Dieser Artikel richtet sich ausschließlich an professionelle Investoren. Bitte melden Sie sich daher einmal kurz an und machen einige berufliche Angaben. Geht ganz schnell und ist selbstverständlich kostenlos.
Das „Haus der Schweiz“ ist ein historisches Geschäftshaus im Berliner Ortsteil Mitte. 1934 ließ die Schweizerische Bodenkreditanstalt, Vorgängerin der Credit Suisse, das Gebäude an der Prachtstraße Unter den Linden Ecke Friedrichstraße errichten. Heute haben laut Handelsregister 102 Unternehmen ihren Sitz an der Adresse Friedrichstraße 155. Die „Falcon Vermögensverwaltung AG“ findet sich nicht darunter.
Gefälschte Homepage mit echten Daten
Warum das erwähnenswert ist? Unter der Domain „falcon-vermoegensverwaltung.de“ ist eine Website zu finden, die genau diese Adresse als Anschrift des Unternehmens nennt. Die Krux: Die Website ist gefälscht. Deutlich wird das jedoch erst auf den zweiten Blick.
Auffällige Rechtschreibfehler finden sich keine. Ein Impressum? Ist vorhanden. Das weist unter anderem den geschäftsführenden Gesellschafter, die Handelsregisternummer und ehemalige Bafin ID aus. Ehemalig, weil der Vermögensverwalter, der sich derzeit in einem Insolvenzverfahren befindet, seine Bafin-Zulassung inzwischen verloren hat.
Auf der angeblichen Homepage des Vermögensverwalters finden sich nur bei genauerem Hinschauen Ungereimtheiten. Zunächst ist der eigentliche Sitz der Falcon Vermögensverwaltung in Frankfurt statt im „Haus der Schweiz“ in Berlin. Ansprechpartner werden nicht genannt. Welche Dienstleistungen Privat- und institutionellen Kunden angeboten werden, bleibt im Unklaren. Auf der Seite werden zudem Erfahrungsberichte von Kunden zitiert – vermeintliche Kunden, wie eine Bildersuche bei Google nahelegt. Der dort genannte „Dr. Johannes Richter“ etwa, scheinbar ein zufriedener Stiftungsmanager, hat in Wahrheit einen anderen Namen und ist an einem Erfurter Klinikum tätig.
Zahl der Identitätsmissbräuche hat zugenommen
Fast täglich warnt die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) vor solchen Identitätsmissbräuchen. Genaue Statistiken führt die Behörde zwar nicht. Erkennbar sei jedoch, dass die Zahl solcher Fälle in den vergangenen 18 Monaten zugenommen habe, sagt ein Bafin-Sprecher auf Anfrage dieses Mediums. Auch die beschriebene Website hat diese Redaktion der Bafin gemeldet. Am Donnerstag warnte die Aufsicht: „Die Angebote stammen nicht von der vormals von der Bafin beaufsichtigten Falcon Vermögensverwaltung AG. Es handelt sich um einen Identitätsdiebstahl.“
Fast geschafft
Bitte auch im Spam-Ordner schauen!
Ein möglicher Grund für zunehmend mehr Identitätsmissbräuche: Generative KI. „Künstliche Intelligenz hebt Betrug auf eine neue Ebene“, schreiben Experten der Unternehmensberatung KPMG. Der geringe Aufwand an Arbeit, Zeit und Kosten macht es für Cyberkriminelle attraktiv, KI zu nutzen. Websites und Texte, in der Vergangenheit mit hohem Rechercheaufwand verbunden, lassen sich inzwischen innerhalb weniger Minuten erstellen.
Crime-as-a-Service: Betrüger beauftragen Website-Gestalter
Die Betreiber dieser gefälschten Websites können in den seltensten Fällen ermittelt werden, die Auftraggeber noch seltener. Oftmals steht hinter dieser Betrugsmasche eine ganze Wertschöpfungskette. Der Begriff „Crime-as-a-Service“ (CaaS) beschreibt, dass sich einzelne Teilleistungen in der Internetkriminalität zunehmend fragmentieren und spezialisieren. Ein Beispiel: Mittlerweile beauftragen Betrüger Dienstleister mit der Website-Gestaltung. Die fertigen diese Seiten dann am Fließband an. Häufig unterscheidet sich nur der Name des Unternehmens und die Angaben im Impressum.
Das könnte auch folgendes Kuriosum aus dem aktuellen Fall erklären: Wer die Telefonnummer mit Berliner Vorwahl wählt, die auf der vermeintlichen Website der Falcon Vermögensverwaltung genannt ist, landet auf einem Anrufbeantworter. „Herzlich willkommen bei der Drexl & Staehle Vermögensverwaltungs GmbH. Leider rufen Sie außerhalb unserer Geschäftszeiten an“, sagt eine elektronische Stimme.
Betroffener Vermögensverwalter: „Website war umfangreich gestaltet“
Auch diese Mailbox: Ein Fake. Die Drexl & Staehle Vermögensverwaltung sitzt in Sindelfingen, Baden-Württemberg. Und sie hat sowohl mit der echten, als auch der falschen Falcon Vermögensverwaltung nichts zu tun.
Am 12. September dieses Jahres rief ein Mitarbeitender der Bundesbank bei der Drexl & Staehle Vermögensverwaltung an. Im Vorfeld einer Prüfung hatte die Vermögensverwaltung richtigerweise angegeben, keine eigene Homepage zu haben. Doch die Bundesbank-Prüfer fanden eine. „Wir konnten zum Glück schnell glaubhaft machen, dass wir die Website nicht betreiben“, sagt Geschäftsführer Martin Stähle. Am kommenden Tag erstattete Stähle Anzeige bei der Kriminalpolizei und meldete die gefälschte Homepage der Bafin.
„Die Website war sehr umfangreich und professionell gestaltet“, erinnert sich Stähle. Im Impressum waren die Gesellschafter, Handelsregisternummer und Bafin-ID angegeben. „Wir hätten uns nicht träumen lassen, dass jemand mit unseren Daten und unserem Namen so eine Website erstellt.“ Auch dort wurde die Berliner Friedrichstraße 155 als Anschrift genannt. Mutmaßlich waren die gleichen Betrüger am Werk. Derzeit liegt das Verfahren bei der Staatsanwaltschaft Stuttgart.
Die Betrüger wollen auf solchen Websites in der Regel über Eingabefelder an persönliche Daten gelangen. In diesen Eingabefeldern fragen die Betrüger Mailadressen und Telefonnummer ab. Schließlich ist die Homepage nur das Schaufenster. Der eigentliche Betrug findet statt, wenn Besucher der Website ihre Daten übermitteln. Dann können die Betrüger Kontakt aufnehmen und die Betroffenen – im Glauben, sie würden mit einem Vermögensverwalter kommunizieren – dazu bringen, Geld an die Kriminellen zu überweisen.
Betrug läuft auch über Telefon- und Videoanrufe
Bei solchen Social-Engineering-Angriffen, die den Mensch als Schwachstelle nutzen, bietet Künstliche Intelligenz ebenfalls neue Möglichkeiten. „Die KI kann mit E-Mails von realen Personen oder Unternehmen trainiert werden, um daraufhin Texte mit authentisch wirkenden Inhalten und im passenden Schreibstil für die relevanten Personen oder Unternehmen zu erstellen und zu versenden“, heißt es in dem KPMG-Beitrag. „Darüber hinaus ist KI inzwischen in der Lage, Dokumente und Bilder zu manipulieren, Stimmen zu imitieren und Menschen für Videokonferenzen nachzuahmen.“
Für Vermögensverwaltungskunden oder potenzielle Kunden werden solche Betrugsmaschen somit zu einer noch komplexeren Bedrohung. Die erfolgt nicht mehr nur via E-Mail, sondern ist täuschend echt auch über Telefon- oder gar Videoanrufe von Tätern aus dem Ausland technisch möglich.
Kaum wirksamer Schutz vor dem Identitätsklau
Überweisen Betroffene tatsächlich Geld an die Täter und erleiden einen finanziellen Schaden, steht die Frage im Raum, ob Vermögensverwalter von ihnen Regressansprüche fürchten müssen. Die dürften in der Praxis selten bestehen, sagt Thomas Feil, Fachanwalt für IT-Recht. „Wenn die jeweiligen Vermögensverwalter alle üblichen Sicherheitsmaßnahmen zum Schutz der Webseiten erfüllt haben, sehe ich keinen Rechtsanspruch potenzieller Kunden, die Geld an Betrüger gezahlt haben.“ Um Regressansprüche durchzusetzen, müssten die Kunden nachweisen, dass die echten Vermögensverwalter schuldhaft Pflichten verletzt haben. „Dies werden die meisten Kunden nicht nachweisen können“, so Feil.
Einen wirksamen Schutz für Vermögensverwalter vor solchen Betrügereien sieht Feil nicht. Da Betrüger häufig mit ähnlichen Domains wie die echten Vermögensverwalter arbeiten, bliebe höchstens die Möglichkeit, alle ähnlichen Domainnamen für sich zu registrieren, um auszuschließen, dass diese missbräuchlich genutzt werden. Inwieweit dies aber ein tatsächlicher Schutz ist, ist fraglich. „Einige Kunden sind nach meiner Beobachtung nicht sehr sorgfältig im Umgang mit Domainnamen, sodass dies vermutlich nicht in allen Fällen hilft“, sagt Feil.
Auch der VuV ist von Website-Fälschern betroffen
Stoßen Unternehmen auf gefälschte Websites, empfiehlt der Verband unabhängiger Vermögensverwalter (VuV), auf der eigenen, echten Homepage zu warnen sowie Bafin und Staatsanwaltschaft zu informieren. Der Verband betont, zudem, dass Anleger so oft wie möglich darauf hingewiesen werden sollten, dass Vermögensverwalter nicht befugt sind, Kundengelder entgegenzunehmen und Anlagegelder somit ohnehin nicht an den unabhängigen Vermögensverwalter überwiesen werden sollten.
In einigen Fällen muss sich der Verband selbst gegen Betrüger wehren, wenn fälschlicherweise angegeben wird, dass Unternehmen Mitglied im VuV seien. Der Verband veröffentlicht dann Warnhinweise auf seiner Homepage. Letztmals war dies am 23. September 2024 der Fall. „Es kam schon vor, dass trotz allem die einschlägige Webseite monatelang geschaltet war“, sagt Nero Knapp, geschäftsführender Verbandsjustiziar.
Im Fall Drexl & Staehle hatte der Schrecken ein schnelles Ende, die Homepage war nach wenigen Tagen offline. Anders als die der Falcon Vermögensverwaltung. Hier könnten sich Interessierte noch immer an die Mailadresse wenden, eine Nachricht auf der Mailbox hinterlassen – oder in der Friedrichstraße 155 in Berlin vorbeischauen. Den gewünschten Vermögensverwalter werden sie im „Haus der Schweiz“ jedoch nicht finden.