Mein Gesprächspartner hörte mit höflichem Interesse, wie bei anderen Firmen Eurobeträge in sechsstelliger Höhe von erfinderischen Betrügern in erstaunlich einfacher Weise von den französischen Firmenkonten abgezapft wurden. Er erklärte uns zuversichtlich, dass sich dies in seinem Konzern (gemeint war die französische Tochtergesellschaft) wohl niemals ereignen werde. Er verwies dabei auf umfangreiche Compliance- und Vorsichtsregeln, die so etwas verhindern würden.
Fast eine Million Euro auf offshore Konten in Asien
Etwa zwei Monate nach diesem Gespräch erhielten wir von der Rechtsabteilung derselben Mandantin eine Bitte um dringenden Rückruf. Man erklärte uns, dass fast eine Million Euro unerlaubt von Bankkonten der französischen Tochter auf offshore Konten in Asien überwiesen worden waren. Eine Betrügerbande hatte zunächst sorgfältig recherchiert, wie der Konzern aufgebaut ist und mit welchen Personen zentrale Führungspositionen besetzt sind, deren Anweisungen den Buchhalter der Tochtergesellschaft in Frankreich beeindrucken würden. Auf diese Weise wurde der französische Buchhalter zunächst in einen "überaus vertraulichen" von der Konzernspitze geplanten Unternehmenskauf in Asien eingeweiht, bis er schließlich im letzten einer Reihe von E-Mails die Mitteilung erhielt, dass alle Konzernunternehmen zu dieser Transaktion beitragen müssen und er zu diesem Zweck die Bank der französischen Tochtergesellschaft umgehend anzuweisen hat, den genannten Betrag auf ein Konto in Hongkong zu überweisen. Geehrt dadurch, zum kleinen Kreis der in die geheime Operation eingeweihten Vertrauenspersonen zu gehören und eine Anweisung von höchster Ebene zu erhalten, erteilte der Buchhalter den Überweisungsauftrag, nachdem er erfolgslos versucht hatte, seinen unmittelbaren Vorgesetzten zu erreichen, der just an diesem Tag verreist und nicht erreichbar war. Die französische Bank war an kleinere Zahlungsanweisungen dieses Mitarbeiters ihres Kunden gewöhnt und schöpfte wegen der Höhe des Betrags erst Verdacht, als das Geld bereits in Hongkong war.
"escroquerie au Président", die vorgetäuschte CEO-Anweisung
Der Trick, auf den der Mitarbeiter unsere Mandantin hereingefallen ist, ist in Frankreich seit einigen Jahren als "escroquerie au Président" (vorgetäuschte CEO-Anweisung) bekannt. Diese Bezeichnung wurde erfunden, als Betrüger sich als den Geschäftsführer (Président) eines Unternehmens oder einen hohen Angestellten eines Konzerns (nachfolgend "CEO") in einer äußerst raffinierten Weise ausgegeben haben.
Die wesentlichen Merkmale dieser Betrugsform sind fast immer dieselben. Der Betrüger richtet eine erste E-Mail an einen Angestellten der lokalen Finanzabteilung oder einen Buchhalter der französischen Tochtergesellschaft als CEO oder Finanzdirektor des Konzerns. Darin weiht er den Empfänger zunächst in eine überaus vertrauliche von der Konzernspitze geplante internationale Transaktion ein. Die E-Mailadresse des angeblichen CEO ist der des echten CEO fast identisch, so dass der Unterschied nur bei genauem Hinsehen zu erkennen ist, üblicherweise wird nur ein Buchstabe der Domain geändert. Strengste Vertraulichkeit auch gegenüber der Hierarchie sowie die Tatsache, dass der CEO eine besonders vertrauenswürdige Person der Finanzabteilung ausgewählt hat, werden hervorgehoben. Es folgt in manchen Fällen ein Telefonat, bei welchem der Anrufer die Stimme des echten CEO nachmacht und Namen weiterer Mitarbeiter der Finanzabteilung und relevante Angaben zum Unternehmen nennt. Ziel ist hier, die außerordentliche Natur der Transaktion zu unterstreichen sowie ein persönliches Vertrauensverhältnis zu schaffen. Die Absicht ist, dass sich der Mitarbeiter geehrt fühlt, mit dem CEO direkt in Kontakt zu sein und sich nicht traut, eine Bestätigung seiner Hierarchie einzuholen.
Laut öffentlichen Angaben wurden seit 2011 ungefähr 1.500 französische Unternehmen Opfer dieses neuen Betrugsmechanismus, wobei diese Statistik nicht alle Fälle erfasst, da viele Unternehmen aus Imagegründen keine Strafanzeige erstatten. Der Gesamtschaden wird heute auf etwa 350 bis 400 Millionen Euros geschätzt, wobei er wahrscheinlich noch höher ist. Dazu gehören markante Namen der Industrie wie z.B. der Reifenhersteller Michelin, der Ölkonzern Total oder die Luxusgruppe LVMH. Da jedoch die Medien immer mehr über diese Betrugsform berichteten, haben die Betrüger ihre Methode abgewandelt. Eine neue Masche ist ein angebliches Update der Finanzsoftware des Konzerns, wobei ein Mitarbeiter der Finanzabteilung der Tochtergesellschaft durch gefälschte Anweisungen der Konzernfinanzabteilung veranlasst wird, bei der Installation der neuen Software Daten einzugeben, die es ermöglichen, Überweisungsaufträge zu erteilen. In einem anderen, uns bekannten Fall haben die Betrüger sich als die Vertrauensanwälte der Konzernleitung ausgegeben (mit gefälschter E-Mailadresse und gefälschtem Briefkopf). Es handelte sich in der Tat um eine Pariser Kanzlei, die schon mehrfach für dieses Unternehmen tätig war. Mit Hinweis auf eine äußerst dringliche und hochvertrauliche Transaktion wurde wiederum eine Person der Finanzabteilung kontaktiert, um einen größeren Geldbetrag zu überweisen.
Die Polizei hat inzwischen eine Sonderabteilung zur Bekämpfung dieser Kriminalität eingerichtet. Die Strafverfolgung ist jedoch schwierig wenn nicht aussichtslos, da sich die Täter und deren Helfer im Ausland befinden. Die Ermittlungen haben ergeben, dass die Täter aus Israel agieren und Helfer in China haben. Ihr Französisch ist in Wort und Schrift perfekt, bei Telefonanrufen erscheint im Display eine französische Nummer.
Sind Compliance Regeln ausreichend?
Unabhängig von der strafrechtlichen Seite der Tat und der evtl. Verfolgung der Straftäter, stellt diese neue Betrugsform eine Reihe von Fragen, u.a. arbeitsrechtlich und unter dem Gesichtspunkt der Compliance Vorschriften und deren Durchsetzung im Unternehmen. Arbeitsrechtlich stellt sich schnell die Frage von Disziplinarmaßnahmen gegenüber dem Mitarbeiter, der den Betrügern als ungewolltes Werkzeug zur Tatausführung diente. Das ist sorgfältig zu bedenken, denn selbst wenn dieser Angestellte fahrlässig gehandelt haben mag, indem er interne Compliance Vorschriften missachtet hat, und deswegen Sanktionen bis zur fristlosen Kündigung in Betracht kommen, kann sich eine Disziplinarsanktion als kontraproduktiv erweisen. Denn es stellt sich in der Regel auch die Frage, ob die Bank nachlässig gehandelt hat und deswegen voll oder zum Teil haftet. Banken haben Ihre eigenen Compliance Vorschriften, welche bei sorgfältiger Beachtung dazu dienen, derartige Vorfälle zu vermeiden (Unterschriftsprüfung, Bestätigungen, etc.). Eine disziplinäre Bestrafung des Angestellten kann leicht als Schuldeingeständnis des Bankkunden gewertet werden, welches beim Rückgriff des geschädigten Unternehmens gegen die ausführende Bank (bzw. deren Haftpflichtversicherung) schädlich sein kann.
Unter dem Gesichtspunkt der Compliance zeigen diese Vorfälle, dass die Einführung von Compliance Regeln allein nicht ausreichend ist. Das Risiko muss darüber hinaus durch entsprechende Schulung der Angestellten, welche als Opfer der Betrüger in Betracht kommen, verringert werden. Wie man sieht, handelt es sich hier nicht nur um Führungskräfte, sondern auch um Mitarbeiter auf der unteren Ebene, die auf Grund Ihrer Stellung im Unternehmen als "leichte Beute" der Betrüger in Betracht kommen. Diese sollten durchgehend über die Risiken informiert aber auch anhand von praktischen Fällen geschult werden. Kleine Tochtergesellschaften ausländischer Konzerne sind eine besonders leichte Beute, in denen in der Praxis oft die Buchhalterin nicht nur die Konten führt, sondern auch die Ansprechpartnerin der Bank ist und in denen die Entfernung von der Zentrale ebenso wie Sprachprobleme eine schnelle Rückfrage auf höherer Ebene erschweren. In vielen Fällen überstieg der Schaden mehrere hunderttausend, wenn nicht Millionen Euros (im "Rekordfall" wurden bei einem mittelständischen Unternehmen aus der Bretagne 23 Millionen Euros überwiesen).
In allen Fällen hat die Betrügerbande zunächst sorgfältig recherchiert, wie der Konzern aufgebaut ist und mit welchen Personen Führungspositionen besetzt sind, deren Anweisungen den Mitarbeiter der Tochtergesellschaft in Frankreich beeindrucken würden. Elektronisch zugängliche Informationen über Unternehmen und deren leitende Mitarbeiter erleichtern den Betrügern das Handwerk. In Frankreich (wie auch in Deutschland) sind offizielle Angaben über Unternehmen einschließlich Ablichtungen von Urkunden mit den darauf befindlichen Unterschriften (Gesellschaftsverträge, Sitzungsprotokolle, Bilanzen, Abschlussprüfertestate) durch das elektronische Netzwerk der Handelsregister infogreffe sehr leicht zugänglich. Diese sind meistens auf aktuellem Stand. Darüber hinaus veröffentlichen Unternehmen selbst für die Betrüger interessante Informationen auf ihren Websites. Leitende Mitarbeiter stellen sich mit ihrem Profil auf Netzwerken wie Viadeo oder Linkedin dar. Je mehr Informationen im Netz veröffentlicht und somit leicht zugänglich gemacht werden, desto einfacher wird es für Betrüger, sich ein sehr genaues und detailliertes Bild von der Organisation und den leitenden Mitarbeitern eines Unternehmen zu machen, was wiederum für die Durchführung der Straftat entscheidend ist. Der in den letzten Jahren festgestellte "Boom" dieser Betrugsform lässt sich wohl durchaus auch durch den ansteigenden Drang nach Informationen über das Internet erklären. Deswegen sollte die Notwendigkeit der bereits erwähnten pro aktiven Schulungen und Informationen durch interne Rundschreiben nochmals unterstrichen werden, um sich effizient vor dieser neuen Betrugsform zu schützen.
Autor: Bruno Weil – Weil & Associés - Paris
Kontakt: Berit van Geul, Sales Director EUROFORUM | XING
