Schanghai – Heiligabend 2015 klingelte beim Schanghaier Rechtsanwalt Rainer Burkardt das Handy. Der Anruf kam aus Österreich. Der Finanzchef eines mittelständischen Unternehmens klagte: Internetschwindler hätten seine Firma am Vortag ganz unchristlich über den Tisch gezogen.

Mit gefakten E-Mails hätten sie der Finanzverantwortlichen vorgetäuscht, sie habe es mit dem Chef persönlich zu tun. Sie wurde angewiesen, viel Geld auf ein Konto der Schanghai-Pudong-Entwicklungsbank zu transferieren, angeblich, um einen streng geheimen Unternehmenskauf in China zu finanzieren. Die Mitarbeiterin folgte den Anordnungen, schöpfte dann aber noch am Nachmittag des 23. Dezember Verdacht. Österreichs Polizei wurde eingeschaltet, die chinesische Bank per Swift informiert. Doch die Überweisung war unterwegs. Ob Burkardt etwas tun könne? Es gehe um fast vier Millionen Euro.

Die Kanzlei des 49-jährigen Wirtschaftsjuristen, die er vor drei Jahren mit lokalen Partnern eröffnet hatte, wusste, wer anzusprechen war. Burkardt hatte erst wenige Wochen zuvor mit ähnlichem Betrug zu tun gehabt, wo ein anderes international tätiges österreichisches Unternehmen um 36 Millionen Euro abgezockt worden war. Im 25. Stock des Schanghai Bund Center sagte Burkardt dem STANDARD: "Als ich den Fall geschildert bekam, dachte ich: Déjà-vu. Diese Masche kennen wir."

Kein Rechtshilfeabkommen

Es folgten wenig geruhsame Weihnachtstage, die in China nicht gefeiert werden. Die Kanzlei konnte die bei der Bank noch nicht abgehobenen knapp vier Millionen Euro einfrieren lassen. Auch die österreichische Politik intervenierte hinter den Kulissen, bat die chinesischen Behörden um Amtshilfe. Zwischen Wien und Peking gibt es aber kein Rechtshilfeabkommen. So bleibt es eine Hängepartie, wann und ob die Betrogenen Geld zurückbekommen.

Vom ersten E-Mail-Betrug erfuhr Burkardt, der Vertrauensanwalt des österreichischen Konsulats in Schanghai ist, Ende Oktober auch via Handy. Der Fall, den ein geschädigter österreichischer Unternehmer schilderte, war so raffiniert eingefädelt, dass Burkardt von einem "perfekten Netzwerk zur Täuschung" der Opfer spricht.

"Kriminelle Profis" brachten den Konzern dazu, über neun Tage portionsweise Millionenbeträge an Banken in China und Hongkong zu überweisen. Alles begann, indem der Finanzverantwortliche vom Chef eine E-Mail erhielt, der ihn in Pläne für einen geheimen "strategischen Unternehmenszukauf" in China einweihte. Ein bekannter deutscher Anwalt werde die Abwicklung koordinieren und in Kürze den Buchhalter kontaktieren. Der vermeintliche Anwalt meldete sich bald über Telefonanrufe, gab über E-Mail Anweisungen, auf welche Bankkonten das Geld gehen sollte. Die Betrüger dachten an alle Details, etwa dass bei Anrufen des angeblichen Anwalts auf den Displays deutsche Telefonnummern aufleuchteten. Erst eine zufällige Nachfrage brachte den Schwindel ans Licht. Die 36 Millionen Euro waren bis auf zwei Überweisungstranchen, die eingefroren werden konnten, abgeräumt.

Unternehmen werden ausspioniert

Von 15 ähnlich geleimten österreichischen Unternehmen hat Burkardt inzwischen erfahren. Jetzt will er vor den Betrügern warnen. Die suchen sich ihre Opfer aber nicht nur unter Firmen in Österreich, sondern in großem Stil international. Sie operieren grenzübergreifend, beherrschen alle benötigten Sprachen, spionieren die Unternehmen aus und verschaffen sich über soziale Medien Profile von Geschäftsführern und Finanzmitarbeitern. Alles beginnt mit der Imitation der E-Mail-Adresse des Vorgesetzten oder damit, dass dessen E-Mail-Account gehackt wird. Nach dem Eingang der Gelder auf Strohmännerkonten werden jene sternförmig verteilt. "Das ist hervorragend durchgeplant." Die Masche nennt Österreichs Bundeskriminalamt "CEO-Betrug". Chinas Polizei spricht von "Huapi-Zhapian", dem "Betrug mit der bemalten Haut", was auf Märchen zurückgeht, in denen sich ein Dämon die bemalte Haut eines Mädchens überstülpt.

Das FBI spricht prosaisch von "Business E-Mail Compromise", also Schwindel mit "kompromittierten Geschäfts-E-Mails". Zwischen Oktober 2013 und August 2015 wurden US-Firmen in 7.000 Fällen und in mehr als 50 Ländern über den Tisch gezogen. Die Verluste addierten sich auf mehr als 740 Millionen Dollar. Die Geldtransfers gingen über dutzende Länder, "die Mehrheit auf asiatische Banken in China und Hongkong". Unternehmer schweigen aus Scham, nur börsennotierte Firmen müssen den Betrug offenlegen, etwa der österreichisch-chinesische Luftfahrtzulieferer FACC. Im Jänner gab er bekannt, um 50 Millionen Euro geprellt worden zu sein.

Dabei würden selbst raffinierte E-Mail-Betrügereien scheitern, wenn eine einfache Sicherheitsmaßnahme beherzigt würde: im Zweifel telefonisch nachfragen, ob der Überweisungsauftrag auch wirklich vom Chef stammt. (Johnny Erling, 22.2.2016)