Sie geben sich als Direktoren oder Firmen-Anwälte aus, fälschen oder imitieren deren E-Mail-Adressen und beauftragen dann ausgewählte Angestellte mit Transaktionen in Millionenhöhe auf ausländische Konten: Dieser sogenannte «CEO-Betrug» hat vor allem Westschweizer Firmen im vergangenen Jahr Millionen gekostet.
Die Täter gehen dabei äusserst professionell vor, wie die Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) auf ihrer Internetseite schreibt: Angestellte werden zuerst telefonisch in einen fiktiven, dringlichen internationalen Unternehmenskauf im Ausland eingeweiht.
Vertrauen schaffen
Indem die Täter die Vertraulichkeit der Transaktion deutlich machen, schaffen sie ein persönliches Verhältnis zu den Opfern. Gleichzeitig versprechen sie ihnen eine Belohnung. Später erhalten die Angestellten zur Bestätigung eine E-Mail von einem Absender, der mit der echten Adresse des Chefs praktisch identisch ist oder gehackt wurde.
Gemäss KOBIK recherchieren die Täter im Vorfeld sorgfältig und verfügen dadurch über sehr detaillierte Informationen zu den imitierten Personen und zu den Unternehmen. Das gehe soweit, dass sie sogar die Stimme der echten Geschäftsführer und deren Schreibstil nachahmen. Und um letzte Zweifel zu beseitigen, werde oft noch eine E-Mail eines angeblichen Vertrauensanwaltes gesendet.
Sechs Millionen Franken Schaden in Genf
Am meisten betroffen von derartigen Betrugsfällen war im vergangenen Jahr der Kanton Genf. Dort gab es rund dreissig entsprechende Klagen mit einer Schadenssumme von sechs Millionen Franken, wie Marc Zingg von der Finanzabteilung bei der Genfer Kantonspolizei der Nachrichtenagentur sda sagte. Er bestätigte damit eine Meldung der Zeitung «Le Matin Dimanche».
Weniger bekannt ist das Phänomen in der Deutschschweiz: Der Kanton Bern registrierte 2015 ein Dutzend CEO-Betrugsversuche für einen Gesamtbetrag von gegen zehn Millionen Franken, wie der Sprecher der Kantonspolizei, Nicolas Kessler, auf Anfrage sagte. In zehn Fällen waren die Täter erfolgreich und erbeuteten insgesamt rund 400'000 Franken. Der Staatsanwaltschaft Basel-Stadt wurde im vergangenen Jahr «rund ein Dutzend» solcher Fälle gemeldet. Bei jedem Dritten waren die Täter erfolgreich. Sie erbeuteten dabei jedoch jeweils «nur» mehrere tausend Franken. Grössere Betrugsversuche seien vorzeitig aufgeflogen und Zahlungen seien verhindert worden, hiess es.
Verschiedene Varianten
Im Kanton St. Gallen ist ein Fall aus dem Jahr 2014 noch besonders präsent, bei dem die Täter nach dem Muster des CEO-Betrugs eine Summe von «einigen Millionen Franken» erbeuteten, wie Hanspeter Krüsi, Mediensprecher der Kantonspolizei St. Gallen, auf Anfrage erklärte. Verbreiteter sei jedoch eine Variante, bei der Kriminelle die E-Mails von Lieferanten hackten oder fälschten und den Kunden dann eine andere Bankverbindung angäben. In den vergangenen drei Jahren seien deswegen jährlich drei bis vier Anzeigen bei der Kantonspolizei eingegangen, sagte Krüsi. Die Täter hätten dabei jedes Jahr Summen «im tiefen bis mittleren sechsstelligen Bereich» erbeutet.
Das Vorgehen kennt man auch im Kanton Genf, wo im vergangenen Jahr rund siebzig ähnliche Fälle bekannt wurden. Die Deliktsumme beläuft sich dabei auf rund 800'000 Franken. Gemäss Zingg werden den Genfer Behörden jede Woche ein bis zwei neue derartige Fälle gemeldet.
Social Engineering
Im Kanton Neuenburg kam es 2015 zu 15 CEO- oder ähnlichen Betrugsversuchen, die man allgemein auch als «Social Engineering» bezeichnet. In einem Fall stahlen die Kriminellen mehrere hunderttausend Franken. Auch im Kanton Freiburg gab es rund 15 Versuche, wobei in einem Fall 400'000 Franken tatsächlich auf ein falsches Konto überwiesen wurden.
Im Kanton Waadt gingen allein zwischen Oktober und Dezember 15 Meldungen von Betrugsversuchen ein; vier davon waren erfolgreich. In einem Fall erbeuteten die Täter 300'000 Franken, in den anderen drei Fällen 98'000, 56'000 und 27'000 Franken. Den Behörden der Kantone Zürich und Luzern sind bisher keine Betrugsfälle nach diesem Muster bekannt, wie die zuständigen Medienverantwortlichen auf Anfrage sagten.
Keine Verhaftungen
Marc Zingg von der Genfer Kantonspolizei bezeichnet diese Art des Betrugs als organisierte Kriminalität. Die Täter könnten kaum identifiziert werden, denn sie agierten vom Ausland aus, und das Geld werde über mehrere Konten in mehreren Ländern transferiert. Verhaftet wurde noch niemand.
Die Polizei setzt deshalb auf Prävention. In Bern wurde ein Flyer mit Hinweisen, Vorschlägen und Massnahmen an zahlreiche Firmen verteilt, und auch der Kanton Genf arbeitet eine Informationspolitik aus, um die potenziellen Opfer zu warnen.
(sda/ise)