Gefälschte Kontoänderungen: Der Angriff auf die Lohnbuchhaltung

Ein harmlos klingender Satz genügt: „Ich möchte meine neue Bankverbindung für mein aktuelles Gehalt ändern.“ Diese Nachricht, die in unzähligen Personalabteilungen oder Buchhaltungsbüros täglich ankommt, kann zur gefährlichen Falle werden. Denn hinter solchen E-Mails stecken immer häufiger Kriminelle, die sich als Mitarbeitende tarnen und versuchen, Gehaltszahlungen auf ihre eigenen Konten umzuleiten.

Der Trick ist simpel, aber wirksam: Mit täuschend echten E-Mails bringen Betrüger Unternehmen dazu, ohne Rückfrage die Kontodaten zu ändern.

Der Ablauf folgt fast immer demselben Muster: Zuerst eine höfliche, scheinbar vertraute Anfrage. Dann eine zweite E-Mail mit den neuen Kontodaten. Und schließlich das fatale Ergebnis: das Gehalt ist weg.

So funktioniert der Betrug mit den gefälschten Gehaltskonto-Anfragen

Die Methode, mit der Kriminelle ihre Opfer in Unternehmen täuschen, ist technisch simpel, aber äußerst wirkungsvoll. Sie nutzen öffentlich zugängliche Informationen, etwa von LinkedIn oder der Firmenwebseite, um Namen, Positionen und E-Mail-Strukturen zu kopieren. Dann wird eine gefälschte E-Mail erstellt, bei der Absendername und Schreibweise exakt denen eines echten Mitarbeitenden gleichen. Oft nutzen Kriminelle auch sogenannte „E-Mail-Spoofing“-Techniken. Damit wirkt die Absenderadresse auf den ersten Blick echt. Wer nicht genau hinschaut oder Rückfragen stellt, fällt leicht auf den Betrug herein.

Typisch ist dabei eine zweistufige Vorgehensweise. In der ersten Mail wird höflich nachgefragt, ob eine Kontoänderung noch für den aktuellen Monat möglich ist. Sobald eine Rückfrage erfolgt, kommt die zweite Mail, diesmal mit den angeblich neuen Bankdaten. Diese Konten gehören in Wahrheit zu den Kriminellen selbst oder zu Strohmännern, die kurzfristig eingerichtete Konten nutzen, um das Geld anschließend weiterzuleiten oder abzuheben.

Hier ein Beispiel aus einer echten Nachricht:

„Hallo [Buchhaltungsleitung],
ich hoffe, es geht Ihnen gut. Ich möchte meine neue Bankverbindung für mein aktuelles Gehalt (Juni) ändern. Ist die Änderung noch möglich?
Mit freundlichen Grüßen
[Name des Mitarbeiters]“

Wird diese E-Mail beantwortet, folgt prompt:

„Hallo [Buchhaltungsleitung],
hier sind meine neuen Bankdaten: DE00 4711 4711 4711 4711 00.
Ich wäre Ihnen dankbar, wenn Sie mir Bescheid geben, wenn Sie die Änderung vornehmen.
Viele Grüße,
[Name des Mitarbeiters]“

Beide Nachrichten wirken harmlos und gut formuliert. Doch dahinter steckt ein gefährliches Betrugsmodell, das nicht nur Unternehmen viel Geld kostet, sondern auch das Vertrauen in interne Kommunikationswege erschüttert.

So erkennen Sie betrügerische Kontoänderungsanfragen

Wer solche gefälschten Nachrichten nicht als solche erkennt, riskiert, dass Monatsgehälter in dunklen Kanälen verschwinden. Doch es gibt Warnsignale, man muss sie nur ernst nehmen.

  1. Die Absenderadresse. Auch wenn im Postfach der richtige Name steht, sollte unbedingt die eigentliche E-Mail-Adresse geprüft werden. Bei Spoofing werden oft Domains verwendet, die auf den ersten Blick ähnlich aussehen, wie etwa „@firrma.de“ statt „@firma.de“.
  2. Ungewöhnliche Formulierungen. Wird plötzlich gesiezt, obwohl sonst geduzt wird? Oder fehlen typische sprachliche Eigenheiten? Auch kleine Veränderungen in der Ausdrucksweise können verdächtig sein. Besonders in deutschen Unternehmen mit einer klaren Sprachkultur fällt das auf.
  3. Fehlende persönliche Details. Echte Mitarbeitende geben in solchen E-Mails in der Regel genauere Angaben, zum Beispiel ihre Personalnummer oder den bisherigen Kontoinhaber. Kriminelle hingegen bleiben vage, um keine Fehler zu machen.
  4. Zeitdruck. In vielen gefälschten Nachrichten ist die Rede davon, dass die Änderung „dringend vor Monatsende“ erledigt werden soll. Dieser Zeitdruck ist ein bewusst eingesetztes Mittel, um Nachfragen oder Prüfungen zu vermeiden.

Ein klarer Warnhinweis ist außerdem, wenn plötzlich auf eine andere E-Mail-Adresse geantwortet werden soll oder eine Weiterleitung auf eine andere Domain erfolgt. Solche Details sollten niemals ignoriert werden.

Was tun im Ernstfall und wie lässt sich der Schaden begrenzen?

Sobald auch nur der Verdacht besteht, dass eine E-Mail mit einer Kontoänderung gefälscht ist, sollten sofort Gegenmaßnahmen ergriffen werden. Die wichtigste Regel lautet: Niemals auf Basis einer E-Mail allein eine Kontoänderung durchführen. Rücksprache auf einem zweiten Kommunikationsweg, am besten telefonisch oder über interne Chat-Tools, ist Pflicht.

Sollte bereits Geld überwiesen worden sein, zählt jede Minute. Die eigene Bank muss umgehend informiert werden, um einen eventuellen Rückruf der Überweisung einzuleiten. Gleichzeitig sollte Anzeige bei der Polizei erstattet werden. In vielen Fällen arbeiten die Täter grenzüberschreitend, sodass eine schnelle Reaktion entscheidend ist, um internationale Geldflüsse zu stoppen.

Auch innerhalb des Unternehmens sind Schutzmaßnahmen nötig: Verdächtige Nachrichten sollten an die IT-Abteilung oder das Sicherheitsteam weitergeleitet werden. Damit können andere Mitarbeitende gewarnt und ähnliche Betrugsversuche verhindert werden. In manchen Fällen hilft auch eine Schulung oder eine interne Rundmail, um auf die neue Betrugsmasche hinzuweisen.

Zudem lohnt es sich, eine interne Sicherheitsregelung zu etablieren: Kontoänderungen dürfen nur schriftlich mit Unterschrift oder über ein sicheres HR-Tool durchgeführt werden. Ein Vier-Augen-Prinzip für Kontodatenänderungen ist ein wirksamer Schutz, vor allem in größeren Unternehmen.

Klartext: Wer nicht prüft, verliert Geld

Wer eine scheinbar harmlose E-Mail zur Kontoänderung erhält, muss sie mit höchster Vorsicht behandeln. Ohne Rückfrage sollte niemals eine Änderung durchgeführt werden. Jedes Unternehmen, das solche Prozesse nicht doppelt absichert, geht ein hohes Risiko ein.

Die wichtigste Verteidigung: Wachsamkeit, klare Prozesse und das konsequente Hinterfragen von E-Mails, die finanzielle Konsequenzen haben. Denn eines ist klar: Kriminelle schlafen nicht. Sie passen ihre Maschen an, lernen dazu und setzen gezielt auf menschliches Vertrauen.

Der Trick funktioniert, weil er auf Gewohnheiten und Vertrauen basiert, und genau das macht ihn so gefährlich. Nur wer informiert ist, geschützt wird und bei Zweifeln konsequent prüft, kann sich wirksam vor diesen Angriffen schützen.

Quelle: Watchlist Internet

Auch interessant: Facebook greift nach deinen privaten Fotos auf Smartphone

Wenn du willst, dass dieser Faktencheck gesehen wird – TEILE ihn jetzt!

Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Verwendung einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient ausschließlich der sachlichen Auseinandersetzung mit dem Thema. Teile dieses Beitrags könnten unter Zuhilfenahme von KI-Tools wie ChatGPT entstanden sein. In solchen Fällen wurde der Inhalt vor der Veröffentlichung sorgfältig von der Mimikama-Redaktion geprüft. Dies ermöglicht es uns, effizient auf aktuelle Entwicklungen zu reagieren. Andere Beiträge entstehen hingegen vollständig in redaktioneller Arbeit. (Begründung)

Nie mehr wichtige Faktenchecks verpassen!
Melden Sie sich für unseren WhatsApp-Channel, die Smartphone-App (für iOS und Android) oder unseren Newsletter an und erhalten Sie alle Faktenchecks und Updates sofort. Einfach anmelden, immer einen Schritt voraus!

Zur Startseite
zum Newsletter

Fakten, die zählen.

Gemeinsam gegen Desinformation.

Wir stehen seit über einem Jahrzehnt für Wahrheit und Transparenz. Mit deiner Unterstützung machen wir die digitale Welt sicherer und stärken die Demokratie.

Jetzt einmalig helfen Regelmäßig helfen