dass die Kriminellen sich gut vorbereiten und in den sozialen Medien gezielt Kontakt zu Unternehmensmitarbeitern der mittleren Ebene aufnehmen, um ungeahnt von diesen Informationen zum Unternehmen, zu Abläufen, Zuständigkeiten usw. herauszulocken.
Geschäftsleitung und Mitarbeiter sollten über die tatsächlichen Aufgaben der BaFin Bescheid wissen und sich nicht davon beeindrucken lassen, wenn die BaFin oder zukünftig auch andere mögliche Institutionen ins Spiel gebracht werden.

„Drücken Sie nicht auf den Button Antworten. Niemals.“

Sollte ein Auftrag oder eine Bitte einzelne Mitarbeiter erreichen, die vom Gewohnten abweichen oder Zweifel in Ihnen wecken: Beantworten Sie die E-Mail, indem Sie die E-Mail-Adresse händisch eingeben oder aus dem Adressbuch auswählen.

Natürlich sind auch persönliche Gespräche oder Telefonanrufe geeignet. Aber keinesfalls sollte man mit den durchaus sympathischen Funktionen „Weiterleiten“, „Antworten“ usw. kommunizieren. Diese Antworten führen geradewegs zum Betrüger, der mit einer gefälschten E-Mail sehr geschickt den Anschein erweckt, als wende sich der Geschäftsführer an seinen Mitarbeiter.
Eher ungewöhnliche Anweisungen der Art »Ich bitte Sie, mich in dieser Angelegenheit weder persönlich noch telefonisch zu kontaktieren.« oder »Die ganze Angelegenheit muss bis zum Abschluss absolut vertraulich bleiben.« sollten niemanden davon abbringen, bewährte Informationswege, ein Vier-Augen-Prinzip oder sonstige bestehende Regelungen anzuwenden. Obgleich wir alle gefühlt viel zu wenig für unsere Arbeit gelobt werden, sollte man auch bei nachfolgendem Satz kühlen Kopf bewahren: »Aufgrund Ihrer Diskretion und bisher einwandfreien Arbeit in unserem Unternehmen möchte ich Ihnen die Verantwortung für dieses Projekt übertragen.«

Falls Sie doch Opfer werden

Wer Opfer eines Geschäftsführerbetruges geworden ist, sollte schnellstmöglich Strafanzeige bei der Polizei erstatten. Die Bearbeitungszuständigkeit obliegt dem Landeskriminalamt Sachsen-Anhalt (Hotline: 0391/250-2244, außerhalb der normalen Geschäftszeit: 0391/250-1030).

Gemeinsam mit der Bank und der Industrie- und Handelskammer kann man versuchen, sofort den Transfer des überwiesenen Betrages zu stoppen. Die IHK kann auch über ihre Kontakte zu Auslandshandelskammern der deutschen Botschaft im Land der Empfängerbank weiterhelfen (Tel.: 0391/5693-139).