Image
Gift im Babybrei – nur eine von vielen Varianten der Erpressung von Unternehmen Foto: © Kunstzeug – stock.adobe.com

150 Erpresserschreiben pro Woche (Ausgabe 01/18)

Auch Unternehmen sind erpressbar. Während Konzerne auf solche Fälle meist vorbereitet sind, haben Mittelständler oft keinen Krisenplan. Das sollte sich ändern.



Ein Erpresser-Schreiben markiert für Konzernmanager und Firmenchefs gleichermaßen den Beginn eines Albtraums. Für verschiedene deutsche Unternehmen der Lebensmittelbranche wurde er am 16. September 2017 wahr. An diesem Tag erhielten die Firmen zeitgleich mit der Polizei die E-Mail eines Erpressers. Er drohte damit, in Baden-Württemberg und weiteren Bundesländern vergiftete Lebensmittel in Umlauf zu bringen, und forderte einen zweistelligen Millionenbetrag.

Bei den Behörden ging zudem eine Mitteilung ein, in der der Erpresser schrieb, er hätte in einem Lebensmittelgeschäft in Friedrichshafen fünf vergiftete Gläschen mit Babynahrung deponiert. Tatsächlich fand die Polizei die Gläschen und stellte sie sicher. In Wuppertal und Dortmund waren Anfang 2016 manipulierte Nutella-Gläser entdeckt worden. Dort hatten mehrere Erpresser von einer Supermarkt-Kette fünf Millionen Euro verlangt und angedroht, bei Nicht-Zahlung Lebensmittel zu vergiften.

Fälle von Firmenerpressung wie in Baden-Württemberg und Nordrhein-Westfalen sind keine Seltenheit. Wie viele Unternehmen im Schnitt bundesweit pro Jahr Opfer einer Erpressung werden, lässt sich allerdings nur schwer beziffern. Der Krisennavigator, eine 1998 als Spin-off der Christian-Albrechts-Universität zu Kiel gegründete Forschungs- und Beratungseinrichtung, führt zwar eine Datenbank mit allen Erpressungsfällen in Deutschland, die Zahlen sind jedoch nicht für die Öffentlichkeit bestimmt. Der Polizeilichen Kriminalstatistik zufolge sind 2016 über alle Branchen hinweg rund 150 Erpresserschreiben bei Unternehmen eingegangen – wöchentlich.

Hohe Dunkelziffer

Experten gehen jedoch davon aus, dass eine relativ hohe Dunkelziffer hinzukommt, da nicht alle Konzerne und Mittelständler die Polizei einschalten, sondern die geforderten Summen einfach zahlen. Zudem wird häufig versucht, Erpressungen aus den Medien herauszuhalten, da diese, ebenso wie Entführungen, ein hochsensibles Thema sind. Schließlich möchte kein Firmenchef Nachahmer animieren.

Trotz der schätzungsweise hohen Anzahl von Erpressungen scheint bei mittelständischen Unternehmen noch nicht in ausreichendem Maß angekommen zu sein, dass diese Form der Wirtschaftskriminalität eine ganz realistische Bedrohung darstellt. Dabei sind Mittelständler viel eher gefährdet als große Unternehmen. Immerhin ist es deutlich leichter, eine kleinere Firma ohne besondere Sicherheitseinrichtungen auszuspionieren und schließlich zu erpressen, als einen international tätigen Konzern.

Sucht sich ein Täter einen Mittelständler als Opfer, so ist in der Regel auch die Wahrscheinlichkeit höher, dass er die geforderte Summe erhält. Denn während Großunternehmen auf diese Art von Krisenszenario meist vorbereitet sind und Handlungsstrategien für den Ernstfall aus der Schublade ziehen können, sieht das bei mittelständischen Firmen oft anders aus. „Die meisten Unternehmen dieser Größenordnung verfügen weder über einen Basiskrisenplan noch über eine interne sowie externe Krisenkommunikation oder Kontakte zu Spezialisten“, sagt Markus Weidenauer, Geschäftsführer des Sicherheitsunternehmens Secon Group GmbH in München.

Handlungsplan erarbeiten

Um auf eine Erpressung angemessen reagieren zu können, sollten auch Mittelständler Prävention betreiben. Dafür ist zunächst einmal ein Handlungsplan zu erarbeiten. Dieser regelt, wer im Ernstfall was zu tun hat. So sollten etwa Mitarbeiter in der Poststelle oder im Chefsekretariat genau wissen, wen sie informieren müssen, wenn ein Erpresserschreiben oder eine entsprechende Mail ankommt. Wichtig ist auch, einen Krisenstab zu definieren, der jederzeit schnellstens zusammenkommen kann, um die Situation einzuschätzen und weitere Schritte zu beschließen. Gut ist es, einen solchen Ausnahmefall in regelmäßigen Abständen durchzuspielen. Denn nur wer wie in einer Art „Probealarm“ immer wieder für den echten Notfall übt, kann annähernd realistisch brenzlige Fragen beantworten: Wie ernst ist ein Erpresserschreiben zu nehmen? Mit welcher Wahrscheinlichkeit werden die angedrohten Folgen eintreten? Und wie groß könnte der Schaden – auch der Imageschaden – ausfallen?

„Ziel eines erfolgreichen Krisenmanagements ist es, nicht nur zu reagieren, sondern zu agieren, um wieder Herr der Lage zu werden“, erklärt Weidenauer. Das geht nur mit einer vernünftigen Vorbereitung, immerhin steht im Ernstfall das gesamte Unternehmen unter enormer Anspannung und unter Zeitdruck. Für das Krisenende sollten im Krisenplan sogenannte Wiederanlaufstrategien berücksichtigt sein, um möglichst schnell wieder in den Normalbetrieb übergehen zu können.

Hat eine Erpressung jedoch erheblichen Schaden angerichtet, ist das leichter gesagt als getan. Gerade bei kleineren Firmen können die finanziellen Verluste, die solche Angriffe mit sich bringen, leicht das wirtschaftliche Ende bedeuten. Schließlich schlagen nicht nur die an den Erpresser gezahlten Summen zu Buche. Vielmehr kommen Einbußen etwa durch Betriebsunterbrechungen, Produktrückrufe oder – besonders gravierend – den Verlust von Geschäftsgeheimnissen hinzu.

Individuelle Risiken identifizieren

Es ist daher gut, zu identifizieren, an welchen Stellen eine Erpressung das eigene Unternehmen ganz besonders treffen würde. Stehen die wesentlichen Risiken fest, können auch möglichst passgenaue Versicherungen abgeschlossen werden. Sind etwa häufig Mitarbeiter in Ländern mit einem erhöhten Risiko für Entführungen und Geiselnahmen unterwegs, bieten sich sogenannte Kidnapping- und Ransom-Versicherungen, zu Deutsch: Entführungs- und Lösegeld-Versicherungen, an. Solche K&R-Policen haben mittlerweile auch viele deutsche Versicherer in ihrer Produktpalette. Anders als in anderen EU-Staaten waren sie in Deutschland lange Zeit nicht erlaubt, da es als sittenwidrig und unmoralisch galt, Geschäfte mit solchen Straftaten zu machen. Auch wenn Mittelständler Produktionsstätten oder gar Tochtergesellschaften im Ausland unterhalten, sind K&R-Versicherungen natürlich eine Überlegung wert.

Daneben bieten sich je nach Situation des Unternehmens eventuell auch Policen an, die Betriebsunterbrechungen oder Brandfälle absichern. Für alle Firmen, ganz besonders aber für solche, die sehr stark auf ihre IT angewiesen oder gar in der Industrie 4.0 unterwegs sind, können sich Lösegeldversicherungen empfehlen, die für Cyber-Attacken zahlen. Denn wenn ein Erpresser die IT-Systeme zum Beispiel durch schädliche Trojaner erst einmal verschlüsselt und damit unzugänglich gemacht hat, müssen Unternehmer in der Regel hohe Summen zahlen, um wieder an ihre Daten zu kommen. Ein Albtraum-Szenario – genau wie vergiftete Lebensmittel im Supermarkt. Andrea Martens I redaktion@regio-manager.de

Ausgabe 01/2018