Menschen suchen nach Wertschätzung, vor allem im Job. Und Gangster wissen das, wie der Fall eines Automobilzulieferers in Süddeutschland zeigt. Ein Mitarbeiter mit Zahlungsberechtigung wird vom Firmenchef kontaktiert. Der solle ihn – den CEO – bei einem vertraulichen Firmenkauf unterstützen.
In dem Gespräch geht es nicht nur um den Deal. Der Manager, ganz zugewandte Führungskraft, fragt auch nach dem Hund des Mitarbeiters. Der erzählt begeistert von Fortschritten in der Hundeschule. Anschließend überweist er in drei Tranchen rund 1,6 Millionen Euro, so wie der Chef es angewiesen hatte. Als ein Kollege die Zahlungen später nicht zuordnen kann, stellt sich heraus, dass der Hundefreund von Betrügern hereingelegt wurde. Die Stimme am Telefon habe täuschend echt geklungen, erzählt der Chef später. Das Geld war weg.
Über Fälle dieser Art, genannt Fake-CEO, kann Marie-Christine Kragh, Leiterin der Vertrauensschadensversicherung bei der Allianz Trade, ewig reden. Im Jahr 2024 seien die Schäden durch diese Betrugsmaschine um 200 Prozent, ein Jahr später noch einmal um gut 80 Prozent angestiegen. Auch insgesamt ist die Schadensstatistik erschreckend: Einen kräftigen Anstieg um 139 Prozent erlebte im vergangenen Jahr der sogenannte Bestellerbetrug, bei dem sich Betrüger als Kunde ausgeben und anschließend Waren oder gar ganze Warenströme an falsche Adressen weiterleiten.
Viel einfacher als früher macht es den Tätern vor allem die Künstliche Intelligenz (KI): Kreative Werkzeuge zur täuschend echten Imitation von Stimmen oder gar Videos – genannt Deepfakes – sind längst für wenig Geld verfügbar. „Für einen guten Video-Deepfake brauche ich im Moment ungefähr 30 Minuten Rohmaterial“, erzählt Dirk Koch, Partner bei der Rechtsanwaltskanzlei ByteLaw. „Für einen Audio-Deepfake brauche ich weniger.“
Gerade bei Modellen in englischer Sprache reichten 90 Sekunden Aufzeichnung einer echten Person, um eine zu 80 Prozent ähnliche Stimme nachzubauen. Das Problem dabei: Früher konnten so etwas allenfalls Experten mit viel technischem Know-how und Zeit. Aufwand und Rendite hielten sich oft nicht in einem vernünftigen Verhältnis. Mit der neuesten KI kann es heute jeder, der Zugriff auf Sprach-, Foto- und Videoaufnahmen von Zielpersonen hat.
Alles kann interessant sein, was schnelles Geld verspricht
Aber es müssen gar nicht die spektakulären CEO-Frauds sein, mit denen gewiefte Betrüger arglose Mitarbeiter über den Tisch ziehen. Dank KI lässt sich heutzutage fast jeder Betrug einfacher und vor allem ökonomischer organisieren – selbst ohne ausgeprägte IT-Kenntnisse. „Entsprechende Tools gibt es im Darknet quasi von der Stange zu inzwischen vergleichsweise kleinen Preisen“, sagt Koch. Cyberangriffe seien in der Regel Opportunitätstaten, erklärt Koch, der selbst ein zertifizierter sogenannter ethischer Hacker ist. Die Kriminellen kennen Schwachstellen in verbreiteten Softwareanwendungen. Mit massenhaft verschickten Phishing-Mails verschaffen sie sich Zugang – und haben dann oft leichtes Spiel.
„Der Täter will möglichst viel Geld mit möglichst wenig Aufwand verdienen“, erklärt Kragh. „Da ist KI eine Hilfe.“ Mit ihrer Unterstützung ist es einfach, Firmenmails im großen Stil schnell und effizient auf interessante Informationen auszulesen. Bankkonten, Kundendaten, Passwörter: Alles kann interessant sein, weil sich aus allem Geld machen lässt.
Oliver Schneider, geschäftsführender Gesellschafter der RiskWorkers GmbH, verhandelt seit 20 Jahren Lösegeldfälle für Unternehmen und Privatpersonen. Seit einigen Jahren berät seine Firma auch im Fall von Ransomware-Angriffen, bei denen die Firmen-IT verschlüsselt und damit lahmgelegt wird. Auch hier geht es um Lösegeld – in dem Fall für die Entschlüsselung der Firmen-IT. Das Geschäft für die Erpresser werde immer einfacher, erzählt er.
Oft kaufen die Täter wie Franchisenehmer sogenannte Starter-Kits bei Profis aus Russland. Dann aber betrieben sie ihr Geschäft von Westafrika, Südostasien oder der arabischen Welt aus. „Sie brauchen nur einen Zugang zum Darknet, kriminelle Energie und etwas Zeit, um sich das nötige Know-how anzueignen.“ Schneider wird dann geholt, um das Lösegeld zu verhandeln. „Die Masse der Erpresser geht da sehr ökonomisch vor“, erklärt er. Auf Basis der Geschäftsdaten einer betroffenen Firma errechneten sie die geforderte Summe. „Dadurch steigt die Wahrscheinlichkeit, dass die Firmen zahlen.“
Zur Wahrheit gehört allerdings auch, dass der Großteil der Schäden bei Unternehmen nicht durch externe Kriminelle, sondern durch Mitarbeiter entsteht – im vergangenen Jahr seien es 65 Prozent gewesen, sagt Kragh von Allianz Trade. Die Schäden können durchaus siebenstellige Beträge annehmen, wie ein Pharmaunternehmen im Süden des Landes auf die bittere Tour lernen musste.
Dort hatte die Leiterin von Einkauf und Buchhaltung über einen Zeitraum von drei Jahren Geld veruntreut. Und wie die Ermittlungen ergaben, war sie daran nicht allein beteiligt. Die Täterin hatte ein Netzwerk aus Mitarbeitern und Geschäftspartnern gespannt. Große Beträge wurden vom Unternehmen an Privatkonten überwiesen. Am Ende waren 3,7 Millionen Euro weg.
Die Schwachstelle ist letztlich bei allen Betrugsfällen der Mensch. Deepfakes funktionierten vor allem, weil mit Emotionen gespielt werde – etwa in Form von Wertschätzung, sagt Kragh. „Aber auch Druck oder das Heraufbeschwören einer vermeintlichen Krisensituation kann eine entscheidende Rolle spielen.“ Die Expertin rät daher in Unternehmen zum Vier-Augen-Prinzip. Am Ende komme es auf eine gute Unternehmenskultur an, damit Mitarbeiter auch den Mut haben könnten, bei einer nicht nachvollziehbaren Anweisung des Chefs noch einmal in dessen Büro anzurufen und nachzufragen.
Jan Dams ist Chefreporter WELT AM SONNTAG.
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt beim ursprünglichen Autor. Die erneute Veröffentlichung dieses Artikels dient ausschließlich der Informationsverbreitung und stellt keine Anlageberatung dar. Bei Verstößen kontaktieren Sie uns bitte umgehend. Wir werden bei Bedarf Korrekturen oder Löschungen vornehmen. Vielen Dank.
