Bafin-Experte über Betrugsfallen
„Wer eine öffentliche Präsenz hat, ist ein potenzielles Ziel“
DAS INVESTMENT: Herr Münzer, Betrug über Messenger-Dienste wie Whatsapp und Telegram hat in den vergangenen Jahren stark zugenommen. Löst das den klassischen webseitenbasierten Betrug ab – oder kommt es obendrauf?
Jens Münzer: Man hätte eigentlich erwarten können, dass Betrug über Webseiten weiter ansteigt. Das ist aber nicht so – der ist eher konstant geblieben. Was stattdessen zunimmt, ist Betrug über Messenger-Dienste. Und das hat technische Gründe: Wer eine Betrugswebseite betreibt, muss Trading-Charts unterhalten und ständig neue Seiten generieren, wenn eine abgeschaltet wird. Bei einer Whatsapp-Gruppe brauche ich das alles nicht. Ich brauche ein Profil, ein bisschen Hintergrundmaterial – und kann die Gruppe bei Bedarf blitzschnell wechseln.
Das klingt nach einer einfacheren, effizienteren Methode.
Münzer: Ja, das ist so. Hinzu kommt, dass Webseiten von Ermittlungsbehörden und von uns inzwischen schneller identifiziert und abgeschaltet werden. Whatsapp-Gruppen sind deutlich schwieriger zu verfolgen – und leicht neu zu erstellen.
Beim webseitenbasierten Betrug gab es eine arbeitsteilige Struktur – spezialisierte Gruppen für Webseiten, Call-Center, Geldflüsse. Sehen Sie das bei Whatsapp-Gruppen auch schon?
Münzer: Ob dahinter eine klare Arbeitsteilung steckt, lässt sich derzeit nicht mit Sicherheit sagen. Was wir darüber hinaus sehen, sind Mischformen: Manche Gruppen nutzen zusätzlich generierte Webseiten, andere laufen ausschließlich über Apps. Bei diesen Apps gibt es Hinweise darauf, dass sie teils neu erstellt, teils übernommen werden – also bestehende, eigentlich harmlose Apps, die von Täterkreisen gekapert werden.
Wie kommen solche Apps überhaupt in die offiziellen Stores von Apple oder Google?
Münzer: Es gibt zwei Varianten: neu erstellte Apps und solche, die übernommen werden, also bereits eine längere Geschichte im Store haben. Letztere wirken für Nutzer vertrauenswürdiger. Einen Hinweis darauf, ob eine App ursprünglich zu anderen Zwecken genutzt wurde, findet man manchmal im Namen – wenn da etwas Gaming-ähnliches mitschwingt, war es wohl mal eine Spiele-App.
Erklären Sie uns bitte den typischen Ablauf einer solchen Betrugsmasche über zum Beispiel Whatsapp.
Münzer: Der klassische Ablauf beginnt mit einem Onboarding. Das kann eine Werbeanzeige bei Instagram oder Tik Tok sein, eine Landingpage im Internet oder direkt eine Kontaktaufnahme über Social Media. Der Nutzer interessiert sich, hinterlässt seinen Kontakt – und bekommt dann einen Einladungslink zu einer Gruppe.
Was passiert in dieser Gruppe?
Münzer: Zunächst gar nichts Verdächtiges. Es folgt eine lange vertrauensbildende Phase. Die Gruppe gibt Handelstipps – und tatsächlich: Wer diese Tipps nachbildet, kann durchaus kleinere Erfolge erzielen. Dazu kommen Boni und Belohnungspunkte für regelmäßige Teilnahme – für das Einloggen zu bestimmten Terminen, für das Verfolgen von Expertenrunden in der Gruppe. Mit diesen Punkten lassen sich dann kleine Gegenstände erwerben, von Fantasie-Münzen bis hin zu Staubsaugern. Das alles erhöht das Vertrauen und bindet die Leute an die Gruppe. Über Geld redet zu diesem Zeitpunkt noch niemand.
Und dann kommt die eigentliche Forderung?
Münzer: Irgendwann wird gesagt: Wir haben alle gesehen, dass sich mit unseren Empfehlungen Gewinne erzielen lassen. Das wirklich große Geld liegt aber woanders – nämlich in gebündelten Investitionen. Wir können mehrere Gruppen zusammenlegen und damit institutionell anlegen. Das bedeutet: andere Konditionen, andere Gewinnspannen, Zugang zu Produkten, in die Einzelanleger gar nicht kommen würden. Deshalb sollen die Teilnehmer ihr Geld überweisen – auf ein Konto oder über Krypto-Transaktionen.
Warum werden die Anleger dabei nicht misstrauisch?
Münzer: Weil sie glauben, nicht an die Täter zu zahlen, sondern in einen gemeinsamen Pool. Die Geschichte ist gut konstruiert: Ihr investiert nicht alleine, sondern gemeinsam mit zwei oder drei anderen Gruppen – das macht euch zu institutionellen Anlegern. Die Täter kassieren gleichzeitig in mehreren Gruppen. Wenn dann die ersten Auszahlungswünsche kommen, heißt es: Die Anlage ist langfristig, der Pool ist gerade nicht liquide. Kurz darauf verschwindet die Gruppe – und mit ihr das Geld.
Es gibt noch ein weiteres Vorgehen namens Pump-and-Dump. Was verbirgt sich hinter dieser Variante?
Münzer: Das ist seltener, aber es kommt vor. Dabei wird den Teilnehmern ein vermeintlicher Geheimtipp zugespielt – eine Aktie, die angeblich bald explodiert. Die Anleger kaufen das Papier bei ihrer eigenen Bank oder ihrem Broker. Das treibt den Kurs. Dabei haben die Täter die Aktie bereits vorher günstig erworben – und verkaufen ihre Bestände, sobald der Kurs hoch genug ist. Am Ende stürzt die Aktie ab und den Anlegern bleibt nur eine wertlose Aktie. Ihr Geld ist weg, aber sie haben die Papiere tatsächlich im Depot.
Wie werden Sie als Bafin überhaupt auf solche Gruppen aufmerksam?
Münzer: Es gibt im Wesentlichen drei Quellen: Unsere eigenen Ermittlungen, Beschwerden von Geschädigten, Hinweise von aufmerksamen Bürgern, die eine Einladung erhalten haben und diese melden, sowie Informationen von Strafverfolgungsbehörden. Wenn wir eine App identifiziert haben, gibt es Möglichkeiten, ähnliche Apps mit verwandten Eigenschaften aufzuspüren.
Immer häufiger tauchen in solchen Gruppen Namen bekannter Personen aus der Finanzbranche auf. Stimmt der Eindruck, dass das zunimmt?
Münzer: Ja. Bei Betrug über Webseiten reicht oft eine glänzende Fassade, um Vertrauen zu erzeugen. Diese vertrauensbildende Phase bei Betrug mit Social Media und Messenger-Dienste braucht eine persönliche Autorität – jemanden, der für die Gruppe steht. Also holt man sich diese Autorität durch Identitätsdiebstahl. Man kopiert Fotos, Namen und Lebensläufe bekannter Personen aus dem Finanzbereich oder erfindet eine glaubwürdige Persona: Professor irgendwas, mit sympathischer Assistenz. Das funktioniert leider gut.
Was sollten betroffene Asset Manager oder Vermögensverwalter tun?
Münzer: Hier ist ein entscheidender Punkt: Nicht jeder Plattformbetreiber reagiert bei Betrugshinweisen und schaltet die Website ab. Behördliche Maßnahmen greifen da nur begrenzt. Was aber sehr gut funktioniert, sind Hinweise an die Plattform auf Basis von Persönlichkeitsrechts- oder Urheberrechtsverletzungen. Wenn jemand Ihr Bild, Ihr Logo, Ihren Namen verwendet – dann haben Plattformbetreiber sehr wohl ein Interesse daran, schnell zu reagieren. Vor Schadensersatzklagen wegen Urheberrechtsverletzungen etwa in den USA haben sie deutlich mehr Respekt als vor behördlichen Betrugshinweisen. Eine entsprechende Beschwerde dürfte schnell zur Abschaltung der Website führen.
Sollten betroffene Unternehmen das auch der Bafin melden?
Münzer: Ja, unbedingt. Wir haben ein hohes Interesse daran, von Klonen zu wissen. Dahinter können systematische Täterkreise stecken, die nicht nur ein Unternehmen, sondern viele gleichzeitig missbrauchen. Hinweise können über die entsprechenden Links auf unserer Website eingereicht werden.
Können sich Finanzunternehmen überhaupt gegen Identitätsdiebstahl absichern?
Münzer: Vollständig verhindern lässt es sich nicht. Wer eine öffentliche Präsenz hat, ist ein potenzielles Ziel. Aber man kann zumindest früh reagieren. Wer regelmäßig seinen eigenen Namen und sein Unternehmen googelt, kann Klone frühzeitig entdecken. Einige Betroffene haben auf ihren Webseiten explizit darauf hingewiesen, dass sie keine Messenger-Dienste nutzen und keine Anlageberatung per Whatsapp anbieten. Das hilft, auch wenn es keinen vollständigen Schutz bietet. Auch Linkedin kann dafür ein sinnvoller Ort sein.
Wie lange dauert es in der Regel, bis Täter gefasst und zur Rechenschaft gezogen werden?
Münzer: Wir sind keine Strafverfolgungsbehörde, sondern zuständig für die Gefahrenabwehr – wir sorgen dafür, dass schädigende Angebote so schnell wie möglich vom Markt verschwinden. Die strafrechtliche Verfolgung liegt bei den Staatsanwaltschaften. Und ein Großteil der Täter sitzt im Ausland. Das bedeutet internationale Rechtshilfeersuche, gegebenenfalls Auslieferungsverfahren – alles Dinge, die Zeit brauchen. Whatsapp-Betrug ist als Phänomen noch zu neu für abgeschlossene Strafverfahren.
Wie hoch ist der Schaden, den diese Maschen insgesamt anrichten?
Münzer: Im gesamten Cyber-Trading-Bereich geht man seit 2017 von einem weltweiten Schaden im Bereich von 18 Milliarden Euro aus. Für Deutschland lässt sich anhand der Angaben einzelner Bundesländer schätzen, dass der jährliche Schaden mindestens im dreistelligen Millionenbereich liegt. Viele Geschädigte melden sich jedoch gar nicht – aus Scham, weil es ihnen peinlich ist, auf eine solche Masche hereingefallen zu sein. Die Dunkelziffer ist hoch.
Eine letzte Frage: Betrüger setzen zunehmend auch Deepfakes und KI-generierte Inhalte ein. Wie groß ist diese Bedrohung?
Münzer: Sie ist real und wächst schnell. Die Technik, die man heute braucht, um ein glaubwürdiges Deepfake-Video oder eine täuschend echte Audiodatei zu erstellen, ist erschreckend leicht zugänglich. Selbst wer sich beruflich mit Ermittlungen beschäftigt, kann KI-generierte Inhalte nicht immer sofort zuverlässig erkennen. Das ist kein Phänomen, das man kleinreden sollte. Betrug entwickelt sich immer entlang der technischen Möglichkeiten – das war schon immer so, und daran wird sich nichts ändern.
Über den Interviewten
Jens Münzer ist Experte bei der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) für die Abwehr von Gefahren durch unerlaubte Geschäfte.
