05.03.2021
Kommt die E-Mail wirklich vom Chef?
Der beste Schutz gegen Betrugsversuche aus dem Cyberspace ist offene Kommunikation. Sie hat den Badischen Stahlwerken Kehl bereits einige Millionen Euro gespart.
Es ging um eine Millionensumme. Die Mitarbeiterin war gerade zurück aus der Elternzeit, als eine E-Mail des Geschäftsführers auf ihrem Bildschirm aufploppte. Der Chef sitze in einem wichtigen Gespräch, entnahm sie der E-Mail. Sie solle sofort eine Überweisung veranlassen und – psst! – strengstes Stillschweigen bewahren. Sonst sei die Zukunft des Unternehmens gefährdet.
Was tun? Die Zukunft der Badischen Stahlwerke Kehl gefährden? Oder die Millionensumme überweisen? Die Mitarbeiterin fühlte sich hin- und hergerissen. Einerseits: Den Befehl von ganz oben zu ignorieren könnte sie den Job kosten. Andererseits: Kommt die E-Mail wirklich vom Geschäftsführer? Nach langem Hadern informierte sie ihren Vorgesetzten Marc Sester, Leiter des Finanz- und Rechnungswesens der Badischen Stahlwerke (BSW). Dessen Reaktion war ebenso schnell wie eindeutig: „Bloß nicht überweisen!“
„Fake President“: Diese Gefahr ist real
Marc Sester kennt die Masche, den „Fake President“ oder auch „CEO Fraud“ genannten Trick. Kriminelle geben sich in authentisch aussehenden E-Mails als Chef aus und verlangen eine sofortige Überweisung auf ein ausländisches Konto. Es ist immer eilig und immer streng vertraulich. Gelegentlich verfängt die Masche: Der Autozulieferer Leoni überwies 40 Millionen Euro, der Flugzeugzulieferer FACC sogar 50 Millionen Euro auf ein Betrügerkonto. Bekannt werden nur wenige Fälle, weil Unternehmen ungern preisgeben, auf einen „CEO Fraud“ hereingefallen zu sein.
Versucht wird es jedenfalls immer wieder. In den vergangenen Jahren gab es allein bei den Badischen Stahlwerken mehrere Versuche mit der „Fake President“-Masche. Offenbar geraten gerade große Mittelständler wie der Stahlrecycler aus dem badischen Kehl mit seinen mehr als 800 Mitarbeitern und einem Umsatz von rund 1 Milliarde Euro ins Visier von Cyberbetrügern. Erfolg hatten sie nicht. „Die Mitarbeiterinnen und Mitarbeiter wissen um die Masche“, sagt Finanzchef Sester. „Sobald solch eine E-Mail bei uns eingeht, zeigen wir sie allen. So rückt wieder ins Bewusstsein: Diese Gefahr ist real.“
Reden hilft gegen Cyberbetrüger
Offene Kommunikation und überhaupt eine offene Unternehmenskultur, davon ist Sester überzeugt, bieten die beste Prävention gegen solche Betrugsversuche. Seinen Mitarbeiterinnen und Mitarbeitern predigt Sester daher: Wenn so eine E-Mail kommt, müsst ihr nichts tun – nur Bescheid sagen, dass solch eine E-Mail eingegangen ist. Ihr verliert auch nicht den Job, nur weil ihr nicht sofort reagiert. Wenn ein offenes Wort möglich ist, fühlt sich niemand zum verlangten „strengsten Stillschweigen“ verpflichtet, fragt halt trotzdem beim Chef nach und bindet Kollegen ein. Und damit scheitert der „CEO Fraud“.
In anderen Unternehmen herrscht eine andere Kultur. Das Sprichwort „Gehe nicht zum Fürsten, wenn du nicht gerufen wirst“ fängt diese Mentalität anschaulich ein. „Wenn sich niemand traut nachzufragen“, sagt Sester, „geht so eine Überweisung auch mal innerhalb von fünf Minuten raus.“ Und dann sind ein paar Millionen Euro weg. Für immer.
Scheckbetrug? Bei BSW kein Thema mehr
Konfrontiert mit Betrugsversuchen werden alle Unternehmen. Auch Sester seufzt: „Bei jeder Änderung im Handelsregister bekommen wir vier Rechnungen – eine ist korrekt, die anderen drei sind falsch.“ Selbst die Masche mit dem Scheckbetrug ist bis heute nicht ausgestorben. Auch der BSW-Finanzchef hat schon Schecks gesehen, auf denen seine „wirklich sehr gekonnt gefälschte“ Unterschrift prangte. Die Betrugsprävention gegen gefälschte Schecks funktioniert bei den BSW mittlerweile übrigens hundertprozentig: „Bei uns läuft gar nichts mehr über Schecks“, sagt Sester. Eine Sorge weniger.