Ein unauffälliger Klick in der Finanzsoftware, eine scheinbar routinemäßige Freigabe – schon fehlen mehrere hunderttausend Euro in der Firmenkasse. Meist steckt dahinter kein Cyberkrimineller aus Übersee, sondern jemand, der täglich freundlich „Guten Morgen“ sagt.
„Die eigenen Mitarbeiter genießen einen Vertrauensvorschuss und kennen die Sicherheitslücken im Unternehmen genau“, erklärt die stellvertretende Hauptgeschäftsführerin des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), Anja Käfer-Rohrbach. „Deswegen bleiben sie in der Regel länger unentdeckt und können höhere Summen erbeuten.“
Millionenlöcher: Jeder fünfte Fall über fünf Millionen Euro
Jede zweite gemeldete Betrugstat kommt inzwischen aus den eigenen Reihen. Die internationale KPMG-Studie „The Enemy Within“ zeigt das Ausmaß: In 20 Prozent der Fälle stehlen Insider mehr als fünf Millionen Euro – Summen, die viele Mittelständler unmittelbar in eine Liquiditätskrise treiben. Hinzu kommen Reputationsschäden, Ermittlungskosten und ein lähmendes Misstrauensklima, die den Gesamtschaden weiter aufblähen. Externe Angreifer verursachen im Vergleich deutlich geringere Schäden.
Die Täter geben sich harmlos: Überwiegend Männer zwischen 36 und 55 Jahren, seit mehr als sechs Jahren an Bord, hilfsbereit, scheinbar unersetzlich. „Der typische Betrüger ist oft jemand, den man nie verdächtigen würde – hoch angesehen, langjährig im Unternehmen und scheinbar loyal“, warnt Alexander Geschonneck, Global Forensic Leader bei KPMG Deutschland. In 70 Prozent der Fälle agieren zwei bis fünf Komplizen gemeinsam, Solotäter sind die Ausnahme. Angetrieben werden sie vor allem von Profitgier, nicht von echter Geldnot. Und Technik brauchen sie selten: Fast jeder zweite Coup kommt ganz ohne IT-Tricks aus.
Die häufigsten Delikte
Drei Taten machen den Löwenanteil der Schäden aus. Vermögensveruntreuung (52 Prozent) führt die Liste an: Fingierte Beraterrechnungen, manipulierte Ausschreibungen, private Einkäufe auf Firmenkosten. Dahinter folgen Dokumentenfälschungen (29 Prozent) – gefälschte Lieferscheine, Auftragsbestätigungen oder heimlich geänderte Bankdaten.
Auf Platz drei liegt handfester Diebstahl (24 Prozent), vom Lagerbestand bis zu sensiblen Kundendaten.
In drei Viertel aller untersuchten Fälle fehlten elementare Kontrollen, jedes zweite Unternehmen hatte gar kein belastbares Sicherheitsnetz. Besonders gefährlich ist die fehlende Funktionstrennung – wer Bestellung, Wareneingang und Zahlung allein verantwortet, wird zum Single Point of Failure. Hinzu kommt die Macht der Gewohnheit – „Frau Schmidt macht das seit zwanzig Jahren, das muss keiner gegenprüfen.“
Wenn keiner hinschaut: Wirtschaftskriminalität blüht, wo Routinen nicht hinterfragt werden
Das Homeoffice hat den Schwachpunkt vergrößert. Der schnelle Zuruf über den Schreibtisch entfällt, E-Mail-Freigaben rauschen ungeprüft durch. Genau greift Social Engineering, also Betrug durch gezielte Manipulation von Menschen statt Technik. Ein interner Mitarbeiter erhält etwa eine scheinbar harmlose Nachfrage aus der „IT-Abteilung“, klickt auf einen präparierten Link und öffnet damit dem Komplizen im Außennetz den Weg zur Zahlungsplattform. Der eigentliche Diebstahl läuft anschließend wieder intern – über vertraute Zugänge und echte Freigaberechte.
Betrüger legen ihre Coups zudem gern in Stressphasen wie Jahresendgeschäft, Urlaubszeiten oder Quartalsabschlüsse. Dann sinkt die Aufmerksamkeit, Abkürzungen werden toleriert, und selbst routinierte Buchhalter genehmigen Rechnungen, die sie an einem ruhigen Tag abgelehnt hätten. Ohne digitale Warnsysteme und eine Unternehmenskultur, in der „Warum?“ gefragt werden darf, bleibt der Schaden unentdeckt – bis Prüfer oder Bank Alarm schlagen.
Persönliche Haftung – warum jeder Fehlgriff teuer werden kann
Für die Führungsetage ist das Risiko existenziell, auch wenn sie selbst keinen Cent veruntreut haben: Die ständige BGH-Rechtsprechung (zuletzt etwa BGH, Az. 5 StR 287/24) stellt klar, dass Geschäftsleiter für Organisationsverschulden nach § 43 Abs. 2 GmbHG persönlich einstehen. Fehlen wirksame Kontrollsysteme oder werden sie nicht überwacht, kann der gesamte Schaden aus dem Privatvermögen zu ersetzen sein – auch für „Schatten-Geschäftsführer“ ohne Handelsregistereintrag.
Viele Entscheider verlassen sich auf eine D&O-Police, die Managementfehler absichern soll. Häufig jedoch schließen die Bedingungen vorsätzliches Organisationsversagen aus oder erlauben dem Versicherer Regress, wenn eindeutige Warnsignale ignoriert wurden. Ein Insider-Betrug kann so nicht nur das Unternehmen, sondern auch das private Vermögen gefährden.
Schutzschild aufbauen: Acht Schritte, die Ihr Privatvermögen sichern
Wer diese Maßnahmen einführt und lückenlos dokumentiert, zeigt Gerichten wie Versicherern, dass das Unternehmen „angemessen organisiert“ ist – und senkt zugleich das persönliche Haftungsrisiko:
- Vier-Augen-Prinzip ab 1 000 €: Keine Zahlung ohne zweite, dokumentierte Freigabe.
- Verifizierter Rückruf: Chefanweisungen stets telefonisch über die hinterlegte Festnetznummer bestätigen.
- Job-Rotation alle 18 Monate: Einkauf, Rechnungsprüfung und Zahlungsverkehr regelmäßig neu besetzen.
- KI-Monitoring in Echtzeit: Buchhaltungs- und E-Mail-Daten fortlaufend auf Unregelmäßigkeiten scannen.
- Whistleblower-Hotline (48-h-Regel): Hinweise binnen zwei Tagen prüfen und Meldenden Rückmeldung geben.
- Social-Engineering-Drills: Vierteljährlich Phishing- und Deepfake-Tests durchführen und auswerten.
- Klare schriftliche Sanktionen: Verstöße konsequent ahnden, unabhängig von Titel oder Umsatzverantwortung.
- Quartalsweiser „Fake-CEO“-Test: Ernstfall proben - Zahlungsstopp, Rückruf, sofortige Meldung an den Versicherer.
Der Weckruf ist klar: Prozesse jetzt prüfen, Risiken offenlegen, Schutzmechanismen verankern. Ein belastbares Compliance-System ist kein bürokratischer Luxus – es ist die Lebensversicherung des Managements.
