John S. war sich hundertprozentig sicher: Der Mann, mit dem er an seinem Mobiltelefon sprach, ist sein deutscher Konzernchef Johannes. Beide Männer kannten sich gut, telefonierten regelmässig und trafen sich persönlich. Johannes hatte diesen typischen deutschen Akzent im Englischen und eine relativ markante Sprachmelodie. Die Stimme am Telefon auch. Doch es war ein Betrug – auf den er hereinfiel – und die sein Unternehmen am Ende 220’000 Euro kostete. Per Audio Deepfake war es Kriminellen offenbar gelungen, einen Stimm-Avatar von Johannes zu kreieren, mit dem er nun Zahlungen auf gefälschte Konten in Ungarn veranlasste. Auch Whatsapp-Sprachnachrichten mit gefälschten Stimmen der Unternehmenschefs waren zuletzt vermehrt im Umlauf.
Mit solchen Deepfake-Stimmsynthesen erreichen Betrugsmaschen, die Unternehmen – auch in der Schweiz – teilweise Millionen kosten, eine neue Ära. Schon zuvor hatten kriminelle Hacker-Banden die Betrugsmasche «Fake President» über die Jahre professionalisiert. Dabei ist dies längst nicht die einzige Gefahr. Auch die verwandten Betrugsmaschen wie Bestellerbetrug (Fake Identity) und Zahlungsbetrug (Payment Diversion) sind auf dem Vormarsch und werden nicht nur häufiger, sondern mit technischem Fortschritt immer gewiefter. Zwar sind die erbeuteten Summen meist geringer, der Betrug ist aber leichter und schneller durchzuführen – quasi wie am Fliessband.
Beim Bestellerbetrug wird die Ware an eine abweichende Lieferadresse «bestellt» und beim Zahlungsbetrug werden Zahlungsströme auf abweichende Konten umgeleitet. Fallzahlen bei Euler Hermes haben im vergangenen Jahr um 35% bzw. um 24% zugelegt. Hinzu kommen weitere Betrugsmaschen durch Hacker wie Phishing oder «Man in the Middle», bei der sich Betrüger in die Korrespondenz zwischen zwei Kommunikationspartnern einhacken und so Zugriff auf den Datenverkehr besitzen und die Datei beliebig zu ihren Zwecken manipulieren können und ohne dass die beiden Kommunikationspartner dies merken. Zum Teil reisst dies grosse Löcher in die Kasse; eine zunehmende Gefahr für Unternehmen. Die daraus entstehenden finanziellen Schäden sind häufig enorm und haben schon vielfach zu Gewinnwarnungen oder verhagelten Bilanzen geführt.
Was die meisten Unternehmen hingegen kaum auf dem Radar haben: Kriminelle Kollegen sind noch viel gefährlicher. Sie sind immer noch für etwa 75% aller Schäden durch Täuschungsdelikte in Deutschland verantwortlich. 2’400 Fälle verzeichneten Vertrauensschadenversicherer 2018 bei deutschen Unternehmen und ihren ausländischen Tochtergesellschaften mit einem Volumen in Höhe von rund 225 Millionen Euro.
Den Löwenanteil verursachten nicht etwa Cyberkriminelle, sondern die eigenen Leute. Sie geniessen in der Regel einen Vertrauensvorschuss, oft hat der Chef sie ja auch persönlich eingestellt. Zudem kennen sie alle Sicherheitsvorkehrungen – und auch deren Schwachstellen. Der Betrug wird dadurch oft erst viel später entdeckt als bei externen Tätern. Nach Angaben der Vertrauensschadenversicherer erbeuten kriminelle Mitarbeiter von ihren Arbeitgebern im Schnitt fast 115’000 Euro, bevor sie auffliegen. Externe Betrüger kommen im Schnitt gerade mal auf die Hälfte dieser Summe.
Die Dunkelziffer ist allerdings hoch – oft bleiben Betrugsfälle gänzlich unentdeckt. Euler Hermes geht davon aus, dass sicherlich 5 bis 10% aller Unternehmen jedes Jahr von eigenen Mitarbeitern betrogen werden. Und dann wären da ja noch die externen Täter, die immer gewiefter werden. Fest steht: Kriminelle Handlungen stellen Unternehmen vor immer grössere Probleme. Dabei lauert die Gefahr sowohl unter dem eigenen Dach als auch im Netz. Neuerdings auch mit Stimmsynthese oder gar via Whatsapp.
Rechtsanwalt Rüdiger Kirsch ist Global Fidelity Expert bei der Allianz-Tochtergesellschaft Euler Hermes. Er wird am Financial Lines Forum vom 25. März 2020 in Zürich einen Vortrag zum Thema halten.