Silvia Allegrezza ist Professorin für Strafrecht und leitet den Masterstudiengang Europäisches Wirtschafts- und Finanzstrafrecht an der Universität Luxemburg. Ihr Schwerpunkt sind Verfahrensgarantien, Bankvorschriften und damit verbundene Straftaten. Grazia Bruzzese ist Doktorandin für Investmentfonds an der Uni.lu. Die Ermittlungen zum jüngsten Caritas-Skandal wollen die beiden nicht kommentieren – wohl aber über die allgemeinen Mechanismen hinter Betrugsmaschen wie dem Präsidentenbetrug aufklären. 

Tageblatt: Im Juli kam ans Licht, dass die Caritas über Wochen um insgesamt 61 Millionen Euro betrogen wurde. Ist solch eine Summe in der Finanzkriminalität Alltag?

Silvia Allegrezza: Finanzkriminalität ist ein sehr weiter Begriff, sie besteht aus verschiedenen unterschiedlichen kriminellen Verhaltensweisen. Je nach Art des Verbrechens gibt es unterschiedliche Größenordnungen, was das Geld angeht. In Belgien gab es vor einigen Jahren einen Fall von Präsidentenbetrug, bei dem der Crelan Bank 70 Millionen Euro gestohlen wurden. Das ist also mehr oder weniger in derselben Größenordnung.

Grazia Bruzzese: Wenn es um Betrug geht, ist man mit großen Summen konfrontiert. Niemand würde einen Betrug begehen, um 500 Euro zu stehlen. Wir reden für gewöhnlich über Tausende Euro, wenn nicht Millionen. Die genaue Summe hängt von der Art des Verbrechens ab.

Sie haben den Präsidentenbetrug erwähnt. Was genau ist das?

Allegrezza: Das ist ein Begriff, der allgemein im größeren Feld der Finanzkriminalität verwendet wird und speziell im Bereich des Unternehmensbetrugs. Im Englischen trägt er weitere Namen wie „CEO fraud“ oder „Business email compromise fraud“, kurz „BEC fraud“, wenn es um die Geschäftsführung geht. Dieser Betrug hat verschiedene Stufen. Er beginnt immer mit etwas, das sich betrügerisches „Social engineering“ nennt. Das bedeutet, dass der Kriminelle sich die innere Struktur, das Management, das Geschäftsmodell einer Organisation anschaut, um Informationen darüber zu bekommen, wie die Dinge dort funktionieren. Ganz besonders, was das Organigramm anbelangt, welche Personen in welchen Positionen sind. Es kann sich dabei um verschiedene Positionen handeln. Wenn wir von der Geschäftsführung sprechen, nennen wir das „CEO fraud“. Aber die Kriminellen schauen sich auch die Finanzabteilung an, die Buchhaltung. Weil das die Abteilungen sind, die für gewöhnlich verantwortlich sind für Bezahlungen und Banküberweisungen.

Das bedeutet, dass man für einen Präsidentenbetrug Insider-Informationen braucht?

Allegrezza: Man braucht immer Informationen aus dem Inneren einer Organisation. Wenn es um „CEO fraud“ geht, bezieht sich der „fake account“ auf die Geschäftsführung, sehr oft auf die E-Mailadresse des CEO. Aber man kann ein Unternehmen auch auf andere Weise hacken. E-Mails sind nur eine mögliche Option. In Hongkong gab es einen Fall, bei dem mittels KI die Stimme des CEO imitiert wurde. Die Finanzabteilung hatte ein ganzes Teams-Meeting mit einem falschen, von KI geschaffenen CEO.

Wie läuft so ein Präsidentenbetrug für gewöhnlich ab?

Allegrezza: Schritt eins: Man muss verstehen, wie das Unternehmen funktioniert und wie genau die Befehlskette im Unternehmen aussieht, um die Schwachstellen herauszufinden. Das Ziel muss festgelegt werden. Wer soll den falschen Auftrag geben? Wer empfangen? Jeder Betrug, der darauf basiert, die Kommunikation innerhalb eines Unternehmens zu ändern, ist auch ein Bruch mit der internen Vertraulichkeit. Denn um an diese Informationen zu kommen, muss man Nachforschungen im Unternehmen machen. Der zweite Schritt ist der falsche Auftrag. Meistens eine Aufforderung, Geld zu überweisen. Dieser falsche Auftrag kann zum Beispiel über Telefon kommen. Früher wurden „CEO frauds“ meist übers Telefon gemacht: Man ruft die Buchhaltung an, sagt ihnen, sie sollen Geld auf ein bestimmtes Konto überweisen, weil man gerade selbst am Flughafen oder im Zug sei und keinen Zugriff auf das Internet habe. Solange Technologie uns noch nicht erlaubt hat, E-Mails überall und jederzeit zu nutzen, lief das häufig so.

Technologie spielt also eine große Rolle beim Betrug?

Allegrezza: Finanzkriminalität und Betrug entwickeln sich zusammen mit Technologie weiter. Es wird immer mehr Wege für eine potenzielle Fälschung geben. Telefon, Briefe, E-Mails und jetzt KI. Was wir in den kommenden Jahren sehen werden: Mit KI kann man eine Identität auf allen Ebenen fälschen – auch mithilfe öffentlich zugänglicher Daten. Man kann ein Bild fälschen, die Stimme, den Stil, den Akzent – selbst die ganz spezifische Terminologie bestimmter Kommunikation.

Gibt es einen Zuwachs dieser Betrugsfälle?

Allegrezza: Die Zahl scheint mehr oder weniger zu wachsen. Als sich Anfang der 2000er die E-Mail als das gebräuchlichste Kommunikationsmittel durchsetzte, war ein Zuwachs zu verzeichnen. Der Gesamtwert aller betrügerischen Transaktionen belief sich laut des aktuellen Berichts der Europäischen Zentralbank und der Europäischen Bankenaufsichtsbehörde im europäischen Wirtschaftsraum im Jahr 2022 auf 4,3 Milliarden Euro und im ersten Halbjahr 2023 auf zwei Milliarden Euro.

Wie geht es weiter beim Präsidentenbetrug?

Allegrezza: Der dritte Schritt ist die Ausführung der falschen Anweisung. Es ist ein Prozess, es ist nicht nur eine Handlung. Präsidentenbetrug ist eine komplexe Operation, die eine bestimmte Vorbereitung braucht. Social Engineering braucht Zeit. Und mehr und mehr die Fähigkeit, mit neuen Technologien umzugehen.

Es ist also nicht wahrscheinlich, dass Präsidentenbetrug von nur einer einzigen Person begangen wird?

Allegrezza: Alles ist möglich. Es gibt viele Fälle, in denen nur eine Person dahintersteckt.

Bruzzese: Mithilfe der neuen Technologien ist es nicht so schwer, das als Einzelperson zu schaffen. Besonders, wenn es ums Datensammeln geht. Es ist einfach geworden, eine Zielperson z.B. über Social Media zu stalken. Dann weiß man schon, was ihre Gewohnheiten sind, was sie zu einem bestimmten Zeitpunkt tut, sogar wann sie in Urlaub ist. Man bekommt ein Gefühl für die Person. Es wird leichter, sie nachzuahmen.

Allegrezza: Ich möchte noch einmal den Einfluss von Technologie betonen. Es gibt zwei Seiten. Wir reden über ein wachsendes Risiko, durch Technologie von Kriminellen infiltriert zu werden. Man muss aber auch sehen, dass Technologie schützen kann.

Solch eine Nachahmung einer Person aufrechtzuerhalten, klingt nach einer zeitintensiven Sache. Ein Präsidentenbetrug muss schnell gehen, oder? Es gibt ja jederzeit das Risiko, aufzufliegen?

Allegrezza: Ein gemeinsames Merkmal dieser Betrugsart ist Zeitdruck. Für den Kriminellen, der den CEO mimt, ist es in diesem Fall üblich, Druck auf die Angestellten auszuüben, indem er anweist, dass diese Überweisung sofort gemacht werden muss. Die Zielperson kann dann nicht nachprüfen, ob die Information korrekt ist.

Kennen Sie viele Fälle, in denen solch ein Präsidentenbetrug über Wochen läuft?

Allegrezza: Statistisch gesehen sind „CEO frauds“ häufiger in kurzer Zeit ausgereizt.

Nehmen wir an, der Betrug war erfolgreich. Was lief falsch?

Allegrezza: Der Personalfaktor ist immer das erste, was falsch läuft. Der erste Schritt, um solche Betrugsmaschen zu verhindern, ist in Bildung zu investieren. Unternehmen müssen ihre Angestellten über Dinge informieren und weiterbilden, die sie in Alarmbereitschaft versetzen sollten: ein anderer Akzent, Rechtschreibfehler, Übersetzungsfehler. Dinge, die anders klingen, als sie sonst klingen. Trotz verschiedener universitärer und außeruniversitärer Kurse zum Thema Compliance bleibt das ein Feld, in dem die Nachfrage sehr viel höher ist als das Angebot. Bildung ist der Dreh- und Angelpunkt.

Bruzzese: Einen Präsidentenbetrug muss man sich als eine Kette von Handlungen vorstellen. Es beginnt mit der Organisation, dann geht es am häufigsten weiter zu Banken, wenn es um Banküberweisungen geht. Es ist schwer zu sagen, wo die alleinige Verantwortung liegt. Eine Handlung folgt auf die nächste.

Die Banken haben eine Sorgfaltspflicht, auch sie prüfen Überweisungen und melden gegebenenfalls mögliche verdächtige Zahlungen. Wie kann ein Betrug da unbemerkt bleiben?

Bruzzese: Es ist zu bedenken, dass verdächtige Transaktionen meist dadurch aufgedeckt werden, dass man sie mit den normalen Transaktionen eines Kunden vergleicht. Wenn es um gewöhnliche vs. verdächtige Zahlungsaktivitäten geht, ist es für die Banken viel leichter das Profil einer Privatperson zu erstellen als das einer Organisation. Bei Unternehmen haben Sie nicht so einfache und gewöhnliche Transaktionen wie bei Privatleuten.

Allegrezza: Besonders bei vielseitigen Organisationen: Wenn Sie nicht nur ein einziges Produkt produzieren, sondern involviert sind in viele unterschiedliche Aktivitäten auf der ganzen Welt. Die Schwächen des Finanzsystems, der Banken im Speziellen, sind bekannt und es ist eine ewige Baustelle innerhalb der EU, mehr Sicherheit für Transaktionen zu gewährleisten. Es ist eine nie endende Anstrengung. Vor allem, weil rein nationale Finanztransaktionen immer seltener werden. Aktuell gibt es eine hohe Durchlässigkeit für mögliche Infiltrationen, aufgrund der Globalisierung und neuer Technologie.

Sehen wir den Präsidentenbetrug vom anderen Ende: Ich bin der Kriminelle, mein Betrug war erfolgreich, die Millionen liegen jetzt auf meinem Konto. Was mache ich dann?

Allegrezza: Wenn man vergangene Fälle betrachtet, scheint es sehr oft so zu sein, dass Verbrecher das Geld in ein nicht-europäisches Drittland überweisen, in dem sie ein Bankkonto haben. Wenn diese Überweisung unentdeckt bleibt, dann haben sie ihr Geld an einem mehr oder weniger sicheren Ort.

So leicht? Einfach nur unbemerkt aus der EU raus?

Allegrezza: Außerhalb der EU wird es prinzipiell einfacher für Kriminelle, weil es weniger Kräfte gibt, die ein potenzielles Einfrieren ihres Kontos koordinieren können. Falls die Strafverfolger – nachdem das Verbrechen gemeldet wurde – in der Lage sind, das Bankkonto zu identifizieren, auf dem die betrügerischen Einnahmen noch immer liegen, können sie sofort das Konto einfrieren lassen. Innerhalb der EU gibt es seit 2018 eine spezielle Regulierung, die erlaubt, dass die Anordnung eines nationalen Staatsanwalts eines EU-Mitgliedstaates sofort im Zuständigkeitsbereich eines anderen Mitgliedstaates umgesetzt werden kann. Außerhalb der EU müssen die Strafverfolgungsbehörden den Weg über internationale Rechtshilfeersuche gehen, um die Anordnung zur Einfrierung durchzubringen. Das ist nicht unmöglich, aber braucht mehr Zeit.

Auf welchem Weg lassen Kriminelle das Geld am Ende verschwinden? Einfach ausbezahlen geht wohl nicht.

Allegrezza: Die Folgen und Ergebnisse krimineller Handlungen hängen stark von dem Kriminellen und seinem Geschäftsfeld ab. Bargeld wird immer schwerer, besonders in der EU. Geldwäsche ist schwer vorherzusehen. Wenn man im Bankensystem bleibt, ist es potenziell einfacher, das Geld zurückzuverfolgen. Es gibt auch Fälle, in denen Kriminelle in Krypto investierten oder in andere virtuelle Güter wie NFTs, aber auch in Kunst oder Diamanten. Außerdem gibt es Fälle, in denen Kriminelle in den illegalen Markt wechselten und z.B. Drogen kauften. Die Möglichkeiten mit illegalen Einnahmen sind so vielfältig wie das Leben.

• Über
• Letzte Artikel

No Author

Letzte Artikel von No Author (Alle anzeigen)

• Clowns, Wahnsinn – und großer Sport: Die Formel 1 zurück in Las Vegas - 21. November 2024.
• Bauernhofpädagogik: Projekt „Landwirtschaft erliewen“ führt Schüler in den Alltag der Landwirte ein - 21. November 2024.
• Angebote für jeden: Diese Sportarten konnte man beim „Paralympic Day“ entdecken - 21. November 2024.