Es ist elf Uhr vormittags am 16. September 2014. Eine Mitarbeiterin in der Kreditorenbuchhaltung der US-Softwarefirma Medidata erhält eine E-Mail mit der Anweisung, sich mit dem Anwalt Michael Meyer in Verbindung zu setzen, um eine Überweisung von rund 4,8 Millionen Dollar (4,1 Millionen Euro) abzuwickeln. Die E-Mail scheint vom Unternehmenschef zu stammen. Sie setzt sich mit dem Anwalt in Verbindung und erklärt, dass für die Überweisung noch die Unterschriften von zwei weiteren Managern notwendig sind. Kurz danach erhalten die entsprechenden Angestellten ebenfalls eine E-Mail. Die beiden bestätigen die Transaktion. Daraufhin überweist die Mitarbeiterin aus der Kreditorenbuchhaltung die Summe auf ein Konto in China. Das Geld geht allerdings nicht an einen Geschäftspartner, sondern ist weg, denn es waren Betrüger am Werk. Sie haben sowohl die E-Mail-Adresse als auch die Unterschrift des Chefs gefälscht.
Auf dieselbe Art und Weise erbeuteten Betrüger im August 2016 vom deutschen Autozulieferer Leoni 40 Millionen Euro. "Fake President" - so wird diese Masche genannt, bei der die Täter sich als Geschäftsführer ausgeben und die Überweisung von großen Geldsummen veranlassen. In den vergangenen zwei Jahren hat diese Art des Betrugs zugenommen. 2016 gab es in Deutschland laut Bundeskriminalamt 51 erfolgreiche Fake-President-Fälle. Das ist ein Anstieg von rund 60 Prozent im Vergleich zu den 32 Fällen im Vorjahr. 2015 kamen 69 versuchte Betrugsfälle dazu, 2016 waren es mit 291 Versuchen viermal so viele.
Bei Fake-President-Fällen gibt es einen neuen, ganz perfiden Trend, berichtet Björn Albert, Leiter Vertrauensschaden beim Kreditversicherer Euler Hermes. Dabei ruft - kurz nachdem die E-Mail des falschen Chefs eingegangen ist - die vermeintliche IT-Abteilung des Unternehmens an. Ein "Mitarbeiter" erklärt, dass ein Fake-President-Versuch entdeckt wurde. Dann fordert der IT-Mitarbeiter den Angestellten allerdings auf, die Überweisung trotzdem auszuführen - mit der Begründung, dass die Polizei so den Täter fassen will. Unternehmen können sich gegen den finanziellen Schaden eigentlich mit einer sogenannten Vertrauensschadenversicherung (VSV) absichern. Sie deckt vor allem Schäden durch Veruntreuung oder Diebstahl von eigenen Mitarbeitern ab. Viele kleine und mittelständische Firmen haben keine solche Police. Die meisten Chefs vertrauen ihren Mitarbeitern und halten sie nicht für kriminell, erklärt Lukas Nazaruk, Leiter Geschäftsbereich Financial & Professional Services beim Makler Marsh. Das ist allerdings ein Irrtum. "Die Mehrheit der Firmen wird irgendwann einen Vertrauensschaden erleben", sagt er. "Außerdem verkennen die Unternehmen die Gefährdung durch Außenstehende."
Ein Vier-Augen-Prinzip kann helfen, um Schäden vorzubeugen
Immer öfter ist es für Unternehmen allerdings schwierig, die durch "Fake Presidents" gestohlene Summe vom Versicherer erstattet zu bekommen. "Die Fälle häufen sich, in denen der Versicherer versucht, bei Fake-President-Fällen die Zahlung zu umgehen oder zu reduzieren", berichtet Fabian Herdter, Rechtsanwalt und Partner bei Wilhelm Rechtsanwälte. Die Versicherer argumentieren, dass die vom Management aufgesetzten Kontroll- und Sicherheitsmaßnahmen der Firma nicht ausreichend waren, das Management somit grob fahrlässig gehandelt und den Schaden mitverursacht hat.
Unternehmen sollten deshalb beim Abschluss einer Police auf den Verzicht des Einwands der grob fahrlässigen Mitherbeiführung des Versicherungsfalls bestehen, sagt Herdter. "Die meisten Anbieter gehen darauf ein." Die Softwarefirma Medidata bekam den Schaden durch den Versicherer Federal Insurance ersetzt, allerdings erst, nachdem ein New Yorker Gericht entschied, dass der Diebstahl in die Deckung der Vertrauensschaden-Police fällt. Autozulieferer Leoni hat bisher nur fünf Millionen Euro vom Versicherer bekommen. Nicht nur für das Unternehmen kann eine solche Police sinnvoll sein, auch Manager können davon profitieren. Besteht nämlich keine Absicherung für den Betrugsfall, kann ein Fake-President-Fall zum Haftpflichtschaden für den Manager werden. Der Vorwurf ist, dass er seiner Sorgfaltspflicht nicht genügend nachgekommen und mitverantwortlich für den Schaden ist. Dann haftet er gegebenenfalls mit seinem Privatvermögen, erklärt Nazaruk von Marsh. "Das wird immer mehr zum Problem." Die meisten Unternehmen haben für solche Fälle eine Managerhaftpflicht-Police (D&O-Police) abgeschlossen. Die D&O-Versicherer versuchen in der Regel, die Forderungen gegen den Manager abzuwehren, sagt Nazaruk weiter. Für den Betroffenen bedeutet das trotzdem jahrelange Prozesse und ist keine Garantie, dass er nicht doch einen Teil des Schadens selbst zahlen muss.
Um Schäden vorzubeugen, sollten Unternehmen unbedingt ein Vier-Augen-Prinzip implementieren, empfiehlt Patrick Ulrich vom Versicherer Zurich. "Fehlt dieser Kontrollmechanismus, kann das für den Versicherer ein Ausschlusskriterium sein." Wer einer E-Mail- oder einer IP-Adresse nicht vertraut, kann diese unter www.whois.sc überprüfen, sagt er weiter. Auch Mitarbeiter durch Schulungen auf diese Betrugsmethode aufmerksam zu machen, ist wichtig. "Außerdem sollten die Strukturen nicht zu hierarchisch sein: Mitarbeiter sollten den Chef anrufen können, um eine Zahlung bestätigen zu lassen", sagt Albert von Euler Hermes.
Kommt es doch zu einer fälschlichen Überweisung, ist es wichtig, den Fall nicht nur dem Versicherer zu melden, sondern auch straf- und zivilrechtlich zu verfolgen, erklärt Rechtsanwalt Herdter. "So kann die Firma am besten Versicherungsansprüche darlegen und geltend machen."