13. August 2025 Allgemein
E-Mail-Überweisungsbetrug: Wenn Cyberkriminelle Millionenschäden verursachen
Wenn Rechnungen lügen: So schützen Sie sich vor modernem E-Mail-Betrug
Mehr Informationen +
Der digitale Geschäftsalltag ist ohne E-Mail-Kommunikation undenkbar. Rechnungen werden versendet, Zahlungen avisiert und Geschäftliches schnell und effizient geklärt. Doch genau diese Selbstverständlichkeit nutzen Betrüger für eine immer raffiniertere Masche: den E-Mail-Überweisungsbetrug, auch bekannt als „Payment Diversion Fraud“.
Ein aktueller Fall aus Tirol zeigt, wie schnell ein Unternehmen dadurch in eine existenzbedrohende Lage geraten kann.
Ein Fall aus der Praxis: Hunderttausende Euro futsch
Stellen Sie sich folgendes Szenario vor: Ein etabliertes Unternehmen unterhält eine langjährige und vertrauensvolle Geschäftsbeziehung zu einem seiner Kunden. Rechnungen werden regelmäßig per E-Mail versendet und stets pünktlich bezahlt. Doch eines Tages fällt im Mahnwesen auf, dass eine hohe Rechnung über mehrere hunderttausend Euro trotz abgelaufenem Zahlungsziel noch offen ist.
Auf Nachfrage teilt der Kunde mit, die Summe sei längst überwiesen worden. Eine Recherche bringt die schockierende Wahrheit ans Licht: Betrüger hatten die ursprüngliche Rechnungs-E-Mail abgefangen. Sie entfernten die korrekte Bankverbindung, fügten ihre eigene, betrügerische IBAN ein und leiteten die manipulierte E-Mail an den Kunden weiter – oft mit einem kurzen, freundlichen Hinweis auf die „neue Bankverbindung“. Der Kunde handelte im guten Glauben und überwies den Betrag auf das Konto der Kriminellen.
Das Geld ist in den meisten Fällen verloren, da zwischen der Überweisung und der Entdeckung des Schadens einige Wochen vergehen und das Konto dann bereits leer geräumt ist. Eine Nachverfolgung ist nicht möglich, da für die Kontoeröffnung gefälschte Identitäten verwendet werden oder sich die Spur im Ausland verläuft.
Der Rechnungsempfänger steht dann vor einem großen Problem – das Geld ist weg, die falsche Zahlung befreit ihn allerdings auch nicht von seiner Verpflichtung, den Rechnungsbetrag an den ursprünglichen Rechnungssteller zu leisten – dies hat der OGH für einen ähnlichen Fall im Jänner dieses Jahres festgestellt bzw. siehe dazu auch der Beitrag auf standard.at. Der Schaden ist jedenfalls enorm.
Dieser Vorfall ist kein Einzelfall. Die Täter gehen äußerst professionell vor, die gefälschten E-Mails sind kaum vom Original zu unterscheiden.
Wie Sie sich und Ihr Unternehmen schützen können
Die gute Nachricht ist: Mit Wachsamkeit und klaren Prozessen können Sie das Risiko eines solchen Betrugs tatsächlich erheblich minimieren.
- Gesunde Skepsis bei Änderungen: Werden Sie immer misstrauisch, wenn ein Geschäftspartner Ihnen – insbesondere kommentarlos oder in einer knappen E-Mail – eine neue Bankverbindung mitteilt.
- Der Griff zum Hörer: Die wirksamste und einfachste Schutzmaßnahme ist die altmodische Verifizierung. Rufen Sie Ihren Ansprechpartner beim Geschäftspartner an und fragen Sie nach, ob die Änderung der Kontodaten korrekt ist. Wichtig: Verwenden Sie dafür nicht die Telefonnummer aus der verdächtigen E-Mail, sondern eine Ihnen bereits bekannte oder auf der offiziellen Website des Partners hinterlegte Nummer.
- Vier-Augen-Prinzip: Etablieren Sie in Ihrer Buchhaltung ein Vier-Augen-Prinzip für die Änderung von Kreditoren-Stammdaten. Eine Person trägt die Änderung ein, eine zweite prüft und gibt sie frei.
- Mitarbeitersensibilisierung: Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter in der Buchhaltung und im Einkauf regelmäßig über diese und ähnliche Betrugsmaschen (z.B. CEO-Fraud). Das Bewusstsein für die Gefahr ist der erste Schritt zur Abwehr.
Die Versicherungslücke: Warum eine Cyberversicherung hier oft nicht greift
Viele Unternehmen wiegen sich mit einer Cyberversicherung in Sicherheit. Doch bei einem E-Mail-Überweisungsbetrug wie dem beschriebenen greift diese in den meisten Fällen nicht. Der Grund ist einfach: Es liegt kein direkter Eingriff in die IT-Systeme des geschädigten Rechnungsempfängers vor – was bei den meisten Cyberversicherungspolicen Voraussetzung ist. Das System wurde nicht gehackt, es wurde keine Schadsoftware installiert. Vielmehr wurde ein Mitarbeiter durch Social Engineering dazu verleitet, eine legitime Handlung (die Überweisung) auf ein falsches Ziel auszuführen.
Für genau solche Fälle ist eine Vertrauensschadenversicherung (VSV) das richtige Instrument. Sie sichert das Unternehmen gegen Vermögensschäden ab, die durch vorsätzliche, unerlaubte Handlungen von Vertrauenspersonen (u.a. eigene Mitarbeiter) oder externen Dritten entstehen.
Typische Deckungselemente einer Vertrauensschadenversicherung sind:
- Betrug, Diebstahl, Unterschlagung und Untreue durch eigene Mitarbeiter.
- Betrug durch externe Dritte, wie zum Beispiel der „Fake-President-Betrug“ (CEO-Fraud), bei dem sich ein Betrüger als Geschäftsführer ausgibt.
- Payment Diversion Fraud (wie im geschilderten Fall), also die Manipulation von Zahlungsströmen durch betrügerische Handlungen.
- Datenmissbrauch, Computersabotage und Ausspähen von Daten.
Sorgen Sie mit einer Vertrauensschadenversicherung für finanziellen Rückhalt – gerne beraten wir Sie dazu.
Unsere Verantwortung als Versicherungsmakler im Risikomanagement
Die Existenz der richtigen Versicherungslösung ist das eine – sicherzustellen, dass sie im Unternehmen bekannt ist und abgeschlossen wird, das andere. Hier sind wir als Versicherungsmakler in der Pflicht. Eine proaktive Aufklärung der Entscheidungsträger – insbesondere von Managern und externen Geschäftsführern (Drittgeschäftsführern) – ist unerlässlich. Denn letztlich sind sie es, die für die Wahrnehmung der Versicherungsagenden die Verantwortung tragen und im Fallen von Pflichtverletzungen persönlich haftbar gemacht werden können.
Unsere Verantwortung wiegt umso schwerer, wenn uns der Klient eine Generalvollmacht erteilt hat. In einem solchen Fall sind wir mehr als nur ein Vermittler; wir sind ein betrauter Partner in der Risikovorsorge. Die Vollmacht überträgt uns die Pflicht, das Versicherungsportfolio des Unternehmens aktiv zu managen, Deckungslücken wie die hier beschriebene selbstständig zu identifizieren und passende Lösungen wie die Vertrauensschadenversicherung proaktiv vorzuschlagen. Wir agieren somit quasi als ausgelagerte Versicherungsabteilung und tragen eine Mitverantwortung für den lückenlosen Schutz des Unternehmensvermögens.
Fazit
E-Mail-Überweisungsbetrug ist kein exotisches Einzelschicksal, sondern mittlerweile ein ernstzunehmendes Massenphänomen. Technische Sicherheitsmaßnahmen, klare Prozesse, kritisches Hinterfragen von Zahlungsaufforderungen und eine passende Versicherungslösung sind gemeinsam der beste Schutz.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Data Protection Lösungen – zeitgemäßer Datenschutz
Unternehmen müssen stets im Blick behalten, wer auf welche Daten zugreifen kann, wie diese verwendet werden und wohin sie möglicherweise transferiert werden.
WEITERLESEN
News
Wirecard-Rechtsprechung und D&O-Versicherung: Experte Dr. Fabian Herdter klärt auf
„Wenn es zu millionenschweren Fehlern kommt, kann es sich heute kein Unternehmen mehr leisten, Ansprüche gegen die Verantwortlichen liegen zu lassen.“ (Fabian Herdter)
WEITERLESEN
News
Mit militärischer Präzision durch die Krise: Impulse von Dr. Markus Reisner
Professionelle Risiken beherrschen, anstatt von ihnen beherrscht zu werden – das ist der rote Faden, der sich durch die Karriere von Oberst des Generalstabs Dr. Markus Reisner zieht. Bei seinem Vortrag auf dem Financial Lines Dialog 2025 wird er zeigen, wie Unternehmen von militärischen Strategien lernen können.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
