Falscher Chef:Betrüger erbeutet 220 000 Euro mit gefälschter Stimme

Frau ruft Hotline an.

Auch ein vermeintlicher Anruf vom Chef kann gefälscht sein. (Symbolbild)

(Foto: dpa)

"Deepfake"-Algorithmen machen es immer leichter, Video und Audio zu fälschen. Erstmals greift ein Krimineller Geld ab, indem er synthetisch die Stimme eines Vorgesetzten nachahmt.

Von Herbert Fromme, Köln

Der britische Geschäftsführer war sich hundertprozentig sicher, er kannte die Stimme. Am anderen Ende der Leitung war Johannes, der Chef der deutschen Muttergesellschaft. Johannes bat ihn, eine dringende Zahlung an einen Lieferanten in Ungarn auszuführen. In Deutschland sei es schon nach 16 Uhr und außerdem Freitag, da nehme die Bank die Sofortüberweisung nicht mehr an. Da es in Großbritannien eine Stunde früher sei, ginge das dort noch. Wenn die 220 000 Euro nicht sofort überwiesen würden, drohe eine Vertragsstrafe. Die deutsche Obergesellschaft werde der britischen Tochter die Summe am Montag erstatten. Der britische Manager war misstrauisch: Eigentlich würden solche Anweisungen doch immer per Mail kommen. Kein Problem, sagte Johannes - und schickte eine Mail.

Das Misstrauen war vollständig gerechtfertigt. Am Montag kam kein Geld. Der Gesprächspartner war keineswegs der Unternehmenschef - sondern eine synthetische Stimme, die Gauner mit Hilfe der Software Lyrebird erstellt hatten. Das ergab die Auswertung des Versicherers Euler Hermes, der die 220 000 Euro im Rahmen der Vertrauensschadenversicherung erstatten musste.

Euler Hermes gehört zur Allianz.

Lyrebird ermöglicht es jedermann, seine oder eine andere Stimme so zu speichern, dass ein Roboter eingetippte Sätze spricht und dabei so klingt wie der Stimmgeber. Für den Betrug mussten die Kriminellen Aufnahmen mit der Stimme des echten Johannes für das Training von Lyrebird verwenden. Und sie mussten jemanden haben, der sehr schnell tippen konnte - denn Lyrebird spricht nur Eingetipptes.

"Das ist eine neue Masche, die aber weitreichende Konsequenzen haben könnte", sagt Euler-Manager Rüdiger Kirsch. Das könnte auch für die Videomanipulation mit Methoden des "Deep Fake" gelten, die immer besser werden.

"Fake President" hat sich als Bezeichnung für Fälle eingebürgert, bei denen angebliche Vorgesetzte die Überweisung von Geldern durchsetzen. Der deutsch-britische Fall vom März dieses Jahres war für Euler Hermes der erste, bei dem die Sprachmanipulation eingesetzt wurde.

Bislang nutzen die Kriminellen vor allem geknackte Mailkonten. "Wir allein haben in den vergangenen zwei Jahren rund 50 Schäden gehabt", sagte Kirsch.

Den größten bekannten "Fake President"-Schaden richteten dreiste Gauner in den Weihnachtstagen 2015 an, als sie den chinesisch-österreichischen Luftfahrtzulieferer FACC um 53 Millionen Euro erleichterten, von denen nur elf Millionen Euro zurückgeholt werden konnten. Finanzchefin Minfen Gu wurde abberufen, weil die Kontrollvorschriften unzureichend umgesetzt worden waren. Im Mai 2016 musste auch Gründer und Firmenchef Walter Stephan gehen.

Polizei und Versicherer haben zahlreiche Tipps für das richtige Verhalten

Der größte Schaden in Deutschland ereignete sich 2016, als Betrüger sich vom Automobilzulieferer Leoni 40 Millionen Euro nach China und Hongkong überweisen ließen. Hier zahlten die Versicherer fünf Millionen Euro, Euler Hermes sagt nicht, ob die Gesellschaft beteiligt war.

Schokoladenhersteller Ritter Sport konnte im Mai 2017 einen Betrug verhindern, weil ein Buchhalter misstrauisch war und durch einen einfachen Anruf bei seinem Chef eine Zahlungsanweisung per Mail als Fälschung entlarvte. Zwei der Täter wurden in Israel verhaftet. Allerdings - solche Erfolge bleiben die Ausnahme. Viele Angriffe sind erfolgreich. "Die Schadenshöhe variiert zwischen rund 150 000 Euro und den 50 Millionen Euro bei FACC", sagt Kirsch. Es seien praktisch alle Branchen betroffen - und zunehmend auch kleine und mittelständische Unternehmen. Überdurchschnittlich oft trifft es Unternehmen mit Tochtergesellschaften im Ausland.

Polizei und Versicherer haben zahlreiche Tipps für das richtige Verhalten - dazu gehören das Vieraugenprinzip für die Freischaltung von Überweisungen und klare Strukturen für Zahlungsinstruktionen ebenso wie die frühzeitige Information der Polizei. "Der beste Schutz ist aber ein gutes Betriebsklima", weiß Kirsch. "Wenn sich die Mitarbeiter trauen, auch dem Chef mal die blöde Frage zu stellen, ob er wirklich die E-Mail geschickt hat, ist viel gewonnen."

Update: 10.9.2019: Euler Hermes hat im September neue Details zu dem Fall bekannt gegeben.

Zur SZ-Startseite
Deepfake Video Amy Adams Nicolas Cage

"Deepfake"-Manipulation von Videos
:Sehen Sie genau hin

"Deepfake"-Videos sind täuschend echt gefälscht. Eine Herausforderung für Matt Turek von Darpa, der legendären Forschungsbehörde des US-Verteidigungsministeriums. Der Informatiker arbeitet daran, Lügenbilder zu enttarnen.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: