Innsbruck – 50 Millionen Euro verlor der oberösterreichische Luftfahrt-Zulieferer FACC im Vorjahr aufgrund eines Mails. Es war eine vertrauliche Anweisung an die Buchhalterin des Unternehmens – direkt aus der Chefetage. Auch in Bayern wird derzeit ein Fall verhandelt, bei dem die Buchhalterin der traditionellen Münchner Hofpfisterei 1,9 Millionen Euro auf ein Konto in Hongkong überwies. Die Aufforderung dafür kam von der Unternehmensführerin per Mail.

Beide Frauen glaubten, auf Geheiß der Chefetage zu handeln und transferierten gutgläubig Millionenbeträge auf unbekannte ausländische Konten. In Wahrheit fielen sie aber auf eine ausgeklügelte Betrugsmasche herein, die unter dem Begriff „CEO Fraud“ oder auch „Geschäftsführerschwindel“ bekannt ist.

Hunderte Angriffsversuche in Österreich

Die beiden Mitarbeiterinnen – mittlerweile beide offiziell von ihren Stellen entbunden – sind kein Einzelfall. Alleine in Österreich gab es 2016 Hunderte CEO-Betrugsversuche, vier waren erfolgreich. Jedes Mal wanderten Millionenbeträge auf unbekannte Konten. Die Dunkelziffer könnte noch weit höher sein, denn oft regeln Firmen derartige Falschüberweisungen intern.

„Auch in Tirol haben wir einige versuchte Fälle gehabt, das ist definitiv ein Thema, das man nicht vernachlässigen sollte“, erklärt Hans-Peter Seewald, Leiter der Abteilung für Kriminalprävention im Tiroler Landeskriminalamt.

Beim Geschäftsführerschwindel gehen die Täter sehr genau vor: Sie kundschaften das Unternehmen penibel aus, verschaffen sich vielfach online Informationen über Geschäftsführerstrukturen aber auch über Unterschriften, die sie auf den Unternehmensseiten finden. „Es kommt auch vor, dass sich die Täter über Schadsoftware in E-Mail-Konversationen zwischen Chefetage und entsprechenden Abteilungen einhacken, sich dadurch alle nötigen Informationen beschaffen und dann im entscheidenden Moment zuschlagen“, beschreibt Seewald die perfekte Masche der Täter, die meistens im asiatischen, südamerikanischen oder afrikanischen Ausland angesiedelt sind. Es sind sogar Fälle bekannt, bei denen die Schadsoftware als Anhang in Bewerbungsschreiben an die entsprechende Firma eingeschleust wurde.

„Falsche Unternehmenskultur“

Das Vorgehen der Betrüger vergleicht Christoph Holz, Fachgruppenobmann der Tiroler IT-Wirtschaft und IT-Experte der Wirtschaftskammer Tirol mit dem „Neffentrick“: „Es gibt enorm viele Versuche und viele Fälle, bei denen es nicht funktioniert. Und manchmal klappt es dann doch. Die Täter machen sich Schwachstellen zunutze.“

Der IT-Spezialist ist sich sicher, dass derartige Angriffe in einer Firma mit einer offenen, modernen Unternehmenskultur nicht funktionieren. „Wenn sich ein Sachbearbeiter nicht traut, beim Chef Rücksprache zu halten, bevor er eine derartige Transaktion tätigt, dann ist das ein Fehler in der Unternehmenskultur“, so Holz. Oft genüge nämlich schon ein genaues Hinsehen, um betrügerische Mails zu entlarven. „Es könnten Fehler in der E-Mail-Adresse sein, die Mails könnten anders als sonst formuliert sein oder die Struktur weicht von der sonstigen Vorgehensweise ab“, erläutert der Sicherheitsfachmann.

IT-Schutz als wichtigste Maßnahme

Auch die Polizei weist darauf hin, dass der Schaden schon früh abgewendet werden kann, wenn die Mitarbeiter entsprechend sensibilisiert werden. „Firmen müssen sich aber auch bewusst sein, dass die Informationen, die sie beispielsweise öffentlich ins Internet stellen, missbräuchlich verwendet werden können. Deshalb ist das Vier-Augen-Prinzip vor jeder größeren Überweisung geboten“, warnt Seewald.

Holz appelliert außerdem an die Tiroler Firmen, sich mit entsprechenden IT-Lösungen abzusichern. „Wer glaubt, das Internet wäre eine Art Disneyland, der wird schnell am Boden der Tatsachen landen. In der wirklichen Welt muss man sich vorbereiten“, so der WK-Fachmann. Immer noch würden viel zu wenige heimische Firmen professionelle Schutzmaßnahmen in Anspruch nehmen und bereit sein, dafür zu zahlen. „Aber so wie den Brandschutzinspektor in der Firma braucht es eben auch eine IT-Security.“