Die größte Gefahr kommt von außen

Österreichs Unternehmer werden immer öfter Ziel von betrügerischen Attacken: wie sich das Management vor Wirtschaftskriminalität schützen kann. 

Text: Harald Klöckl

Während die Kriminalität insgesamt zuletzt gesunken ist, steigen die Anzeigen im Bereich der Wirtschaftskriminalität hierzulande rasant: Im Jahr 2022 wurden gemäß der polizeilichen Kriminalstatistik 91.844 Fälle angezeigt. Ein negatives All-Time High, 21,7 % mehr als im Jahr zuvor. Im jüngsten von PwC durchgeführten Global Economic Crime & Fraud Survey (GECS) gewinnt insbesondere die Cyberkriminalität stark an Bedeutung. Die wohl signifikanteste Aussage der GECS-Studie unter 1.296 Führungskräften aus 53 Ländern und Regionen: Die größte Bedrohung der Unternehmer sind mittlerweile externe Täter. Beinahe 70 % der Organisationen, die Opfer wirtschaftskrimineller Handlungen wurden, nannten externe Angriffe oder ein Zusammenspiel von externen und unternehmensinternen Akteuren als größte Schadensquelle. Eine Entwicklung, die auch international beobachtet wird, bestätigt Herbert Gspan, Head of Marketing and Sales der Acredia Versicherung. „Vor ca. 15 Jahren hatte nur rund ein Fünftel der kriminellen Handlungen seinen Ursprung außerhalb des Unternehmens, heute halten sich die externen und die internen Angriffe bereits in etwa die Waage.“ 

Finanzielle Probleme als Auslöser. 

Der gewissermaßen klassische Fall bei einem Innentäter sieht in etwa wie folgt aus: Ein Mitarbeiter hat finanzielle Probleme, etwa durch Spielschulden oder mit einem Immobilienkredit. Unter den Alternativen, eine Bank zu überfallen oder in der eigenen Firma etwas (oft „nur vorübergehend“) abzuzweigen, wählt er die letztere Variante. „Mittlere Führungsebene, möglichst lange im Unternehmen, eine Person, der vertraut wird“, ist laut Gspan ein gängiges Täterprofil. „So kann am meisten Schaden entstehen, denn solche Innentäter können ihre Machenschaften oft sehr lange kaschieren.“ Wenn zum Beispiel jemand nie länger als einige Tage am Stück Urlaub macht, kann das verdächtig sein.

Digitalisierung als Schlupfloch?

Für Malversationen von außen wurden Unternehmen insbesondere durch die intensivere Digitalisierung verwundbar. Externe Betrüger nutzen Social-Media-Plattformen, Dienstleistungsportale und E-Commerce, als Schlupfloch. Laut der PwC-Studie waren in den vergangenen zwei Jahren 40 % der von Wirtschaftskriminalität weltweit betroffenen Organisationen Opfer von derartigem Betrug. Weiters zeigt eine von KPMG beauftragte Studie „Cybersecurity in Österreich 2023“ eine Verdreifachung der Cyberattacken (+ 201 %). Und sämtliche der rund 900 befragten Unternehmen, dass sie schon mindestens einmal Opfer dieser Attacken (Phishing-Mails, Scam-Calls, Besteller-Betrug, Fake-President-Fälle etc.) waren, wovon 12 % erfolgreich waren. „Die Schäden können enorm sein, beinahe jedes siebte Unternehmen musste aufgrund eines Ransomware-Angriffs Betriebsunterbrechungen von mehr als vier Wochen in Kauf nehmen, ein Drittel von rund einer Woche. Das kann eine klare Existenzbedrohung darstellen“, so KPMG-Partner Andreas Tomek.

"Enkeltrick" der Kriminellen.

Bei Lieferantenbetrug zum Beispiel liege der Schaden meist zwischen 50.000 und 300.000 Euro, weil bei Erstlieferungen selten mehr verkauft wird, zudem ist die (mangelnde) rasche Verkaufbarkeit der erschlichenen Ware ein oft schadenshemmender Faktor. Fake-President-Fälle (oder CEO Fraud), quasi der „Enkeltrick“ der Wirtschaftskriminellen, sind hingegen wohl jener Modus, bei dem der größte Schaden entstehen kann: Der heimische Flugzeugzulieferer FACC verlor schon 2016 per Fake-President-Betrug rund 43 Millionen Euro. Die Schadensersatzforderungen an zwei verantwortliche Führungskräfte gingen bis zum Obersten Gerichtshof und wurden dort abgelehnt, der entlassene Vorstand habe „seine Sorgfaltspflichten nicht verletzt“. 

„Mit den zunehmenden technischen Entwicklungen haben sich weitere Möglichkeiten aufgetan. Es wird komplexer für das Management“, weiß Gspan, denn Kriminelle profitieren von den rasanten Fortschritten etwa bei Künstlicher Intelligenz (KI). Aktenkundig ist folgender Fall eines deutschen Energieunternehmens: Die Betrüger hatten mithilfe von KI die Stimme des Vorstands imitiert, ließen den vermeintlichen deutschen CEO bei seinem britischen Tochterunternehmen anrufen. Mit der dringenden Bitte, von dort aus sofort eine Überweisung an einen ungarischen Lieferanten durchzuführen. Dies, weil in Deutschland am Freitagnachmittag keine Transaktionen mehr möglich seien, in Großbritannien wegen der Zeitverschiebung (minus eine Stunde) allerdings schon. Dem Briten kam das zwar seltsam vor, doch, wie er später aussagte, hatte er die Stimme des Chefs „eindeutig erkannt“. Das Manöver gelang, 243.000 Dollar landeten via Konto einer ungarischen Bank letztlich unwiederbringlich in Mexiko. 

Groß und Klein betroffen.

Kaum Unterschiede in der Frequenz gibt es bei der Frage, ob Unternehmen gewisser Größen oder Branchen häufger Ziel derartigen Attacken sind. Selbst karitative Organisationen sind betroffen. Kleinere Firmen seien allerdings für Betrügereien aus dem inneren Kreis anfällig. "Ermittlungen sind in einer Organisation, wo jeder jeden kennt, wo der Chef den verdächtigten Mitarbeiter vielleicht persönlich eingestellt hat und sich dessen Fehlverhalten gar nicht vorstellen will, sicher emotional heikler als in multinationalen Konzernen."

Auch mit Checklisten sollte Finanzdelikten begegnet werden. Gspan ist der Meinung, dass nicht nur in der Finanzbranche Hintergrundchecks mit Strafregisterbescheinigung etc. Standard sein sollten. Bezüglich Wirtschaftskriminalität herrsche zu oft die typisch österreichische Einstellung „Uns passiert das nicht“, ähnlich wie im Straßenverkehr: „Das blockiert das Denken. Das Management muss immer das Unangenehme durchspielen.“ Mit gutem Risikomanagement sollte die Haftung des Managements für interne Fälle ausgeschlossen sein.  Nichtsdestotrotz: Diese zumindest unangenehmen und oft existenzbedrohenden Fälle werden künftig noch häufiger auftreten, befürchte Gspan, weil die Wirtschaftslage nicht sehr rosig ist und Belastungen vieler Menschen durch Inflation und Kreditzinsen steigen. 

 

 Aus dem KSV1870 Magazin forum.ksv - Ausgabe 3/2023.