04.02.2021

Betrug im Zahlungsverkehr

Cyberkriminelle suchen nicht nur IT-Sicherheitslücken, sondern täuschen gerade auch Mitarbeiter im Unternehmen. Die LBBW gibt Tipps, wie Sie sich schützen können.

Mann mit Brille und hellblauem Hemd sitzt arbeitend am Schreibtisch und blickt auf einen Monitor
Mann mit Brille und hellblauem Hemd sitzt arbeitend am Schreibtisch und blickt auf einen Monitor

Cyberbetrüger wollen sich auf Kosten anderer bereichern. Für sie liegt es daher nahe, direkt an den Geldströmen anzusetzen – also am Zahlungsverkehr. Dabei gehen Wirtschaftskriminelle häufig sehr planvoll vor. Sie sammeln beispielsweise Daten über E-Mail- und Bankkonten, bevor sie das Unternehmen und seine Mitarbeiter auf Schwachstellen prüfen. Mitunter wird sogar der Schreibstil wichtiger Manager untersucht, um später in gefälschten E-Mails den richtigen Ton zu treffen.

Nur wer die Tricks der Betrüger kennt, kann sich schützen. Wichtig ist es daher, im Unternehmen transparent mit Betrugsfällen umzugehen und die Mitarbeiterinnen und Mitarbeiter dafür zu sensibilisieren, dass es sich hier um echte Gefahren handelt, die jedes Unternehmen und jeden Kollegen treffen können.

Auch wenn die Digitalisierung neue Optionen ermöglicht: Viele Betrüger arbeiten mit seit Jahrzehnten erprobten Tricks. Hier stellen wir Ihnen die fünf meistverbreiteten Betrugsmuster vor – und zeigen Ihnen, wie Sie sich davor schützen können.

Die fünf meistverbreiteten Betrugsmuster

Dieser Klassiker stirbt nicht aus. Betrüger füllen angebliche Überweisungen eines Unternehmens auf ein – meist ausländisches – Konto auf Papier aus und fälschen die Unterschrift, die sie sich vorher besorgt haben. Auch wenn Papierüberweisungen im Geschäftsverkehr fast ausgestorben sind, wird der Betrag überwiesen, wenn Überweisung samt Unterschrift formal richtig aussehen.

Gegen diese uralte Masche gibt es ein einfaches Mittel. Unternehmen können ihre Bank anweisen, diese sogenannten beleghaften Überweisungen komplett zu sperren.

Ebenfalls ein Klassiker: Unternehmen erhalten einen Scheck für eine ausstehende Rechnung, allerdings übersteigt der Scheck den Rechnungsbetrag deutlich. Der darauf angesprochene Geschäftspartner bedauert das Versehen und bittet, den Scheck dennoch einzureichen und anschließend die Differenz auf ein Konto (meist im Ausland) zu transferieren. Erst später entpuppt sich der Scheck als Fälschung und der überwiesene Betrag ist ebenso verloren wie der transferierte Differenzbetrag.

Die einfachste Regel, um sich vor Schecküberzahlungsbetrug zu schützen: keine überzahlten Schecks annehmen und grundsätzlich immer erst auf die Gutschrift auf dem Konto warten.

Hacker verschaffen sich Zugang zu den E-Mails ausländischer Unternehmen und fangen Rechnungen an deren Kunden in Deutschland ab. Diese Kunden erhalten gefälschte Rechnungen mit einer anderen Bankverbindung. Begründung: Es habe einen Kontowechsel gegeben. Das fällt meist erst auf, wenn eine Rechnung zweimal eingeht oder der Geschäftspartner die ausstehende Zahlung anmahnt.

Von diesem Trick gibt es zwei verbreitete Varianten. Die erste: Betrüger geben sich als Lieferanten aus und eine abweichende Kontoverbindung für das Bezahlen der bereits erfolgten Lieferung an. Alternativ geben sich die Betrüger im sogenannten Bestellerbetrug als (oft namentlich bekannte) Kunden aus und lassen sich Waren an eine abweichende Adresse liefern.

Diese Betrugsmaschen lassen sich leicht aufdecken. Sollte der Geschäftspartner – scheinbar – Bankverbindung oder Adresse geändert haben: Bevor irgend etwas passiert, erst beim kundenverantwortlichen Kollegen oder beim Kunden selbst nachfragen.

Der Geschäftspartner hat die E-Mail-Adresse daimler.de und nicht dairnler.de, amazon.de und nicht arnazon.de. Genaues Hinschauen zeigt, dass die Adressen leicht abgewandelt worden sind. Betrüger ersetzen gern auch .de-Endungen durch .com oder .net – darüber wird schnell hinweggelesen.

Deshalb: Wenn ein merkwürdiger Zahlungsauftrag über eine scheinbar richtige E-Mail-Adresse eingeht – besser telefonisch nachhaken. Dabei nicht die Telefonnummer in der E-Mail anrufen, denn die ist wahrscheinlich ebenfalls falsch. Zur Not lassen Sie sich über die Firmentelefonzentrale mit Ihrem Ansprechpartner verbinden.

„Überweisen Sie dringend 2,8 Mio. Euro auf das unten genannte Bankkonto. Es geht um eine wichtige und hochvertrauliche M&A-Transaktion, deshalb bitte absolute Diskretion!“ Solche Mails kommen vermeintlich vom CEO und sehen täuschend echt aus. In vielen Unternehmen werden solche Anweisungen nicht hinterfragt, sondern ausgeführt – und das Geld ist weg. Bei dieser CEO-Fraud oder „Fake President“ genannten Masche geben sich Betrüger als Vorstand oder Geschäftsführer aus. Dabei üben sie Druck auf weisungsgebundene Mitarbeiter aus, die Zahlung schnell und ohne Rückfragen in die Wege zu leiten.

Diese Betrugsmasche ist perfide. Auch hier gilt: nichts übereilen und lieber nachfragen. Wer nicht beim CEO oder Geschäftsführer nachhaken kann, leitet die verdächtige Mail intern weiter an die Compliance-Abteilung oder den Betrugsbeauftragten. Für die Unternehmensleitung ist es extrem wichtig, die Mitarbeiterinnen und Mitarbeiter für solche Betrugsmaschen zu sensibilisieren und die klare Botschaft zu senden: Fragen Sie unbedingt beim CEO nach, bevor Sie solche Aufträge ausführen.

Merkmale für Betrugsversuche

  • Fehlende Plausibilität
  • Auslandsbezug
  • Aufbau von Zeitdruck
  • Bitte um Geheimhaltung
  • Kein persönlicher Kontakt
  • Fehlerhafte Kontaktdaten

Betrugsprävention: So schützen Sie sich

Gelebte IT-Sicherheit in Unternehmen ist wichtig, um es Betrügern so schwer wie möglich zu machen, an interne Daten zu kommen. Diese Informationen werden gebraucht, damit die beim Betrugsversuch genutzten Dokumente täuschend echt wirken. Letztlich sind es jedoch Menschen, die dem Betrug aufsitzen: weil die E-Mail-Adresse echt aussah, Geschäftspartner ihre Bankverbindung ändern können oder man den Chef nicht zurückrufen kann.

6 Tipps, um sich und das Unternehmen zu schützen

  1. Führen Sie ein konsequentes Vier-Augen-Prinzip für Zahlungsaufträge ein.
  2. Informieren und sensibilisieren Sie Ihre Mitarbeiter in regelmäßigen Abständen über (Betrugs-)Risiken.
  3. Halten Sie im Zweifelsfall telefonisch Rücksprache mit dem Auftraggeber der Zahlung (unter der Ihnen bekannten Telefonnummer!).
  4. Recherchieren Sie im Internet, wenn Sie unbekannte oder zweifelhafte Rechnungen erhalten.
  5. Klicken Sie keine Anhänge oder Links in unbekannten E-Mails an, und nicht zuletzt:
  6. Sorgen Sie für klare Prozesse in Ihrem Unternehmen und leben Sie diese (siehe Grafik).

Schutz vor Betrug im Unternehmen

Kreislauf

Prozesse optimieren

  • Überprüfen Sie Ihre Prozesse gezielt auf Sicherheitslücken
  • Führen Sie eine konsistente Aufgabentrennung ein
  • Überwachen Sie täglich (z. B. über Vormerkposten) Ihre Zahlungsausgänge
Mitarbeiter

Mitarbeiter schulen

  • Regelmäßige Sensibilisierung und Schulung der Mitarbeiter
  • Einführung interner Richtlinien (z. B. zur Informationsweitergabe)
  • ggf. Stichproben im laufenden Betrieb
Konversation Tisch

Externe Maßnahmen

  • Abstimmung mit Lieferanten und gegebenenfalls Kunden über Verfahren und Kommunikationswege
  • Konsequente Nutzung elektronischer Vertriebswege und der damit verbundenen Sicherheitsmechanismen (z. B. EBICS)

Was tun im Betrugsfall?

Sobald Sie das Gefühl haben, einem Betrüger aufgesessen zu sein: Informieren Sie sofort Ihre Bank, damit die versuchen kann, die Zahlung noch zu stoppen. Ebenso zeitnah schalten Sie die eigene Rechtsabteilung ein, die weitere Schritte – etwa das Sperren der Betrügerkonten bei der Empfängerbank – einleiten kann. Mit einer formellen Klage wird auch die Polizei beziehungsweise Staatsanwaltschaft eingeschaltet. Ein weiterer, nicht unwichtiger Punkt: Wenn nötig, melden Sie den Fall Ihrer Versicherung, um den Schaden zu regulieren.

Praxisbeispiel Hacker-Angriff

Im Video berichtet ein Unternehmer vom Hacker-Angriff auf sein Unternehmen und welche langfristige und nachhaltige Wirkung dieser auf seine Mitarbeiter hatte.

video-spacer
YouTube Consent: Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Youtube.