Normalerweise stammen die E-Mails von Prinzen exotischer Länder, die in gebrochenem Englisch um Hilfe bitten und ein Milliardenerbe versprechen. Doch diese Mail ist anders: ganz normal, persönlich adressiert und geschrieben vom eigenen Chef, der gerade irgendwo auf Dienstreise ist. Er brauche dringend Geld, eine Auslandsüberweisung, weil er gerade dabei ist, eine fremde Firma zu kaufen, heißt es da. Das müsse aber streng vertraulich bleiben, denn diese Firma ist börsennotiert, Schutz vor Insiderhandel, und, und, und. Ein Rechtsanwalt werde den Mitarbeiter und E-Mail-Empfänger in den nächsten Minuten anrufen und die Kontoverbindung durchgeben. Dann muss die Überweisung bitte schnell gehen. Sonst platzt der Deal.
Die Mail ist eine Falle. Die Masche ist als "CEO-Fraud" bekannt - und hat bei mehr als 12 000 Firmen offenbar funktioniert, sagt die US-Bundespolizei FBI. Zwei Milliarden Dollar seien so in den vergangenen zwei Jahren auf Konten in Ländern wie China, Zypern oder Russland überwiesen worden. Die Nachverfolgung ist schwer bis unmöglich, meistens wird das Geld innerhalb kürzester Zeit auf weitere Konten verteilt.
Auch deutsche Firmen waren schon Opfer
Für die meisten Opfer geht es um etwas mehr als 100 000 Dollar, aber dem FBI sind auch einzelne Fälle bekannt, in denen bis zu 90 Millionen Dollar auf Offshore-Konten landeten. Auch deutsche Firmen sind schon Opfer des "Geschäftsführer-Betrugs" geworden. Vergangenes Jahr traf es beispielsweise zwei Unternehmen im oberbayerischen Poing. Der Schaden: einmal 250 000 und einmal eine Million Euro.
Meistens beginnt der Betrug nicht erst mit der E-Mail, in der die Überweisung angefordert wird. Zuerst versuchen die Täter, aus Berichten, Firmenwebseiten oder sozialen Netzwerken möglichst viel über ihr Ziel herauszufinden. Hacker unterstützen sie dabei, suchen in den Computersystemen beispielsweise nach Schriftverkehr mit Lieferanten und Geschäftspartnern oder verschaffen sich Zugriff zu den E-Mail-Konten der Mitarbeiter.
Landeskriminalämter haben Sonderermittler abgestellt
Manche Täter nehmen auch direkt Kontakt auf und versuchen, mit scheinbar harmlosen Anfragen mehr über die Firmenstruktur zu erfahren. Zum Beispiel geben sie vor, ein ausländischer Geschäftspartner zu sein, um sich so zum jeweiligen Verantwortlichen durchzufragen. Sogar eine unvorsichtig formulierte Abwesenheits-Mail kann den Betrügern ungewollt Details verraten - zum Beispiel wann und wo ein Geschäftsführer oder Mitarbeiter auf Dienstreise ist oder wie die offizielle E-Mail-Signatur des Unternehmens aussehen muss. Jede vermeintlich geheime Information kann später helfen, den Überweisungsbefehl des Chefs glaubwürdiger erscheinen zu lassen.
Auch in Deutschland hat sich die Polizei auf die industrielle Enkeltrick-Variante eingestellt, in den Landeskriminalämtern beschäftigen sich Sonderermittler mit dem Problem. Die Masche verbreitet sich indes weiter: Von den zwei Milliarden Dollar Umsatz, den die Täter 2014 und 2015 machten, stammt fast die Hälfte aus dem vergangenen halben Jahr.
