Anruf vom falschen Johannes

Dass er ein Problem hatte, wurde ihm spätestens am Montag klar. Denn da habe sich die gleiche Stimme mit dem typisch deutschen Akzent wieder bei ihm gemeldet, allerdings nicht mehr unter der deutschen, sondern einer österreichischen Nummer, sagt Kragh. Als der Anrufer dann eine weitere Überweisung forderte, wurde sein Gegenüber misstrauisch. „Daraufhin entschied sich der Chef der englischen Tochter, zeitgleich den Konzern-CEO auf seiner eingespeicherten Nummer anzurufen“, so Kragh. Dessen Stimme auf dem zweiten Telefon klang exakt wie die KI-Stimme des Betrügers am anderen Apparat, nur wusste er von der Überweisung nichts. „Am Ende“, sagt Kragh, „waren über 220.000 Euro weg.“

Die Allianz Trade als Vermögensschadensversicherer hat den Fall auf den Namen „Falscher Johannes“ getauft, nach dem Vornamen des CEO. Ein Einzelfall ist er nicht. 2,9 Milliarden Dollar an Schäden bei insgesamt rund 21.500 Unternehmen weltweit sind nach Schätzungen der US-Sicherheitsbehörde FBI allein im Jahr 2024 durch sogenanntes Social Engineering entstanden. Das war ein Plus von sieben Prozent. „Wir beobachten gerade auch 2025 einen weiteren Anstieg bei diesen sogenannten CEO-Frauds oder Fake-President-Fällen im Vergleich zum Vorjahr“, sagt Kragh. „Der Einsatz von KI trägt bei diesen Betrugsfällen sehr zur Glaubwürdigkeit der Täter bei.“ Die Wirtschaftsprüfungsgesellschaft KPMG konstatierte, der Einsatz künstlicher Intelligenz hebe den Betrug „auf eine neue Ebene“. Aufwand und Kosten seien gering, KI werde für Betrüger immer attraktiver. Die Schäden seien enorm.

Alte Masche, neue Tricks

Die Masche als solche ist nicht neu, sie wird nur durch den Einsatz von perfekt mittels KI nachempfundenen Stimmen immer raffinierter. Bereits im Jahr 2016 warnte das Bundeskriminalamt (BKA) vor dem CEO-Fraud, bei dem sich Betrüger als Vorstands- oder Finanzchef ausgeben. Anders als das FBI in den USA erfasst die deutsche Behörde das Ausmaß der Betrugsmasche aber nicht gesondert, die Fälle werden unter Betrugstaten subsumiert. Belastbare polizeiliche Zahlen zu Fällen von CEO-Fraud gibt es daher in Deutschland nicht. Die Tatverdächtigen stammen laut BKA häufig aus organisierten internationalen Gruppen. Oder wie Kragh es formuliert: „Das sind professionelle Banden.“

Die Gangster gehen ökonomisch vor. Angefangen hat es mit großen Unternehmen und ganz ohne KI. Die Summen, die damals gefordert wurden, seien sehr hoch gewesen, erzählen Experten. Der Grund: Der Aufwand für den Nachbau von Stimmen am Computer war früher groß. Das lohnte sich nur bei finanzstarken Firmen. „Dann wurde es kleiner, weil der Aufwand immer geringer wurde“, sagt Kragh. Plötzlich sah die Allianz Trade bei Kunden auch schon vergleichsweise geringe Schäden von 9000 Euro. „In diesem Mai allerdings hatten wir bei einem Kunden einen Schaden im mittleren zweistelligen Millionenbereich.“

Der Ablauf ist meist ähnlich. „Es startet aktuell fast immer mit einer Whatsapp-Nachricht mit passendem Profilbild“, erzählt Kragh weiter. „Da wird fast keiner misstrauisch, außer man hat die Nummer des CEO schon eingespeichert.“ Kurz darauf folge eine E-Mail, später der Anruf des vermeintlichen Vorstands- oder Finanzchefs. Manchmal sollen die Mitarbeiter Papiere unterschreiben, in denen sie sich zum Stillschweigen verpflichten, wie es in professionellen Kaufprozessen üblich ist. Alles wirkt normal. Wenn dann noch der Chef persönlich am Apparat zu sein scheint, wird es schwer, den Betrug zu erkennen. „Dass Dokumente gefälscht werden, dass Korrespondenz gefälscht wird, dass Bilder manipuliert werden, dass die Stimme mit KI nachgebaut wird – das ist längst Realität“, sagt Peter Fischer, Forensiker für Cyber-Verbrechen bei der Beratung FTI Consulting.

Früher waren die Betrugsversuche simpler. Heute dagegen seien die Auftritte professioneller. Die Täter nutzten künstliche Intelligenz, um damit täuschend echte Inhalte zu generieren, sagt Daniel Kreienkamp von der Düsseldorfer Versicherungsgruppe Ergo. Über Erfolg und Misserfolg entscheidet am Ende aber dennoch die Beeinflussbarkeit von Menschen. Mit allen Tricks wird dabei gespielt: Zeitnot, Komplimente, Schmeicheleien – die ganze psychologische Palette. „Die erste Zahlung – vielleicht 200.000 Euro – geht durch, eine zweite folgt“, sagt Kreienkamp. Oft werde es erst danach auffällig.

Die Täter kennen sich aus, wissen über die Abläufe Bescheid. Manchmal sind sie seit Monaten schon in den Computersystemen der betroffenen Firma unterwegs und kennen deren Schwachstellen. Spätestens, wenn scheinbar der Chef am Telefon um eine schnelle Überweisung bittet, kommt es auf den internen Umgang an, auf das Miteinander von Mitarbeitern und Vorgesetzten. „Zeit und inhaltlicher Druck beeinflussen unsere Handlungen“, weiß Kragh. „Die Frage ist, wer traut sich nach einer E-Mail vom Vorstandschef oder gar einem Anruf, noch einmal bei ihm anzurufen und nachzufragen? Das ist eine Frage der Unternehmenskultur.“

Katz- und Maus-Spiel

Mut oder Angst einzelner Mitarbeiter entscheiden dann über große Summen. „Unternehmenskultur heißt auch: Ich darf nachfragen, selbst wenn der Anruf angeblich vom CEO kommt“, sagt Ergo-Mann Kreienkamp. Für die Firmen steht in diesen Momenten viel Geld auf dem Spiel. „Im Schnitt geht es um Beträge im hohen sechs- bis niedrigen siebenstelligen Bereich“, sagt er. Besonders anfällig sind dabei ausländische Tochterfirmen. Räumliche Entfernung erschwert Rückfragen. „Der Bezug zur Konzernmutter lässt sich glaubhaft darstellen – etwa, wenn sich jemand als Finanzchef der Muttergesellschaft ausgibt.“

Häufig müssen die Täter aber nicht den CEO mit Stimme oder gar Video nachahmen. Meist reichen die bekannten Phishing-Mails, um sich Zugang zu den Unternehmensrechnern zu besorgen und am Ende an Geld zu kommen. „Es gibt kaum Phishing-Tests, bei denen die Klickrate unter zwei Prozent liegt“, sagt Fischer von FTI. „Bei tausend Mitarbeitern sind das 20 Zugänge für Angreifer.“ Die durchschnittliche Verweildauer eines Hackers im System liege bei über 200 Tagen. „Das ist, als würde jemand ein halbes Jahr unbemerkt in deinem Keller wohnen, nachdem er durchs offene Kellerfenster eingestiegen ist.“

Der Gesamtverband der Versicherer (GDV) warnt daher: Zwei Drittel der 3,5 Millionen deutschen Unternehmen seien schlecht gegen Cyberattacken geschützt. Nur rund fünf Prozent hätten diese Risiken versichert. GDV-Hauptgeschäftsführer Jörg Asmussen bemängelt fehlenden staatlichen Schutz: „250 öffentliche Stellen beschäftigen sich mit Cybersicherheit – aber keine ist explizit für den Schutz der Wirtschaft zuständig. Das muss sich ändern.“

Am Ende bleibt es ein Katz- und Maus-Spiel. Wenn die Mitarbeiter geschult werden und die Sicherheitstechnik aufgerüstet wird, legen auch die Gangster nach. „In einem der spektakulärsten Fälle bekam ein Mitarbeiter in der Buchhaltung erst eine typische Fake-President-E-Mail“, erzählt Kragh. „Kurz danach meldete sich auf seinem Telefon jemand mit der Nummer der IT-Abteilung und behauptete, man habe die Sache schon gesehen und gehe ihr nach. Man habe auch die Polizei eingeschaltet.“ Um die Betrüger auszutricksen, sollte man zum Schein auf den Betrugsversuch eingehen und Geld überweisen, damit die Polizei einen Straftatbestand habe. Das Geld sei sicher, die Überweisung werde sofort eingefroren. „Der Mitarbeiter“, so Kragh, „war beruhigt, tätigte die Zahlung – das Geld war natürlich weg.“