Überweisungsbetrug: So schützen Sie Ihr Unternehmen

Egal ob es sich um das Begleichen von Lieferantenrechnungen oder Gehaltszahlungen an die Mitarbeitenden handelt: Ein Geschäftsalltag ohne Online-Überweisungen ist für Unternehmen heute kaum mehr vorstellbar. Wie beliebt das Online-Banking in Deutschland ist, zeigen auch die Zahlen: Laut Statista belief sich der Anteil der deutschen Online-Banking-Nutzenden im Jahr 2021 auf 50 Prozent. Das haben auch Cyberkriminelle erkannt, die mit unterschiedlichen Betrugsmaschen versuchen, Unternehmen und Privatpersonen um ihr Geld zu bringen. Eine gängige Methode ist dabei der Überweisungsbetrug. Wie Unternehmen die digitalen Täuschungsmanöver erkennen und sich schützen können, erfahren Sie in diesem Beitrag.

Allgemein beschreibt Überweisungsbetrug eine Form von Wirtschaftskriminalität, bei der Cyberkriminelle ausgeklügelte Tricks einsetzen, um ihre Opfer dazu zu bringen, Geld auf ein Betrügerkonto zu überweisen.

Oft nutzen Cyberkriminelle Methoden wie das “Social Engineering”. Dieser Begriff beschreibt im IT-Bereich gezielte psychologische Tricks, mit denen die Opfer manipuliert werden. Das geschieht wiederum über das “Spoofing” (zu dt. vortäuschen), wobei die Angreifer:innen zum Beispiel die E-Mail-Adresse eines vertrauenswürdigen Absenders fälschen, die vom Opfer als authentisch wahrgenommen wird.

Zuvor bringen Cyberkriminelle viel über das Unternehmen in Erfahrung, um ihre Opfer gezielt mit individuellen Informationen zu täuschen. Eine gängige Masche ist der “CEO-Fraud”. Die Betrüger:innen versenden eine E-Mail, die den Anschein erweckt, von der Geschäftsführung des Unternehmens oder einer anderen hochrangigen Führungskraft zu stammen. Darin fordern Cyberkriminelle die Mitarbeitenden eines Unternehmens dazu auf, Geld zu überweisen oder vertrauliche Daten zu teilen.

Die gefälschte E-Mail ist dabei nur ein Weg der Kontaktaufnahme. Besonders perfide ist der CEO-Betrug per Telefon mit sogenannten Audio-Deepfakes. Dabei werden Stimmproben in eine KI-Software gespeist, anhand derer sich eine synthetische Kopie der Stimme erstellen lässt, die kaum bis überhaupt nicht vom Original abweicht.

Expert:innen empfehlen grundsätzlich misstrauisch zu sein, wenn ein vermeintlicher Vorgesetzter per Telefon mit einer gewissen Dringlichkeit dazu auffordert, eine Überweisung zu tätigen. Besonders, wenn es sich dabei um ein Konto im Ausland handelt. Um sich abzusichern, können die Mitarbeitenden zum Beispiel erklären, die Führungsperson über die offiziell bekannte Nummer zurückzurufen oder gezielte Fragen nach internen Gegebenheiten stellen, die ausschließlich von dieser Person beantwortet werden können.

Phishing, oder auch “Passwortangeln” ist eine weitere gängige Betrugsmethode, mit der Zugangs- und Kontodaten gestohlen werden. Bei der klassischen Variante per E-Mail geben sich die Betrüger:innen zum Beispiel als Finanzinstitut aus und drohen im Betreff mit der Kontoschließung. So simulieren sie dringenden Handlungsbedarf. Die Nutzer:innen werden aufgefordert, auf einen Anhang zu klicken, wodurch in der Regel eine Malware auf dem Rechner des Opfers installiert wird. So verschaffen sich die Hacker:innen Zugang zum Server oder Konto des Opfers. Im Betreff wird dabei oft mit der Kontoschließung gedroht, um einen dringenden Handlungsbedarf zu simulieren und die Empfänger:innen zu verunsichern.

Die täuschend echte E-Mail kann auch einen manipulierten Link enthalten, der auf eine gefälschte Website weitergeleitet, wo Nutzerinnen und Nutzer ihre Zugangsdaten eingeben sollen. Trotz Sicherheitsvorkehrungen, wie TLS-Verschlüsselung und Zwei-Faktor-Authentifizierung, schaffen es Cyberkriminelle durch Phishing, Zugriff auf persönliche Zugangsdaten zu erhalten.

Leider kann es auch vorkommen, dass sich die Betrüger:innen in den eigenen Reihen befinden. Ein Bericht von Allianz Trade zeigt, dass Mitarbeitende, die über einen längeren Zeitraum internen Finanzbetrug begehen, einen wesentlich größeren Schaden anrichten können als eine einmalige Cyberattacke.

In der Analyse aus dem Jahr 2022 heißt es: “Die Schäden durch externe Dritte haben zwar in den vergangenen fünf Jahren mit +40 % bei den Fallzahlen und +56 % bei den Schadenshöhen überdurchschnittlich stark zugelegt: Bei den internen Tätern nahmen Fallzahlen im gleichen Zeitraum um rund 10 % zu und Schäden um 23 %. Trotzdem sind es nach wie vor die eigenen Mitarbeiter, die mit 57 % für die meisten und mit rund 70 % auch für die größten Schäden verantwortlich sind.”.

Um internem Betrug vorzubeugen, ist es daher besonders wichtig, Ihre Ausgaben auf dem Geschäftskonto immer im Blick zu behalten. Mit Qonto können Sie alle Umsätze in Echtzeit verfolgen – mit unbegrenzter Historie. Auch durch praktische Funktionen wie benutzerdefinierte Rollen mit anpassbaren Berechtigungen für Ihre Teams und individuellen Firmenkarten behalten Sie jederzeit die Kontrolle.

In diesem Szenario gelingt es Hacker:innen, in den E-Mail-Server eines Lieferunternehmens einzudringen. Von dort aus verschicken sie über die offizielle E-Mail-Adresse eines Geschäftspartners authentisch wirkende gefälschte Rechnungen. Wie beim CEO-Betrug ist diese Form des Betrugs oft schwer zu erkennen, da die betrügerischen Nachrichten vorgeben, von einem vertrauenswürdigen Kontakt zu stammen.

Übrigens: Praktische Tipps, wie Sie gefälschte Rechnungen erkennen und Ihr Unternehmen schützen, lesen Sie in diesem Beitrag.

Eine weitere Betrugsmasche, die sich auf die Geschäftsbeziehungen zu Lieferanten bezieht, ist die Benachrichtigung über eine angebliche Änderung der Zahlungsdaten des Partners. Auch hier erhält das Unternehmen eine E-Mail, die vorgibt, von einem Geschäftspartner zu stammen. Darin behaupten die Betrüger:innen, dass sich die Kontodaten geändert haben und fordern das Unternehmen auf, die neuen Informationen im internen Rechnungssystem zu aktualisieren.

Wenn dieser Betrug unerkannt bleibt, geht die Geldüberweisung, die eigentlich für legitime Rechnungszahlungen vorgesehen ist, nicht auf das Konto des Geschäftspartners ein, sondern stattdessen auf das Konto der Kriminellen.

Besonders um Social Engineering-Angriffen vorzubeugen, sind Workshops zum Thema Internetbetrug besonders wichtig. Sie helfen dabei, das Bewusstsein für Cyberattacken und Phishing-Versuche zu schärfen. Durch die regelmäßigen Schulungen bleiben alle Teams so auf dem neuesten Stand und können Gefahren schneller erkennen. Neben Workshops für Mitarbeitende ist es auch empfehlenswert, eine Guideline zu entwickeln, in der Regeln zum Umgang mit Hard- und Software dokumentiert werden.

Unternehmen sind darüber hinaus gesetzlich verpflichtet, in Sicherheitsvorkehrungen wie CyberSecurity-Software und eine geeignete IT-Infrastruktur zu investieren. Um sich zusätzlich abzusichern, ist auch eine Cyberversicherung essenziell.

Neben den Cyberattacken durch Phishing-E-Mails und Malware gibt es auch Betrugsversuche im traditionellen Zahlungsverkehr. Dafür benötigen die Kriminellen lediglich die IBAN-Nummer und eine gefälschte Unterschrift ihres Opfers. Die Täter:innen geben diese Informationen auf dem Überweisungsschein ein und werfen das Dokument in den Briefkasten des Bankinstituts ihres Opfers.

Zugang zu den benötigten Kontodaten verschaffen sie sich dabei auf unterschiedliche Weise: durch Phishing-Anrufe angeblicher Bankmitarbeiter:innen, betrügerische Gewinnspiele oder einfach durch das Durchwühlen von Papierkörben in der Nähe von Kontoauszugsdruckern. Die Polizei sieht sich oft machtlos, da die Betrüger:innen selten gefasst werden und viele Überweisungen ins Ausland führen.

Tipp: Kontoauszüge und Belege am besten immer schreddern, um Missbrauch zu vermeiden.

Wer im Fall von Überweisungsbetrug haftet, hängt stark von den individuellen Gegebenheiten ab und lässt sich daher nicht pauschal beantworten. Laut dem Anspruch auf Wiedergutschrift gemäß § 675u S. 2 BGB kommen bei unautorisierten Zahlungen die Banken in der Regel für den Schaden auf. Handelt ein Bankkunde oder eine Bankkundin hingegen grob fahrlässig und verletzt die Sorgfaltspflicht gemäß § 675l BGB, das heißt hat die Person nicht „alle zumutbaren Vorkehrungen” zum Schutz ihrer Daten (TAN, PIN etc.) getroffen, besteht kein Anspruch auf Schadensersatz.

Das bereits überwiesene Geld lässt sich nur dann zurückfordern, wenn es noch nicht auf dem Betrügerkonto eingegangen ist. Sie sollten also besonders schnell handeln und Ihr Finanzinstitut in einem Betrugsfall sofort informieren, da nur wenige Stunden bis Tage zum Geldeingang vergehen. Achtung: Bei SEPA-Echtzeitüberweisungen gibt es keine Möglichkeit der Rückforderung, da das Geld in Sekundenschnelle beim Empfänger oder bei der Empfängerin eingeht.

Das Geldwäschegesetz fordert Finanzinstitute dazu auf, Überweisungen ab einer Höhe von 1.000 Euro zu prüfen. Das erfolgt automatisiert über eine Betrugserkennungssoftware, die Auffälligkeiten zum Beispiel im Verwendungszweck und der Transfersumme erkennt und daraufhin einen Alarm auslöst. Das dient zur Erkennung von Geldwäsche, soll aber auch weitere Arten von Wirtschaftskriminalität wie Überweisungsbetrug erkennen.

Gut zu wissen: Kontoinhaber:innen müssen die Empfängerdaten der Überweisung jedoch selbst kontrollieren und haften für Fehler.

Ja! Selbst wenn die Wahrscheinlichkeit gering ist, die Betrüger:innen ausfindig zu machen, sollten Opfer immer eine Strafanzeige bei der Polizei stellen und die Daten des Täterkontos weitergeben, um weiterführende Ermittlungen zu ermöglichen. Es ist zusätzlich empfehlenswert, den Betrug auch bei der Verbraucherschutzzentrale zu melden, um auch Mitmenschen vor den Betrugsmaschen zu warnen.

Die Verurteilungsquoten für digitalen Finanzbetrug sind relativ gering, da die Spuren oftmals ins Ausland führen. Bei erfolgreicher Ermittlung erwarten die Kriminellen für Finanzdelikte jedoch hohe Strafen, die im StGB geregelt werden. Darin heißt es: “Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er durch Vorspiegelung falscher oder durch Entstellung oder Unterdrückung wahrer Tatsachen einen Irrtum erregt oder unterhält, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar. In besonders schweren Fällen ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.”