Der erschreckende Erfolg der Täter habe damit zu tun, „wie Unternehmen heute arbeiten“, sagte BKA-Vize Henzler. Einerseits ist ihr Geschäft komplex geworden – so überschreiten Käufe, Lieferungen und Zahlungen häufig die Grenzen von Ländern und Konzerngesellschaften. Die E-Mail ist darüber das wichtigste Kommunikationsmittel geworden. Andererseits geben sie so viele Informationen wie nie über sich preis, ob in digitalen Registern oder den sozialen Medien.
Die Täter könnten daher Unternehmen und ihre Chefs leicht auskundschaften, erläuterte Henzler. Mit diesem Wissen kontaktieren sie meist Mitarbeiter in der Buchhaltung oder Finanzabteilung – wer der richtige ist, ist über Karrierenetzwerke wie Xing und LinkedIn ebenfalls leicht herauszufinden. Diesen werde „sehr plausibel vorgetäuscht, dass ausgerechnet sie das vollständige Vertrauen des CEO besitzen und in eine Sache eingeweiht werden, die das Vertrauen erfordert.“
Dabei beweisen die Kriminellen einiges Geschick. Einerseits in Sachen Psychologie: Ermittler und Sicherheitsexperten berichten von E-Mails, die an die Eitelkeit der Empfänger appellieren oder Druck aufbauen. Wer will schon widersprechen, wenn sich der Chef mit einem Spezialauftrag meldet? Andererseits sind die Betrüger technisch versiert. In E-Mails können sie den Absender fingieren, bei Anrufen die Telefonnummer.
Das BKA hat eine Aufklärungskampagne gestartet. Die Behörde empfiehlt mehrere Grundsätze, um CEO Fraud zu verhindern. Der wohl wichtigste Schutz: die Mitarbeiter sensibilisieren. Denn nach einer Studie der Wirtschaftsprüfungsgesellschaft KPMG ist die Betrugsmasche in 60 Prozent der Firmen nicht bekannt. Entsprechend unsicher gehen Buchhalter und Finanzexperten häufig mit ungewöhnlichen Zahlungsaufforderungen um.
Die Bundespolizei rät außerdem zu mehr Zurückhaltung bei der Veröffentlichung von internen Informationen. Transparenz sei zwar wichtig, biete aber eben auch Angriffsflächen, sagte Henzler. Auch genaue Vorschriften für ungewöhnliche Transaktionen können Schäden verhindern, etwa die Verifizierung von Zahlungsaufforderungen beim Geschäftspartner oder eine Kontaktaufnahme mit dem Chef.