Gefälschte Zahlungsanweisungen und Business Email Compromise (BEC) verursachen Milliardenverluste. Für Investoren sind sie ein Indikator für Governance, interne Kontrollen und den Umgang mit Cyber- und Betrugsrisiken.
Betrugsfälle rund um gefälschte Zahlungsanweisungen wirken auf den ersten Blick banal. Eine Nachricht kommt scheinbar vom Geschäftsführer, von der Buchhaltung oder von einem bekannten Lieferanten. Wenig später wird eine "dringende" Rechnung auf ein neues Konto überwiesen. Der Schaden ist jedoch alles andere als klein. Im aktuellen Internet Crime Report 2024 des FBI summieren sich die gemeldeten Verluste durch Business Email Compromise (BEC) auf rund 2,77 Milliarden US-Dollar - allein für dieses Deliktfeld.
Für Unternehmen bedeutet das: Liquidität kann unmittelbar abfließen. Zusätzlich entstehen Kosten durch interne Untersuchungen, Rechtsberatung, Rückabwicklung und mögliche Versicherungsstreitigkeiten. Für Investoren sind solche Vorfälle ein Hinweis auf Schwächen in internen Kontrollen und Governance, die sich mittelbar auf Marge, Cashflow und Risikoprämien auswirken können.
So funktionieren CEO-Fraud und Rechnungsmanipulation
Social-Engineering-Angriffe zielen weniger auf Firewalls als auf Routine und Zeitdruck. Typisch sind täuschend echte Absendernamen, leicht abgewandelte Domains, kompromittierte Lieferantenpostfächer oder Ketten von glaubwürdigen E-Mails. Die europäische Cyberagentur ENISA beschreibt Social Engineering als Manipulation menschlichen Verhaltens, bei der Phishing, Pretexting und auch Business-E-Mail-Compromise zentrale Rollen spielen.
Rein technische Maßnahmen reichen oft nicht, weil die "Entscheidung" am Ende in der Fachabteilung fällt. Ein wirksamer Hebel ist deshalb die systematische Sensibilisierung von Mitarbeitenden, etwa über strukturierte Schulungen und Phishing-Simulationen. Als konkretes Beispiel für einen solchen Baustein lassen sich Security-Awareness-Trainings nennen, die typische Angriffsmuster erklären und das Meldeverhalten trainieren.
Warum der Kapitalmarkt bei Cyber- und Betrugsrisiken genauer hinschaut
BEC ist selten nur ein Einzelfehler. Häufig zeigt ein Fall, dass Kontrollmechanismen fehlen oder umgangen werden konnten: unklare Freigabegrenzen, keine unabhängige Verifikation von Kontodaten oder zu breite Zugriffsrechte auf E-Mail-Postfächer. Gleichzeitig steigt die Wahrscheinlichkeit, dass ein Vorfall weitere Kosten nach sich zieht, etwa durch Nacharbeiten in der Lieferkette oder durch Folgeangriffe.
In der Finanzbranche und bei finanznahen Dienstleistungen sieht ENISA Social Engineering ausdrücklich als relevante Bedrohung und verweist darauf, dass Phishing-Kampagnen und Identitätsmissbrauch häufig direkt auf finanziellen Verlust und Betrug einzahlen.
Auch für den deutschen Markt bleibt das Thema präsent: Das BSI ordnet Phishing weiterhin als eine der Top-Bedrohungen im digitalen Raum ein und betont die anhaltende Relevanz entsprechender Maschen.
Für Investoren ist die entscheidende Frage weniger, ob Angriffe passieren, sondern wie robust ein Unternehmen darauf vorbereitet ist: Prävention, Erkennung, Reaktion und saubere Nachsteuerung.
Prävention, die in der Praxis funktioniert
Technische Schutzmaßnahmen sind wichtig, aber für den Kapitalmarkt zählt vor allem, ob ein Unternehmen nachweisbar interne Kontrollen und Governance etabliert hat. Hintergrund ist, dass Sicherheitsvorfälle und Betrugsfälle regelmäßig zu kurzfristigen Kursreaktionen führen können.
Studien mit Event-Study-Ansatz finden im Durchschnitt negative abnormal returns nach bekannt gewordenen Vorfällen, auch wenn die Höhe je nach Branche, Vorfalltyp und Zeitraum variiert. Eine Arbeit im Journal of Financial Issues berichtet beispielsweise im Mittel einen Kursabschlag von rund 0,37% bei Datenpannen im untersuchten Sample. Weitere Untersuchungen kommen ebenfalls zu negativen kumulativen abnormalen Renditen um den Bekanntgabezeitpunkt.
Entsprechend rücken in Analysten- und Investorengesprächen weniger Detailfragen zur IT in den Vordergrund, sondern indikatorbasierte Signale, die auf robuste Kontrollen schließen lassen. Dazu gehören:
- nachvollziehbare Zahlungs- und Freigabeprozesse (Vier-Augen-Prinzip, Limits, Verifikation von Kontodaten)
- klare Zuständigkeiten für Cyber- und Fraud-Risiken auf Managementebene
- regelmäßige Auditierbarkeit.
ENISA verweist im Finanzsektor-Kontext darauf, dass datenbezogene Bedrohungen häufig mit Social Engineering und Business Email Compromise verknüpft sind, was Governance und Prozesskontrollen besonders relevant macht.
Folgekosten können ungeahnte Ausmaße annehmen
Wichtig ist auch die erwartbare Größenordnung möglicher Folgekosten. Der IBM Cost of a Data Breach Report 2024 nennt einen globalen Durchschnittsschaden von 4,88 Mio. US-Dollar pro Datenpanne (durchschnittlich, je nach Fall stark abweichend). Selbst wenn BEC-Fälle nicht immer als "klassische" Datenpanne auftreten, ordnet IBM Business Email Compromise, Phishing und Social Engineering als relevante Angriffsvektoren mit potenziell hohen Kosten ein. Für Investoren sind das keine IT-Kennzahlen, sondern Input für Annahmen zu Sonderkosten, operativer Störung und Reputationsrisiko.
Fazit: Ganzheitliche Cyber Security wird immer wichtiger
Rechnungsbetrug und CEO-Fraud sind keine Randnotiz der IT, sondern ein betriebswirtschaftliches Risiko mit direkter Cashflow-Wirkung. Die Milliardenverluste, die im IC3-Report für BEC ausgewiesen werden, zeigen die Größenordnung. Gleichzeitig wirkt Social Engineering über den menschlichen Faktor und deshalb müssen Prozesse, Technik und Training zusammen gedacht werden.
Abbildung: Social Engineering wird zu einem immer größeren Problem. Auch Anleger schauen immer genauer hin, wie Unternehmen damit umgehen. Bildquelle: @ Expressa Digital / Unsplash.com
Enthaltene Werte: DE0009653386
Die hier angebotenen Beiträge dienen ausschließlich der Information und stellen keine Kauf- bzw. Verkaufsempfehlungen dar. Sie sind weder explizit noch implizit als Zusicherung einer bestimmten Kursentwicklung der genannten Finanzinstrumente oder als Handlungsaufforderung zu verstehen. Der Erwerb von Wertpapieren birgt Risiken, die zum Totalverlust des eingesetzten Kapitals führen können. Die Informationen ersetzen keine, auf die individuellen Bedürfnisse ausgerichtete, fachkundige Anlageberatung. Eine Haftung oder Garantie für die Aktualität, Richtigkeit, Angemessenheit und Vollständigkeit der zur Verfügung gestellten Informationen sowie für Vermögensschäden wird weder ausdrücklich noch stillschweigend übernommen. ABC New Media hat auf die veröffentlichten Inhalte keinerlei Einfluss und vor Veröffentlichung der Beiträge keine Kenntnis über Inhalt und Gegenstand dieser. Die Veröffentlichung der namentlich gekennzeichneten Beiträge erfolgt eigenverantwortlich durch Autoren wie z.B. Gastkommentatoren, Nachrichtenagenturen, Unternehmen. Infolgedessen können die Inhalte der Beiträge auch nicht von Anlageinteressen von ABC New Media und / oder seinen Mitarbeitern oder Organen bestimmt sein. Die Gastkommentatoren, Nachrichtenagenturen, Unternehmen gehören nicht der Redaktion von ABC New Media an. Ihre Meinungen spiegeln nicht notwendigerweise die Meinungen und Auffassungen von ABC New Media und deren Mitarbeiter wider. (Ausführlicher Disclaimer)
