Ein verbreiteter Trick, sei die sogenannte Chef-Masche, die im Jargon der Branche auch als CEO-Fraud bezeichnet wird. Die Abkürzung CEO leitet sich aus dem Englischen ab und steht für Chief Executive Officer, also Geschäftsführer. Fraud bedeutet übersetzt Täuschung.

Der Schwindel sei nicht eben einfach zu organisieren und bedürfe einiger Vorbereitungen durch die Täter, erklärt das Bundeskriminalamt (BKA). Die Cyberkriminellen müssten zunächst Informationen über das Unternehmen und dessen Mitarbeiter zusammentragen. Diese fänden die Betrüger in der Regel auf Webseiten, Werbebroschüren oder Profilen von Mitarbeitern in sozialen Netzwerken. So gelangten sie an Insiderwissen über das Unternehmen. Vor allem die Daten der Angestellten und Informationen zu künftigen Investitionen oder Projekten seien für die Täter von großem Interesse.

Um ans große Geld zu kommen, spähen die Betrüger vor allem Mitarbeiter aus, die in der Finanzabteilung arbeiten und somit überweisungsberechtig sind. Die Täter geben sich laut BKA am Telefon oder per E-Mail als leitende Angestellte, der Geschäftsführer oder Handelspartner aus und fordern die Mitarbeiter auf, Geld auf Konten im Ausland zu überweisen, das zum Beispiel für Geschäftsübernahmen gebraucht werde. Dabei drücken sie gewaltig aufs Tempo. Der vermeintliche Vorgesetzte weise den Betroffenen oft außerdem an, kein Wort über die Transaktion zu verlieren, da es sich um ein geheimes Projekt handele. Auf diese Weise sei es Online-Kriminellen gelungen, Beträge zum Teil in zweistelliger Millionenhöhe zu erbeuten.

Glück im Unglück hatte der Buchhalter einer Firma in Kaiserslautern. Wie das Polizeipräsidium Westpfalz mitteilt, erreichte ihn im Februar eine gefälschte Mail, die scheinbar von seinem Chef kam. In dieser wurde der Buchhalter aufgefordert eine fünfstellige Summe auf ein britisches Konto zu überweisen. Doch der Mitarbeiter erkannte den Betrugsversuch und meldete ihn der Geschäftsführung und der Polizei.

So glimpflich kam eine Münchner Bäckereikette nicht davon. 2015 erhielt die Buchhalterin des Unternehmens eine Nachricht ihres Chefs, wie das Computermagazin c’t berichtet. Fast zwei Millionen Euro sollte die Buchhalterin auf ein Konto in Hongkong überweisen und auf keinen Fall mit jemandem darüber sprechen. Rückfragen zu diesem Transfer habe sich der vermeintliche Chef ausdrücklich verboten. Die Buchhalterin. Der Täter hatte der Buchhalterin eine Faksimile-Unterschrift per Email geschickt. Das Opfer erkannte die Fälschung nicht und sendete die Überweisung per Fax an die Bank der Bäckerei.

Auch eine Mitarbeiterin eines Unternehmens in Iserlohn fiel auf einen Betrugsversuch rein. Anfang April erhielt sie eine Email ihres Chefs, der seine Angestellte aufforderte, eine fünfstellige Summe zu überweisen. Erst nach der Transaktion wurde die Mitarbeiterin skeptisch und wandte sich an die Polizei.

Um Onlinekriminelle auszubremsen, müssen Unternehmen Vorkehrungen treffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, Mitarbeiter – vor allem mit Kontovollmacht – für Risiken der Digitalisierung zu sensibilisieren und zu schulen. Auch sei es wichtig, darauf zu achten, was das Unternehmen über seine Angestellten öffentlich publiziere. Ein Buchhalter, der über seine Position und seinen Arbeitgeber in einem sozialen Netzwerk plaudere, werde eher zum Opfer der Betrüger als ein Mitarbeiter in der Produktion, der keinen Zugriff auf Firmenkonten hat.

Unternehmen seien gut beraten, ihre Kontaktdaten auf eine allgemeine Adresse zu beschränken, denn Kriminelle arbeiteten häufig mit gefälschten E-Mailadressen, die ihrem Vorbild täuschend ähnlich sähen. Daher mahnt das BSI zur Vorsicht, wenn ungewöhnliche Nachrichten im Postfach landen. Absender und Inhalt der E-Mails sollten überprüft werden, indem der Empfänger den vermeintlichen Absender anruft. Bei Kontrollanrufen dürfe nicht die Telefonnummer oder E-Mailadresse aus der potenziellen Betrugsnachricht verwendet werden, sondern Kontaktdaten des internen Telefonbuchs des Unternehmens, mahnt das Landeskriminalamt (LKA) Rheinland-Pfalz. Adressen und Nachrichten müssten immer auf korrekte Schreibweise kontrolliert werden. Teilweise unterscheide sich eine E-Mailadresse nur durch einen fehlenden Punkt.

Ungewöhnliche Zahlungsaufforderungen müssen vor der Ausführung immer überprüft werden. Auch durch Zeitdruck, den die Täter häufig ausüben, sollten sich Mitarbeiter nicht beirren lassen, sondern die Geschäftsleitung informieren, mahnt das BSI. Weitere Kontrollmechanismen könnten betrügerische Transaktionen enttarnen. Beispielsweise könne ein festgelegter Arbeitsablauf bei entsprechenden Zahlungsaufforderungen, der nur intern bekannt ist, eingeführt werden, empfiehlt das LKA Rheinland-Pfalz.