"Dear Friend. Ich habe ein lukratives Geschäft Vorschlag von gemeinsamem Interesse mit Ihnen zu teilen ..." Für solch plumpe Betrugsversuche mit äußerst dubiosen Erzählungen steht seit Jahren der Begriff "Nigeria-Connection". Die Mails oder Faxe führen heute meist nur zu Lachern am Schreibtisch. Aber es gibt viel geschicktere und sehr erfolgreiche Betrugsmaschen, die nach demselben Prinzip ablaufen: In Erwartung eines guten Geschäfts wird der Betrogene veranlasst, Waren oder Kapital herauszugeben.
Foto: Marijus - Fotolia.com
Die Betrüger kopieren hierfür beispielsweise vollständige Firmen-Websites. Die neu registrierte Domain erhält einen leicht abgewandelten Namen, der jedoch dem Original täuschend ähnelt. Nun werden über diese falsche Domain Verkaufstransaktionen mit den unterschiedlichsten Firmen in ganz Europa angefragt und durchgeführt. Häufig werden die Sendungen nach Großbritannien geliefert, obwohl die anfragende Firma aus einem anderen europäischen Land stammt. Auf die Zahlung der Rechnung warten die betroffenen Unternehmen natürlich vergeblich.
Betrüger fälschen auch Websites von Banken
Doch damit begnügen sich die Betrüger nicht. Ohne weiteres gelingt es ihnen, die Websites namhafter Banken zu fälschen, um Unternehmer dadurch auf Phishing-Sites zu locken oder die nicht gesicherte E-Mail-Kommunikation abzufangen. In letzterem Fall geschieht es nicht selten, dass Rechnungen mit einer neuen Kontoverbindung versehen werden, bevor die E-Mail im Postfach des eigentlichen Adressaten landet. So werden Rechnungen zwar bezahlt, der Betrag erreicht aber nie den rechtmäßigen Empfänger.
Foto: hin255_shutterstock.com
Es gibt zwei Ursachen dafür, dass solche Affären momentan zunehmen: Einerseits kommt es im Geschäftsleben immer häufiger dazu, dass auch Handelsbeziehungen mit unbekannten Unternehmen beziehungsweise Personen aus dem fernen Ausland geknüpft werden. Wer sich nur auf den deutschen oder europäischen Markt beschränkt, schwächt auf Dauer seine Marktposition. Diese Tatsache nutzen die Betrüger aus. Ihre vorgelegten Dokumente oder Websites mögen zwar richtig erscheinen, doch sind viele der enthaltenen Informationen schwer zweifelsfrei überprüfbar.
Verantwortliche lassen sich allzu oft vom visuellen Eindruck der Dokumente und Websites täuschen. Andererseits bietet das Internet an sich Betrügern ungeahnte Möglichkeiten. Authentisch und seriös wirkende Internetpräsenzen eines Unternehmens können sehr schnell geschaffen werden. Werden dann noch Profile von angeblichen Mitarbeitern in sozialen Netzwerken angelegt, stimmen alle Voraussetzungen für einen gelungenen Betrug.
Wie können Unternehmen neue Geschäftspartner prüfen?
Die Überprüfung neuer Geschäftspartner oder Kunden nennen Wirtschaftsermittler "Investigative Due Diligence". In ihr werden die Unternehmenslenker, die Zusammenhänge zu anderen Firmen, Lieferanten und Kunden betrachtet. Besitztümer werden geprüft, die Firmenhistorie angeschaut und in Mediendatenbanken und Social Media nach Berichten über das Unternehmen und die Angestellten recherchiert. Es wird geklärt, ob Mitarbeiter oder das Unternehmen bereits mit dem Gesetz in Konflikt geraten sind und soziale Standards eingehalten werden. Alle zugänglichen Informationen, wie zum Beispiel Angaben in Broschüren und auf der Webseite, fließen in die Investigative Due Diligence mit ein. Hierbei wird nicht nur der Inhalt der vorgelegten Dokumente auf Vollständigkeit geprüft, sondern auch deren Echtheit.
In gewissem Maße können Unternehmen eine Investigative Due Diligence selbst durchführen. Die Mitarbeiter sollten hierfür allerdings umfassend geschult werden. Dies reicht von der einfachen Überprüfung aller Daten, wie des Firmennamens und der Adresse bis zur forensischen, softwarebasierten Prüfung von JPGs oder PDFs, um zum Beispiel Manipulationen und Plagiate zu erkennen.
To-Do-Liste
Zudem ist es wichtig, die Workflows im Vorhinein zu definieren: Wie erfolgt die Datenerhebung, was ist zu beachten? Wie können die gewonnenen rohen Informationen bereinigt, angereichert und standardisiert bereitgestellt werden? Wie werden die Daten miteinander verknüpft? Wer ist für welche Schritte zuständig? Weiterhin müssen die Mitarbeiter wichtige Basisinformationen für die Internetrecherche besitzen, denn mit simplem "Googeln" ist es hier nicht getan. Unabdingbare Elemente einer solchen Recherche sind:
Recherche in den Suchmaschinen nach der zu prüfenden Domain
Überprüfung der Whois-Daten der Domain
Abgleich der Angaben in den Whois-Daten mit den bekannten Firmendaten
Überprüfung der angeblichen Lieferadresse im Internet
Überprüfung der verwendeten E-Mail-Adresse
Überprüfung, ob die sichtbare E-Mail-Adresse auch die tatsächliche Absenderadresse ist
Durchführung eines Reverse-Whois-Checks (Welche Domains sind noch auf den bekannten Registranten registriert?)
Überprüfung der angegebenen Telefonnummer im Abgleich mit den bekannten Firmendaten
Falls möglich, sollte man auch erwägen, direkt vor Ort zu recherchieren. Handelt es sich um eine Briefkastenfirma oder stimmen die gemachten Angaben mit dem tatsächlichen Erscheinungsbild überein? Ein solcher Check sagt oft wesentlich mehr aus als veraltete Fotos von Google Street View. (bw)