Sogenannte Fake-Präsidenten und falsche CEOs prellen mittelständische Unternehmen um Millionenbeträge. Eine Sparkasse muss in einem solchen Fall nun einer Firma aus Baden-Württemberg 1,7 Millionen Euro erstatten. Im betroffenen Fall hatte eine Buchhalterin Geld nach China überwiesen, nachdem sie eine vermeintliche Mail ihres Chefs erhielt - obwohl sie dazu gar nicht berechtigt war.
Auf eine neue Betrugsmasche macht aktuell das Handelsblatt aufmerksam. Demnach hacken sich Betrüger in die Mail-Kommunikation mittelständischer Firmen ein, um die Firmenstruktur auszuspionieren. Dann ordnen sie vermeintlich im Auftrag des Chefs Überweisungen auf ausländische Bankkonten an, etwa nach China. „CEO-Fraud“ oder „Fake President“ nennt sich der Schwindel, dem offenbar schon hunderte Firmen zum Opfer gefallen sind.
Angebliche Firmen-Übernahme in China
Dieser Betrug könnte nun auch für die deutschen Banken zu einem Problem werden. Laut „Handelsblatt“ wurde erstmals eine Sparkasse zu Schadensersatz verpflichtet, weil sie eine Überweisung an solch einen Fake-CEO einfach durchgewinkt hat. Konkret handelt es sich um die Sparkasse Pforzheim Calw, die das Urteil aber nicht akzeptieren und in Berufung gehen will.
Im konkreten Rechtsstreit hatte die Buchhalterin eines badischen Familienunternehmens nachts eine vermeintliche Mail ihres Chefs im Postfach. Der Geschäftsführer behauptete darin, sie solle 1,6 Millionen Euro nach China überweisen. Es habe sich eine einmalige Gelegenheit für eine Firmenübernahme aufgetan, deren Abwicklung aber unbedingte Diskretion erfordere. Die Sache müsse schnell und leise über den Tisch gehen. Daraufhin überwies die Frau 1,7 Millionen Euro in mehreren Raten auf ein fremdes Konto.
Die Mail hatte ein Betrüger gesendet. Dennoch schöpfte die Buchhalterin keinen Verdacht. Es handelte sich um eine Mailadresse, die der tatsächlichen ihres Chefs zumindest ähnlich war. Auch sollte die Überweisung auf ein tatsächliches Konto bei einer seriösen Bank getätigt werden. Der Betrug hätte die Firma beinahe in den Ruin gestürzt.
Auffallend ist, wie professionell die Betrüger das Geschäft abgewickelt haben. So sollte die Buchhalterin etwa eine Unterschriftenprobe des Chefs an die Finanzbehörde BaFin schicken, um sich damit zu authentifizieren. Die Adresse war falsch: Die Unterschriftenprobe griffen die Betrüger ab. Aber sie waren mit den Routinen im Unternehmen vertraut. Bis heute die Identität des Kriminellen nicht ermittelt.
Sparkasse hätte Befugnis der Buchhalterin prüfen müssen
Die Buchhalterin hatte die Überweisungen zunächst mit der Sparkasse telefonisch abgesprochen. Dann füllte sie die Überweisungsträger aus, versah sie mit dem Firmenstempel und schickte sie an ihren vermeintlichen Chef, der den Auftrag unterschrieben zurücksendete. Nachdem das Geld auf das fremde Konto eingegangen war, räumten es die Betrüger in wenigen Tagen leer.
Das Geld also ist weg. Der Chef des mittelständischen Betriebs aber will sich das Geld von der Sparkasse wiederholen - und gewann nun in erster Instanz, wie das „Handelsblatt“ berichtet. Die Richter bestätigten, dass die Sparkasse die Überweisung hätte stoppen müssen und eklatante Fehler begangen habe. „Die Buchhalterin war gar nicht befugt, die Überweisung zu veranlassen“, wird Ulrich von Jeinsen von der Kanzlei Göhmann zitiert, der das Familienunternehmen vor Gericht vertrat. Demgegenüber argumentierte die Sparkasse, dass die betrügerische Handlung „in die Sphäre des Kunden“ falle, er also allein für die falsche Überweisung verantwortlich ist.
Spione im Unternehmensnetz: Ausgeklügelte Masche
Das Verhalten der Buchhalterin mag in diesem Fall naiv erscheinen. Doch derartige Fake-Attacken sind keine Seltenheit mehr. Allein in Nordrhein-Westfalen habe es laut Landeskriminalamt 243 CEO-Fraud-Attacken gegeben, berichtet das „Handelsblatt“. Das bedeutet ein Anstieg um 111 Prozent gegenüber dem Vorjahr. Die Dunkelziffer ist hoch.
Die Masche funktioniert auch deshalb, weil die Betrüger mehr tun, als sich einfach in ein fremdes System einzuhacken. Sie spionieren das Unternehmensnetzwerk aus, etwa nach Aufgaben und Positionen. Sie wissen, wer was in der Firma tut. Auch Korrespondenzen werden ausgespäht. Die erbeuteten Daten werden dann über Anrufe als vermeintlicher Geschäftspartner verifiziert.
Umso bitterer ist es nun für Banken, wenn sie für derartige Betrügereien auch mit zur Verantwortung gezogen werden können - und zu Schadensersatz verpflichtet. Das Urteil gegen die Sparkasse Pforzheim Calw legt nahe, dass die Bankhäuser zumindest prüfen müssen, ob derartige Überweisungen von befugten Personen angeordnet werden.