Wirtschaftskriminelle surfen weiterhin auf der Homeoffice-Welle und „Social Engineering” bleibt bei Betrügern ein Kassenschlager. Besonders die Betrugsmasche Zahlungsbetrug (Payment Diversion), bei der Zahlungsströme umgeleitet werden, verzeichnete 2022 laut der Allianz Trade in Deutschland Schadensstatistik mit +29 % im Vergleich zum Vorjahr einen deutlichen Anstieg bei den Fallzahlen. Bei der Höhe der Schäden war es mit +33 % sogar ein Drittel mehr als noch 2021. Der Trend hält auch im bisherigen Jahresverlauf an: 2023 dürften die Fallzahlen nach Schätzungen von Allianz Trade auf Basis des bisherigen Jahresverlauf um weitere rund 15 % zunehmen, bei den von Unternehmen gemeldeten Schäden um 21 %.
„Spannend ist, dass Fake-President-Betrugsfälle bei Wirtschaftskriminellen wieder in Mode kommen“, sagt Rüdiger Kirsch, Betrugsexperte bei Allianz Trade. „In den letzten Jahren haben Fallzahlen stagniert und die durchschnittliche Schadenshöhe ist sukzessive gesunken. Nun deutet sich hier eine Trendwende an: 2022 gab es 15 % mehr Fälle als im Vorjahr und die gemeldeten Schäden stiegen sogar um 38 %. 2023 zeichnet sich bisher ein ganz ähnliches Bild mit +17% bei den Fallzahlen und +24 % bei den gemeldeten Schäden der Unternehmen. Die meisten Fälle liefen nach dem ganz klassischen Schema ab – waren aber sehr gut gemacht. Und das war noch vor ChatGPT. Mit neuen KI-Anwendungen dürfte es für Betrüger noch leichter werden, den richtigen Ton zu treffen und die Mitarbeitenden so zu manipulieren, dass sie entsprechende Zahlungen anweisen.“
„Innentäter“ richten weiterhin die meisten und größten Schäden an
Die meisten und vor allem die größten Schäden richten allerdings noch immer die sogenannten „Innentäter“ an, also die eigenen Mitarbeitenden eines Unternehmens. Das Verhältnis hat sich zuletzt laut Allianz Trade Schadensstatistik allerdings verschoben – insbesondere bei den Fallzahlen: 2022 haben Innentäter rund 57 % der Fälle verursacht und waren für zwei Drittel (73 %) der Schäden verantwortlich. 2023 waren es im bisherigen Jahresverlauf mit 51 % nur noch gut die Hälfte der Fälle, aber weiterhin 69 % der gemeldeten Schäden. Die höchsten Schäden richten laut der Statistik weiterhin gut ausgebildete männliche Führungskräfte, etwa Mitte 40 an, die seit mindestens 10 Jahren im Unternehmen sind.
Weiße Weste als Grundvoraussetzung
„Wirtschaftsstraftäter sind ‚Latecomer to crime‘, also Spätzünder bei der kriminellen Karriere“, sagt Prof. Dr. Hendrik Schneider, Rechtswissenschaftler und Kriminologe. „Das hat mehrere Gründe. Ein Uni-Absolvent hätte zum Beispiel gar nicht die Befugnisse, Transaktionen mit hohen Geldbeträgen anzuweisen. Ein Manager mit langer Betriebszugehörigkeit weiß hingegen, wie der Hase läuft, wo Nischen und Kontrolldefizite sind und hat die notwendigen Befugnisse. Da ist bei dem einen oder anderen die Verlockung groß, eine günstige Gelegenheit auszunutzen. In eine solche Führungsposition kommen allerdings nur selten Menschen, deren polizeiliches Führungszeugnis Eintragungen aufweist. Das heißt: Eine bis dato weiße Weste ist für die Weiße-Kragen-Täter die Grundvoraussetzung.“
Vier Tätertypen
Grundsätzlich lassen sich die Wirtschaftskriminellen in zwei Kategorien und in vier Tätertypen einordnen. Zum einen gibt es einen Unterschied zwischen Gelegenheitssuchern und Gelegenheitsergreifern. Die einen suchen proaktiv nach Schwachstellen, und die anderen reagieren auf eine Gelegenheit. Hinzu kommen personale Risikofaktoren.
„Wir unterscheiden vier Tätertypen: Der Täter mit einem wirtschaftskriminologischen Belastungssyndrom, der Krisentäter, der Abhängige und der Unauffällige“, sagt Schneider. „Auch bei der Frequenz gibt es einige Unterschiede. Das erste Mal ist entweder tatsächlich eine einmalige Sache – oder aber ein Schrittmacher in die Kriminalität. Beim ersten Mal ist die Hemmschwelle oft hoch. Aber es gibt ein Erfolgslernen und einen Gewöhnungseffekt. Je öfter man lügt oder betrügt, desto geringer ist das Unwohlsein. Irgendwann läuten die Alarmglocken nicht mehr und es läuft dann quasi von selbst. Solange die Fassade und die Tarnung intakt sind, merken Täter oft gar nicht, wie kriminell sie sind, weil es sich durch dieses schrittweise Abrutschen gar nicht so kriminell anfühlt – das kommt oft erst beim Gerichtsprozess.“
Dieses Erfolgslernen deckt sich mit der Allianz Trade Schadensstatistik: Zu Anfang werden häufig zum Beispiel eher kleinere Beiträge veruntreut – mit der Zeit und zunehmendem „Erfolg“ werden kriminelle Energie und die Beträge zunehmend größer.
Prävention ist ein Balance-Akt und ein Generationen-Thema
Bei der Bekämpfung von Wirtschaftskriminalität bleiben gute Kontroll- und Compliance-Systeme, saubere Prozesse und Sensibilisierungsmaßnahmen wie zum Beispiel Trainings für Unternehmen das A und O, denn sie minimieren die Tatgelegenheiten. Dabei ist es wichtig, permanent mitzudenken, welche neuen Risiken in Zukunft entstehen könnten, durch die Digitalisierung, zunehmende Cyberangriffe, neue Technologien, künstliche Intelligenz wie beispielsweise ChatGPT.
„Das ist tatsächlich auch ein Generationen-Thema“, sagt Schneider. „Deshalb ist es wichtig, auch junge, technologieaffine Mitarbeitende im Boot zu haben, die sich der damit verbundenen Risiken bewusst sind. Das gilt im Übrigen sowohl für Compliance als auch für Aufsichtsräte. Man kann auch einfach einen Selbsttest machen und es ausprobieren. Schicken sie doch mal eine ChatGPT-Mail in die eigene Organisation. Damit identifizieren sie gnadenlos die eigenen Schwachstellen bei Prozessen und Kontrollmechanismen. Sie können dann nachjustieren, bevor es zu finanziellen Schäden kommt.“
Neue Technologien, neue Betrugshorizonte
Dennoch: Die Betrugsmaschen dürften sich in Zukunft ebenso rasant beschleunigen wie der technologische Fortschritt. „KI-Anwendung eröffnen auch Kriminellen ganz neue Betrugshorizonte“, sagt Kirsch. „Mussten sie zuvor noch relativ mühsam die notwendigen Informationen zusammensuchen, etwa durch Ausspähen des Intranets, in sozialen Netzwerken oder Vishing-Anrufen an unterschiedlichsten Stellen im Unternehmen, findet mit ChatGPT eine deutliche Optimierung statt: Mitarbeiterbriefe, Intranet-Inhalte oder E-Mail-Korrespondenzen können hochgeladen und das System spuckt anschließend eine E-Mail mit einer gefälschten Zahlungsaufforderung im ‚CEO Style‘ aus. Das hebt die Authentizität der Korrespondenz auf ein ganz neues Level und damit auch die Chancen, dass falsche Chefs erfolgreich sind.“
Trotzdem gibt es Mittel und Wege, mit denen man Betrügern ganz leicht das Handwerk legen kann: Offenheit, eine gute Kommunikation und Fehlerkultur sowie flache Hierarchien. Ein kritisches Hinterfragen von Mitarbeitenden auch bei eiligen Zahlungsanweisungen ist essenziell, das Handeln „auf Autopilot“ hingegen gefährlich.
„Ein Anruf beim echten Chef genügt, und der Betrug fliegt sofort auf“, sagt Kirsch. „Doch auch Manager selbst haben wichtige Aufgaben bei der Prävention. Das reicht von einem vernünftigen Umgangston und Führungsqualitäten bis zur klar kommunizierten Selbstverpflichtung, keine Überweisungsaufträge per Telefon oder Video-Calls zu erteilen – und vor allem sich anschließend auch daran zu halten.“