Rechnungsbetrug & CEO-Fraud: Wenn Social Engineering zur Bilanzposition wird

Gefälschte Zahlungsanweisungen und Business Email Compromise (BEC) verursachen Milliardenverluste. Für Investoren sind sie ein Indikator für Governance, interne Kontrollen und den Umgang mit Cyber- und Betrugsrisiken.

Betrugsfälle rund um gefälschte Zahlungsanweisungen wirken auf den ersten Blick banal. Eine Nachricht kommt scheinbar vom Geschäftsführer, von der Buchhaltung oder von einem bekannten Lieferanten. Wenig später wird eine "dringende" Rechnung auf ein neues Konto überwiesen. Der Schaden ist jedoch alles andere als klein. Im aktuellen Internet Crime Report 2024 des FBI summieren sich die gemeldeten Verluste durch Business Email Compromise (BEC) auf rund 2,77 Milliarden US-Dollar - allein für dieses Deliktfeld.

Für Unternehmen bedeutet das: Liquidität kann unmittelbar abfließen. Zusätzlich entstehen Kosten durch interne Untersuchungen, Rechtsberatung, Rückabwicklung und mögliche Versicherungsstreitigkeiten. Für Investoren sind solche Vorfälle ein Hinweis auf Schwächen in internen Kontrollen und Governance, die sich mittelbar auf Marge, Cashflow und Risikoprämien auswirken können.

So funktionieren CEO-Fraud und Rechnungsmanipulation

Social-Engineering-Angriffe zielen weniger auf Firewalls als auf Routine und Zeitdruck. Typisch sind täuschend echte Absendernamen, leicht abgewandelte Domains, kompromittierte Lieferantenpostfächer oder Ketten von glaubwürdigen E-Mails. Die europäische Cyberagentur ENISA beschreibt Social Engineering als Manipulation menschlichen Verhaltens, bei der Phishing, Pretexting und auch Business-E-Mail-Compromise zentrale Rollen spielen.

Rein technische Maßnahmen reichen oft nicht, weil die "Entscheidung" am Ende in der Fachabteilung fällt. Ein wirksamer Hebel ist deshalb die systematische Sensibilisierung von Mitarbeitenden, etwa über strukturierte Schulungen und Phishing-Simulationen. Als konkretes Beispiel für einen solchen Baustein lassen sich Security-Awareness-Trainings nennen, die typische Angriffsmuster erklären und das Meldeverhalten trainieren.

Warum der Kapitalmarkt bei Cyber- und Betrugsrisiken genauer hinschaut

BEC ist selten nur ein Einzelfehler. Häufig zeigt ein Fall, dass Kontrollmechanismen fehlen oder umgangen werden konnten: unklare Freigabegrenzen, keine unabhängige Verifikation von Kontodaten oder zu breite Zugriffsrechte auf E-Mail-Postfächer. Gleichzeitig steigt die Wahrscheinlichkeit, dass ein Vorfall weitere Kosten nach sich zieht, etwa durch Nacharbeiten in der Lieferkette oder durch Folgeangriffe.

In der Finanzbranche und bei finanznahen Dienstleistungen sieht ENISA Social Engineering ausdrücklich als relevante Bedrohung und verweist darauf, dass Phishing-Kampagnen und Identitätsmissbrauch häufig direkt auf finanziellen Verlust und Betrug einzahlen.

Auch für den deutschen Markt bleibt das Thema präsent: Das BSI ordnet Phishing weiterhin als eine der Top-Bedrohungen im digitalen Raum ein und betont die anhaltende Relevanz entsprechender Maschen.

Für Investoren ist die entscheidende Frage weniger, ob Angriffe passieren, sondern wie robust ein Unternehmen darauf vorbereitet ist: Prävention, Erkennung, Reaktion und saubere Nachsteuerung.

Prävention, die in der Praxis funktioniert

Technische Schutzmaßnahmen sind wichtig, aber für den Kapitalmarkt zählt vor allem, ob ein Unternehmen nachweisbar interne Kontrollen und Governance etabliert hat. Hintergrund ist, dass Sicherheitsvorfälle und Betrugsfälle regelmäßig zu kurzfristigen Kursreaktionen führen können.

Studien mit Event-Study-Ansatz finden im Durchschnitt negative abnormal returns nach bekannt gewordenen Vorfällen, auch wenn die Höhe je nach Branche, Vorfalltyp und Zeitraum variiert. Eine Arbeit im Journal of Financial Issues berichtet beispielsweise im Mittel einen Kursabschlag von rund 0,37% bei Datenpannen im untersuchten Sample. Weitere Untersuchungen kommen ebenfalls zu negativen kumulativen abnormalen Renditen um den Bekanntgabezeitpunkt.

Entsprechend rücken in Analysten- und Investorengesprächen weniger Detailfragen zur IT in den Vordergrund, sondern indikatorbasierte Signale, die auf robuste Kontrollen schließen lassen. Dazu gehören:

- nachvollziehbare Zahlungs- und Freigabeprozesse (Vier-Augen-Prinzip, Limits, Verifikation von Kontodaten)
- klare Zuständigkeiten für Cyber- und Fraud-Risiken auf Managementebene
- regelmäßige Auditierbarkeit.

ENISA verweist im Finanzsektor-Kontext darauf, dass datenbezogene Bedrohungen häufig mit Social Engineering und Business Email Compromise verknüpft sind, was Governance und Prozesskontrollen besonders relevant macht.

Folgekosten können ungeahnte Ausmaße annehmen

Wichtig ist auch die erwartbare Größenordnung möglicher Folgekosten. Der IBM Cost of a Data Breach Report 2024 nennt einen globalen Durchschnittsschaden von 4,88 Mio. US-Dollar pro Datenpanne (durchschnittlich, je nach Fall stark abweichend). Selbst wenn BEC-Fälle nicht immer als "klassische" Datenpanne auftreten, ordnet IBM Business Email Compromise, Phishing und Social Engineering als relevante Angriffsvektoren mit potenziell hohen Kosten ein. Für Investoren sind das keine IT-Kennzahlen, sondern Input für Annahmen zu Sonderkosten, operativer Störung und Reputationsrisiko.

Fazit: Ganzheitliche Cyber Security wird immer wichtiger

Rechnungsbetrug und CEO-Fraud sind keine Randnotiz der IT, sondern ein betriebswirtschaftliches Risiko mit direkter Cashflow-Wirkung. Die Milliardenverluste, die im IC3-Report für BEC ausgewiesen werden, zeigen die Größenordnung. Gleichzeitig wirkt Social Engineering über den menschlichen Faktor und deshalb müssen Prozesse, Technik und Training zusammen gedacht werden.

Abbildung: Social Engineering wird zu einem immer größeren Problem. Auch Anleger schauen immer genauer hin, wie Unternehmen damit umgehen. Bildquelle: @ Expressa Digital / Unsplash.com

Enthaltene Werte: DE0009653386