CEO-Fraud: Erste-Hilfe-Anleitung für Unternehmen

von Herrn Rechtsanwalt Stefan Schmierer, sschmierer@rs-lawyers.com.hk, Tel. +852 2388 3899

Der „CEO Fraud“ und Möglichkeiten diesen zu verhindern, bzw. eine Erste-Hilfe-Anleitung


Der CEO Fraud ist eine Methode, bei der Betrüger durch das Versenden von betrügerischen Emails, Mitarbeiter von Unternehmen dazu bringen, Überweisungen auf Bankkonten der Betrüger zu tätigen. Von dort wird das Geld entweder auf weitere Konten unterverteilt oder bar abgehoben.

Der CEO Fraud nahm in den letzten Jahren stark zu und internationale Polizeibehörden gehen von einem Schaden in Höhe von ca. 700 bis 800 Millionen USD aus, allerdings dürfte die Gesamtzahl noch weit höher liegen, da viele Unternehmen den Betrug erst so spät entdecken, dass eine Strafverfolgung keine Aussicht auf Erfolg mehr hat.

Der nachstehende Artikel soll den Modus Operandi der Betrüger beleuchten, denn wenn dieser bekannt ist, so ist es durch geeignete Maßnahmen in den Unternehmen möglich, solche Betrüge zu erkennen und zu verhindern. Weiterhin soll dieser Artikel eine Art „Erste-Hilfe-Anleitung“ sein für den Fall, dass der Betrug nicht verhindern werden konnte und erst entdeckt wurde, nachdem der Überweisungsauftrag an die Bank gegeben wurde.

Anzumerken ist weiterhin, dass es nicht eine bestimmte Zielgruppe von Unternehmen gibt, die Opfer des Betrugs werden, sondern es trifft kleine, familiengeführte Unternehmen ebenso wie Mittelständler und große, internationale Unternehmen; diese sind als Opfer in der Regel attraktiver, da größere Überweisungen öfters vorkommen und nicht so schnell einen Verdacht aufkommen lassen.


1.    Ursprünge


Man geht davon aus, dass der CEO Fraud erstmals in 2005/2006 angewendet wurde und von Gilbert Chikli, einem Israeli mit französischen Wurzeln entwickelt wurde. Chikli wurde in 2015 von einem französischen Gericht in Abwesenheit zu 7 Jahren Haft verurteilt und hält sich wohl zurzeit in Israel auf. Es wird geschätzt, dass er ca. 30 Banken und Firmen um ca. 12 Millionen USD betrug.

Inzwischen wurde die Methode weiter und weiter verfeinert und kommt in den verschiedensten Varianten zur Anwendung.

Als ersten Schritt hacken sich die Betrüger in das E-Mailsystem eines Unternehmens ein und beobachten über eine längere Zeit (teilweise mehrere Monate) den E-Mail Verkehr der Mitarbeiter. Dadurch erkunden die Betrüger, wer in dem Unternehmen für welche Kerngeschäfte tätig ist und, wichtig, welche Personen für die Ausführungen von Überweisungen verantwortlich sind. Wird im Nachhinein der Email Verkehr zwischen den Betrügern und den Opfern analysiert, so ist es oft erstaunlich, wie echt die Betrüger den Schreibstil von Mitarbeitern imitieren können, um so beim Empfänger keinen Verdacht aufkommen zu lassen.
Dies reicht von der Verwendung bestimmter Satzteile über die Verwendung von Vornamen bis hin zu vertraulichen Informationen, wie Urlaubspläne, Familienhintergründe, etc.), die nur herausgefunden werden können, in dem die Betrüger sehr detailliert den E-Mail Verkehr mitlesen und sich solche Details merken. Die Zeiten, in denen Emails der „Nigeria Connection“ durch haufenweise Schreibfehler und plumpe gefälschte Dokumente auffielen, sind somit vorbei.


2.    Ablauf

Haben die Betrüger nun hinreichend genug in Erfahrung gebracht, welche Personen in dem Unternehmen für sie die Zielpersonen sind, so erfolgt der Angriff:

Die Person im Zahlungsverkehr, die für die Ausführung von Überweisungen (entweder online oder durch Kontakt mit der Bank) verantwortlich ist, erhält nun eine E-Mail, die als streng vertraulich eingestuft ist. Diese E-Mail scheint in der Regel vom Geschäftsführer (deshalb CEO Fraud) zu kommen oder von einer anderen hochrangigen Person (CFO), die für die Anweisung von Zahlungen verantwortlich ist in dem Unternehmen. Die E-Mail-Adresse, von der diese Email kommt ist entweder komplett identisch mit der Adresse des CEO/CFO oder sie unterscheidet sich nur minimal von der richtigen Adresse, von daher sind solche Betrugsemails nur schwer anhand der E-Mail Adresse zu erkennen. Allerdings gibt es andere Merkmale, die einen aufmerksamen Mitarbeiter warnen:

  • Die E-Mail wird als streng vertraulich bezeichnet und der Empfänger wird gebeten, mit niemanden darüber zu reden;
  • In der Regel wird ein streng vertrauliches Investitionsprojekt der Gesellschaft im Ausland beschrieben, für welches nun kurzfristig eine größere Summe zu zahlen ist;
  • Dem Mitarbeiter wird angewiesen, über dieses Projekt aufgrund dessen Wichtigkeit und Vertraulichkeit auf keinen Fall mit dem CEO/CFO über das Telefon zu reden, sondern lediglich per E-Mail;
  • Oft ist der richtige CEO/CFO zu diesem Zeitpunkt im Urlaub, so dass um Rücksichtnahme gebeten wird und darum gebeten wird, auf Anrufe zu verzichten;
  • Der Empfänger wird angewiesen, den Betrag sofort per Eilüberweisung anzuweisen und dann den vermeintlichen CEO/CFO sofort zu informieren, inklusive Kopie des Zahlungsbelegs.

Obwohl die Empfängerkonten der Betrüger in sämtlichen Ländern der Erde liegen können, so ist doch eine Häufung festzustellen, dass ein Großteil der Summen auf Konten in Hong Kong und China überwiesen wird.

Eine Abwandlung des CEO Frauds läuft demgemäß ab, dass über eine längere Zeit die Kommunikation zwischen einem Unternehmen und dessen Lieferanten in China/ Hong Kong verfolgt wird. Das Unternehmen erhält dann eine E-Mail der Betrüger, in der diese das Unternehmen bitten, die nächste Zahlung nicht auf das bekannte Konto des Empfängers zu tätigen, da dies zurzeit wegen „Audit“ geschlossen ist, sondern auf ein anderes Konto einer anderen Gesellschaft.

Sobald eine Überweisung erfolgreich auf das Konto der Betrüger überwiesen wurde, so kommt es oft vor, dass noch am gleichen Tag oder am nächsten Tag weitere Anweisungen für Überweisungen kommen, um weitere Teile des „Projekts“ zu zahlen. Es kamen bereits Betrüge mit sechs und mehr Überweisungen vor und mit jeder Überweisung wurden die Betrüger dreister und erhöhten den Betrag.

Die Konten, auf welche das Geld überwiesen wurde, sind zumeist Firmenkonten von Gesellschaften, die erst vor kurzem gegründet wurden und deren Geschäftsführer und Gesellschafter chinesische Einzelpersonen sind. Da Firmengründungen in Hong Kong möglich sind, ohne dem Handelsregister Identitätsnachweise der Gründer oder Geschäftsführer vorzulegen, können mehr oder weniger anonym Gesellschaften gegründet werden. Bei der Eröffnung eines Kontos einer solchen Gesellschaft werden zwar an die Bank höhere due Diligence-Anforderungen gestellt, aber auch diese können immer noch umgangen werden, in dem z.B. gestohlene oder gefälschte Identitätsnachweise vorgelegt werden, oder Strohleute benutzt werden.


3.    Verhinderung des CEO Frauds

Liest man sich die obige Liste an Kennzeichen durch, so erscheint es recht einfach, durch eine entsprechende Schulung der Mitarbeiter einen Betrug zu verhindern. Zu beobachten ist allerdings immer wieder, dass sich die Personen, die die betrügerische Überweisung ausführen, entweder durch die E-Mail des angeblichen Chefs so unter Zeitdruck fühlen, dass die Überweisung ausgeführt wird, oder dass sie sich so geehrt fühlen, dass sie für so eine wichtige Aufgabe ausgewählt wurden. Dies sind menschliche Schwächen, die nur durch entsprechende Schulungen sensibilisiert werden können.

a.    Schulung von Mitarbeitern

Sämtliche Mitarbeiter, die an der Ausführung von Überweisungen beteiligt sind, sind entsprechend zu schulen. Es ist dringend abzuraten, die Schulung lediglich über Rundschreiben abzuhalten, sondern es sollten regelmäßig Schulungen in dem Unternehmen abgehalten werden, in dem die Mitarbeiter über die große Problematik und das immense Risiko des CEO Frauds aufgeklärt werden.
Es sollte weiter in Erwägung gezogen werden, diese Schulungen von externen Beratern, wie zum Beispiel Anwälten oder Mitarbeitern der Polizei abzuhalten, um die Wichtigkeit des Themas zu unterstreichen.

b.    Zeichnungsbefugnis

Ein weiteres Einfallstor, welches den Betrügern die Arbeit erleichtert, ist die Tatsache, dass in vielen Unternehmen immer noch Personen Einzelzeichnungsbefugnis für die Konten haben. Es mag sicherlich gerechtfertigte Gründe für dieses Vorgehen geben, es ist aber ausdrücklich zu raten, dies sofort zu ändern, so dass immer zwei Personen notwendig sind, um Überweisungen online auszuführen oder Banken zu einer Überweisung zu instruieren.
Dies sollte nicht nur für das Veranlassen von Überweisungen, sondern auch für Anweisungen an die Bank bezüglich anderer relevanter Tatsachen gelten. So kam es in einem Fall vor, dass eine betrügerische Überweisung nur ausgeführt werden konnte, weil die Bank auf Bitten des betrogenen Mitarbeiters das Limit für Überweisungen anhob, ohne, wie eigentlich notwendig, vorher beim Geschäftsführer nachzufragen. Obwohl hier der Fehler auf Seiten der Bank liegt (und deren Versicherung für den Schaden aufkam) sind ähnliche Fälle denkbar, in denen die Bank nicht fahrlässig handeln würde und diese Fälle sind aufgrund entsprechender Zeichnungsbefugnisregelungen zu verhindern.

c.    Firewall


Nicht zu vergessen bleibt schlussendlich, dass der gesamte Betrug nur möglich ist, weil sich die Täter vorab Zugang zu dem Firmennetzwerk verschaffen und wochen- oder monatelang die Kommunikation lesen. Dies kann effektiv durch eine entsprechende Firewall und Virenschutzprogramme verhindert werden und eine eigene IT Sicherheitsabteilung sollte heute keinen Luxus mehr darstellen, sondern in sämtlichen Unternehmen Teil des Schutzes von außen sein.
Auch eine systematische und regelmäßige Prüfung des Netzwerks auf Eindringlinge kann den CEO Fraud verhindern, wenn die Verletzung des Netzwerks rechtzeitig festgestellt wird.


4.    Erste Hilfe Maßnahmen


Sollte trotz aller Vorsichtsmaßnahmen dennoch eine Überweisung getätigt worden sein, so bedeutet dies noch nicht, dass das Geld ein für alle Mal verloren ging, denn es gibt einige effiziente Reaktionsmaßnahmen, um das Geld, bzw. einen Teil davon wieder zu erlangen.

Wichtig ist allerdings, dass sofort nach Entdeckung des Betrugs gehandelt werden muss, denn es zählt im wahrsten Sinn des Wortes, jede Sekunde. Internationale Überweisungen werden heute in der Regel über das SWIFT System abgewickelt, welche nach Einleitung der Transaktion den Betrag transferieren. Wann und wie schnell genau dies geschieht, hängt von den beteiligten Banken ab und es muss verhindert werden, dass das Geld dem Betrüger Konto gutgeschrieben wird, das heißt, die Überweisung muss gestoppt werden, solange das Geld sich noch im Transfer befindet. Eine Überweisung von den USA oder Europa nach Asien kann entweder sehr schnell gehen, wenn die Absender- und Empfängerbank direkte Kontakte unterhalten, oder die Überweisung kann bis zu ein oder zwei Tage in Anspruch nehmen, wenn das Geld über Transferbanken fließt, was oft bei Zahlungen nach China der Fall ist. In dieser Spanne muss gehandelt werden, denn wenn das Geld gutgeschrieben wurde, sinken die Chancen sehr schnell, das Geld wieder zu erlangen.
Von daher sollten langwierige Konferenzen und Gesprächsrunden, um heraus zu finden, was passiert ist, oder wer Schuld trägt, auf später verschoben werden und umgehend in der nachfolgenden Reihenfolge gehandelt werden:

a.    Informieren der eigenen Bank

Es muss unverzüglich die eigene Bank über die betrügerische Überweisung informiert werden, mit der Bitte, die Überweisung zu stoppen. Dies kann möglich sein, solange das Geld noch nicht vom Konto abgebucht wurde oder noch auf einem Zwischenkonto der Bank vorhanden ist.
Sobald das Geld allerdings die eigene Bank verlassen hat und in den internationalen Zahlungsstrom einfloss, kann die Überweisung nicht mehr einseitig durch die eigene Bank gestoppt werden.

b.    SWIFT Nachricht

Hat das Geld bereits die Konten der eigenen Bank verlassen, so ist die Bank umgehend zu instruieren, eine SWIFT Nachricht an die Empfängerbank zu senden, mit dem Hinweis, dass es sich um eine betrügerische Überweisung handelt und der Bitte, das Geld nicht auf dem Empfängerkonto gutzuschreiben, sondern wieder zurück zu überweisen.
Dies ist solange möglich, wie das Geld noch nicht auf dem Empfängerkonto gutgeschrieben wurde, also noch auf einem Zwischenkonto der Empfängerbank vorhanden ist. Wurde das Geld allerdings bereits dem Konto der Betrüger gutgeschrieben, so sind der Empfängerbank in der Regel die Hände gebunden, da die Vertragsbeziehungen der Bank mit Ihren Kunden der Bank es in der Regel nicht gestatten, Geld vom Kundenkonto wieder abzubuchen, wenn nicht eindeutige Hinweise auf einen Betrug vorliegen und hierzu zählt eine einfache SWIFT Nachricht einer Bank nicht.

Innerhalb weniger Stunden wird nun die Hausbank eine Antwort per SWIFT erhalten, in der mitgeteilt wird, ob der Betrag sichergestellt werden konnte oder ob das Geld bereits dem Empfängerkonto gutgeschrieben wurde.

Es kann auch selbst versucht werden, die Empfängerbank per Telefon zu erreichen, allerdings scheitert dies teilweise bereits an Sprachbarrieren oder an der Tatsache, dass Banken in Hong Kong und China große Institutionen sind, bei denen kein zuständiger Mitarbeiter erreicht werden kann.

c.    Anzeige bei der Polizei

Nachdem die Empfängerbank informiert wurde, sollte bei der heimischen Polizei eine Anzeige wegen Betrug gegen Unbekannt erstattet werden. Dies hilft in der Regel nicht weiter, oft möchte aber die lokale Polizei im Empfängerland (siehe unten) solch eine Anzeige vorgelegt bekommen, als weiteren Nachweis.

d.    Anzeige bei der lokalen Polizei

Konnte das Geld bis jetzt nicht sichergestellt werden, so ist eine Strafanzeige bei der lokalen Polizei notwendig. Da sich hier das Vorgehen zwischen Hong Kong und China allerdings erheblich unterscheidet, muss dies separat betrachtet werden:

i.    Hong Kong

In Hong Kong kann die Strafanzeige per Email, Fax oder online eingereicht werden. Zuständig ist die „Joint Financial Intelligence Unit (JFIU)" der Hong Konger Polizei.

Die Kontaktdaten sind wie folgt:

Tel.:        +852 2866 3366
Fax:        +852 2529 4013
E-Mail:      jfiu@police.gov.hk

Wird der Report über einen dieser Wege eingereicht, so ist unbedingt zu raten, nach kurzer Zeit telefonisch nachzuhaken, dass der Report empfangen wurde und bereits bearbeitet wird.
Da die JFIU aber derzeit aufgrund der Vielzahl von online Betrugen sehr überlastet ist, ist es zu raten, eine Person vor Ort zu kontaktieren, die die Strafanzeige persönlich bei der Polizei aufgibt. Dies verleiht der Sache mehr Nachdruck und es ist dann auch einfacher möglich, in den nächsten Tagen die Polizei aufzusuchen und nach dem Stand der Dinge zu fragen.

Als Kontaktperson vor Ort bietet sich vor allem ein erfahrener Anwalt vor Ort an, der nicht nur die Strafanzeige einleiten kann, sondern auch später bei der der Wiedererlangung des Geldes behilflich sein kann. Sinn und Zweck der Strafanzeige ist, dass die Polizei der Empfängerbank einen „Letter of No Consent“ zustellt, mit welchem die Bank die Anweisung erteilt, das Konto bis auf weiteres einzufrieren. Dies wird allerdings erst geschehen, wenn die Bank der Polizei den derzeitigen Kontostand mitteilte. Sollte das Geld auf dem Konto nicht mehr vorhanden sein, bzw. nur noch ein geringer Restbetrag (ca. unter 10,000 Euro), wird die Polizei den Fall schließen.

Alternativ kann auch beim Hong Konger Gericht durch einen Anwalt der Erlass einer einstweiligen Anordnung auf Einfrieren des Kontos (Mareva Injunction) gestellt werden. Ein solcher Antrag ist allerdings wesentlich teurer als eine Anzeige bei der Bank, dauert länger und hat lediglich denselben Erfolg.

Wurde das Konto mit ausreichend Geld erfolgreich eingefroren, so ist ein lokaler Anwalt zu beauftragen, eine Klage wegen ungerechtfertigter Bereicherung gegen den Kontoinhaber einzureichen. Nachdem die Klage dem Beklagten zugestellt wurde, hat dieser 14 Tage Zeit, seine Klagebereitschaft anzuzeigen. In der Regel geschieht dies nicht, da die Betrüger kein Interesse an einer Gerichtsverhandlung haben, so dass nach diesen 14 Tagen ein Versäumnisurteil ergeht, mit welchem in das Konto vollstreckt werden kann und die Bank wird dann das Geld zurück überweisen.
Ab Einreichung der Klage bis zum Erhalt des Urteils vergehen in der Regel ca. 5 bis 6 Monate und die Anwaltskosten liegen in der Regel bei 2,000 bis 4,000 Euro.

Teilweise kommt es vor, dass sich der Kontoinhaber aber vor Gericht tatsächlich verteidigen möchte, da er der Ansicht ist, er hätte Anspruch auf das Geld oder ihm stünden andere Verteidigungsmittel zur Verfügung. In einem solchen Fall geht das Verfahren in ein ordentliches Gerichtsverfahren über, welches in der Regel 20 bis 25 dauert und Kosten von ca. 30,000 bis 50,000 Euro auslöst. Von daher ist dieser Schritt genau zu überlegen, da auch zeitintensive Reisen nach Hong Kong zur Zeugenaussage notwendig werden.

ii.    China

Anders als in Hong Kong hat eine Strafanzeige bei der chinesischen Polizei kaum Aussicht auf Erfolg, da die chinesische Polizei Anzeigen wegen Betrugsstraftaten, die im Ausland begangen worden sind grundsätzlich ablehnen wird.

In der Regel wird die chinesische Polizei in CEO Fraud Fällen lediglich auf Bitten von Interpol oder anderer ausländischer Staatsorgane im Rahmen eines Rechtshilfeabkommens oder durch einzelne Rechtshilfeersuchen tätig sein.

Es kann über das LKA/BKA versucht werden, Interpol einzuschalten, bzw. die lokale Polizei vor Ort zum Einfrieren des Kontos zu bewegen.

Beide Optionen sind allerdings äußerst zeitaufwendig und überwiesene Gelder sind in den meisten Fällen schon weiter überwiesen. Es ist daher zu empfehlen, einen deutschsprachigen Anwalt vor Ort einzuschalten, der über entsprechende Kontakte und Erfahrung verfügt, um das erschlichene Geld auf anderem Wege vorab ein¬frieren zu lassen. Oft kann in diesem Fall mit Hilfe der Botschaft und durch freiwillige Unterstützung der Banken und Behörden das Geld vorerst eingefroren werden.

Viele Länder haben in deren Botschaften in Peking sogenannte „Liaison Officers“ stationiert. Dies sind im Falle Deutschlands meist Vertreter des BKA, welche eine gute Verbindung zu den lokalen Behörden haben. Diese Liaison Officers können möglicherweise auf freiwilliger Basis eine Unterstützung der chinesischen Behörden und ein Einfrieren des entsprechenden Bankkontos erreichen

Ob und wie eine Rücküberweisung umgesetzt wird ist auch mehrere Jahre nach den ersten Fällen des CEO Frauds weiter ungeklärt.

Ein gerichtliches Vorgehen ist hierfür derzeit meist nicht zielführend, da sich die chinesischen Zivilgerichte in der Regel für unzuständig erklären, wenn eine Rückforderung des Geldes wegen einer strafbaren Handlung erfolgt oder die Tat nicht auf dem Staatsgebiet Chinas begangen wurde.

Es besteht von daher nur die Möglichkeit, über internationale Beziehungen und Anträge zu erreichen, dass eine chinesische Behörde die Bank anweist, den Betrag zurück zu überweisen. Unter Umständen kann hierfür der Kontakt über die Botschaft erfolgen und ausreichend sein, meist ist aber das Einschalten des deutschen Justizministeriums bzw. Außenministeriums und deren Korrespondenzbehörden in China notwendig.

Derzeit gibt es zwar Regelungen, die theoretisch eine Rücküberweisung eingefrorener Gelder durch die Behörden vorsehen. In der Praxis besteht aber Uneinigkeit über die Interpretation dieser Regelungen und so bleiben Gelder oft lange auf den entsprechenden Konten eingefroren oder werden wieder freigegeben, bevor Maßnahmen ergriffen werden können die Gelder an das Betrugsopfer zurück überwiesen wird.
 
Alternativ kann auch versucht werden mit den Empfängerkontoinhabern zu verhandeln, denn diese können gutgläubig sein.


5.    Zusammenfassung


Der CEO Fraud ist ein immer noch beliebtes Mittel von online Betrügern, da durch den CEO Fraud in kurzer Zeit mit relativ wenig Gefahr recht hohe Summen ergaunert werden können. Die Wahrscheinlichkeit von Unternehmen, früher oder später Opfer des (versuchten) Betrugs zu werden ist von daher ziemlich hoch und es empfiehlt sich für jedes Unternehmen, entsprechende Vorkehrungen zu treffen. Dies fängt bereits bei der IT Infrastruktur an und setzt sich über die Schulung der Mitarbeiter und die Kontrolle der Bankkonten fort.
Ist ein Unternehmen erst einmal Opfer geworden und die Überweisung an die Bank übergeben worden, so ist das beste Mittel Schnelligkeit. Es muss sofort die eigene Bank und die Empfängerbank informiert werden und es muss mit allen zur Verfügung stehenden Mitteln versucht werden zu verhindern, dass das Geld auf dem Konto der Betrüger gutgeschrieben wird.
Ist dies erst einmal geschehen, so wird das Geld entweder in kürzester Zeit weiter überwiesen bzw. abgehoben, oder es steht dem geschädigten Unternehmen zumindest ein langer Gerichtsweg mit weiteren Kosten bevor, um den Betrag oder zumindest einen Teil des Betrags in den nächsten Monaten wieder zurück zu erhalten.


Stand der Bearbeitung: Januar 2019