Zahlen sie, sonst

    erfolgreich, Strategie

    “Zahlen Sie, sonst …”: Wie sich Erpressung kontern und sogar verhindern lässt

    Die Drohung kommt meist aus heiterem Himmel: per Brief, Päckchen oder am Telefon mit verzerrter Stimme. Verbunden mit einer Forderung – quasi als Schutzgeld dafür, dass die Drohung nicht wahrgemacht wird. Erpressungsversuche richten sich nicht nur gegen vermögende Privatpersonen, sondern auch gegen Unternehmen. Doch Chefs können sich vorbereiten. Text: Ingo Schenk

    „Hier kommt Dein Albtraum.“ So begann ein Brief, der im Frühjahr 2014 bei Carsten Maschmeyer eintraf. Wie in einem schlechten Krimi aus ausgeschnittenen Buchstaben zusammengesetzt. Der Unternehmer solle seinen Rechtsstreit mit einer Schweizer Bank beenden, forderte der Erpresser, der niemals gefasst wurde. Andernfalls werde Maschmeyer das Urteil nicht mehr erleben.

    Mit dem Tod werden die Chefs mittelständischer Unternehmen zwar in der Regel nicht bedroht, doch vor empfindlichen wirtschaftlichen Schäden sind selbst milliardenschwere Organisationen im Fall einer Erpressung nicht gefeit. Meist sind es nicht mal die geforderten Summen an sich, die Schrecken im Management verbreiten: Deutlich größere Gefahr geht von Betriebsunterbrechungen oder unkalkulierbaren Imageschäden aus. Im Einzelhandel oder bei Lebensmittelproduzenten etwa führen Giftdrohungen und Produktrückrufe schnell zu Stillstand am Fertigungsband und zu Flaute an der Ladentheke. So wurde erst im September in Kiel der „Marzipan-Erpresser“ gefasst, der vom Einzelhändler Coop drei Millionen Euro haben und andernfalls vergiftete Marzipanherzen an Schüler verteilen wollte. Experten warnen: Bei kleineren Firmen können Erpressungsdelikte durchaus das wirtschaftliche Aus bedeuten, wenn die Drohungen zu Panik oder Schockstarre führen und das Management von seiner eigentlichen Arbeit abhält. „Tod durch Erpressung“ macht in solchen Fällen also auch vor Organisationen nicht halt.

    Gegen welche Art von Erpressung ein Unternehmen verwundbar ist, hängt individuell von seinem Geschäftszweck, seiner Branche oder – etwa im Fall von angedrohten Brandanschlägen – seinen Liegenschaften und seiner Infrastruktur ab. Unterschieden wird beispielsweise zwischen Produkterpressung wie im Coop-Beispiel oder Erpressung im Zusammenhang mit Geschäftsgeheimnissen. Durch die digitale Vernetzung wachse zudem das „Bedrohungspotenzial durch digitale Erpressungsrisiken“, warnen die Wirtschaftsprüfer von PwC. Sie haben gemeinsam mit Forschern der Uni Halle-Wittenberg analysiert, wie deutsche Mittelständler aktuell mit Wirtschaftskriminalität in der analogen und in der digitalen Welt umgehen – und welche Sicherheits und Compliance-Maßnahmen sie vorbeugend umsetzen. Eines der Ergebnisse: In Zeiten von Industrie 4.0, also der um sich greifenden Verzahnung von Produktionsschritten und Technologien, sehen inzwischen sogar drei von vier forschungsintensiven Firmen ein erhöhtes Risiko für E-Crime, etwa in Form von Erpressung.

    netzwert
    Industrie 4.0: Wie sich vernetzte Produktion gegen Angreifer schützen lässt, steht auf creditreform-magazin.de/cyberabwehr40

    Wie viele Unternehmen hierzulande Opfer von Erpressung werden, lässt sich nicht sicher bestimmen – denn nicht in jedem Fall entscheiden sich die Ermittler und der Erpresste, an die Öffentlichkeit zu gehen. „Hinzu kommt eine entsprechende Dunkelziffer, da der geforderte Betrag teilweise auch ohne das Einschalten von außenstehenden Personen gezahlt wird“, sagt Markus Weidenauer, der mit seiner Seccon Group GmbH exponierte Familien und mittelständische Firmen bei der Gefahrenabwehr berät. Da Erpressungen, ebenso wie Entführungen, für die Betroffenen ein äußerst sensibles Thema sind, sehen sie sich nicht gern in den Medien – auch, um keine weiteren potenziellen Täter auf den Plan zu rufen.

    Hohe Dunkelziffer

    Zwar führt das Kieler Institut für Krisenforschung eine Datenbank aller Erpressungsfälle in Deutschland seit 1984, doch will es deren Zwischenstand nicht veröffentlichen: Man habe sich mit Unternehmen darauf verständigt, die Zahlen nicht in die Öffentlichkeit zu tragen. „Alljährlich gibt es in Deutschland 50 bis 60 Fälle von Entführungen“, verrät Institutsleiter Frank Roselieb dann aber doch. Erpressungen kämen „deutlich häufiger“ vor.

    „Viele Unternehmer gehen davon aus, dass Erpressung keine oder eine unwahrscheinliche Gefährdung für sie darstellt“, sagt Sicherheitsexperte Weidenauer. Doch er weiß: „Jedes Unternehmen ist gefährdet.“ Kleinere sogar mehr als größere. Erpressung und Ausspionieren gingen leichter vonstatten, wenn es sich nicht um einen weltweit agierenden Konzern handelt, sondern um einen kleinen Familienbetrieb ohne Sicherheitsstrukturen. „Auch die Wahrscheinlichkeit, tatsächlich an das geforderte Geld zu gelangen, scheint für Erpresser auf den ersten Blick höher zu sein, wenn der Mittelstand als Ziel auserkoren wird“, so der Berater. Schließlich verfügten die wenigsten Betriebe dieser Größenordnung über einen Basiskrisenplan mit ausgesuchten Krisenstabsvertretern, definierten Szenarien, einer internen sowie externen Krisenkommunikation und über Kontakte zu ausgewiesenen Spezialisten, um diese Ausnahmesituation getrennt vom Firmenalltag bewältigen zu können. Je nach Größe und Struktur des Unternehmens sollte die Prävention daher bereits weit im Vorfeld ansetzen. Es muss einen klar geregelten Ablauf geben.

    Prävention
    • Jedes Unternehmen sollte über einen Krisenplan und einen Krisenstab verfügen und dessen Mitglieder regelmäßig schulen.

    • Kritisch prüfen, wer in den Krisenstab gehört.

    • Die Kollegen in Poststelle oder Telefonzentrale sensibilisieren.

    • Eine Schwachstellenanalyse prüft: Wie gut ist ein Firmengebäude

    gegen Eindringlinge abgesichert? Arbeitet der Werkschutz effektiv? Wer hat die Möglichkeit, die Produktion zu manipulieren?

    • Vorkehrungen treffen: Ist etwa die Produktion gegen Verunreinigungen geschützt, haben Saboteure wenig Aussicht auf Erfolg.

    …und Reaktion
    • Seltsam erscheinende Anrufe aufnehmen und an den Sicherheitsbeauftragten weiterleiten.

    • Vorbereitete interne Prozesse auslösen, Geschäftsführung informieren, Zusammenkunft des zuvor definierten Krisenstabs.

    • Interne Lagebewertung ist wichtig: Ist das Erpresserschreiben ernst zu nehmen?

    • Bestimmung weiterer Schritte mit externen Beratern und gegebenfalls den Behörden.

    • Vorsicht: Verdächtige Briefe und Päckchen gehören nicht in die Hände von Mitarbeitern, sie sind Arbeit für die Spurensicherung.

    • Entwicklung einer Strategie und entsprechender Maßnahmen mit dem Ziel: agieren statt reagieren.

    • Bei Krisenende: zuvor definierte Wiederanlaufstrategien für die Rückkehr zum Normalbetrieb anwenden.

    Normalbetrieb wiederherstellen

    Zunächst einmal sollten interne Prozesse definiert werden. Kommt etwa ein Erpresserschreiben gemeinsam mit weiterer Post an, hat der betroffene Mitarbeiter zu wissen, wen er zu informieren hat und wie die anschließenden Schritte aussehen. Entsprechende Schulungen sollten einmal pro Jahr eine fiktive Krisenlage durchspielen. Der zuvor definierte Krisenstab kommt zusammen und nimmt eine Lagebewertung vor. Er prüft unter anderem, inwieweit das Erpresserschreiben ernst zu nehmen ist – und bestimmt dann gemeinsam mit Beratern und gegebenenfalls mit der Polizei, wie die nächsten Schritte aussehen.

    In der Erstbewertung können nachfolgende Fragen durchaus relevant sein: Wie wahrscheinlich ist es, dass die angedrohten Konsequenzen eintreten? Wie ernsthaft ist die Absicht, jemandem Schaden zuzufügen? Wie groß ist der Imageschaden, wenn die Öffentlichkeit von der Erpressung erfährt? „Entscheidend ist in dieser Phase, die oft von Zeitdruck, unklarer Faktenlage und unter Umständen auch von Mediendruck geprägt ist, die richtige Strategie festzulegen und daraus Maßnahmen abzuleiten“, so Markus Weidenauer. Ziel eines jeden erfolgreichen Krisenmanagements sei es, nicht nur zu reagieren, sondern zu agieren, um wieder Herr der Lage zu werden. Für das Krisenende sollten im Krisenplan sogenannte Wiederanlaufstrategien berücksichtigt sein, um möglichst schnell wieder in den Normalbetrieb übergehen zu können.

    Zusätzlich zu einem Ablaufplan mit definiertem Entführungsszenario sollten sich Unternehmen mit einer entsprechenden Versicherung für den Ernstfall auseinandersetzen, denn sogenannte „Kidnap & Ransom“-Policen, also Entführungs- und Lösegeldversicherungen, kommen für den durch die Erpressung entstandenen Schaden auf. Hierfür müsse sich der Unternehmer aber exakt an zuvor formulierte Bedingungen halten, mahnt Berater Weidenauer. Häufig bestehen die Versicherer zudem darauf, dass Berater hinzugezogen werden – was vielen mittelständischen Kunden, die noch keine eigenen Vorsichtsmaßnahmen ergriffen haben und über keinen Krisenstab verfügen, durchaus entgegenkommt. So wirbt etwa der Spezialversicherer Hiscox in einer Broschüre: „Mit dem in der Deckung enthaltenen Zugriff auf den Krisenberater Control Risks erhält der Kunde eine sofortige professionelle Unterstützung, welche bis zur Beendigung der Krisensituation zur Verfügung steht.“ Und schreibt verständnisvoll dazu: „Entführungen oder Erpressungen stellen immer eine emotionale Ausnahmesituation dar.“

    Die Polizei einschalten – oder besser nicht?

    Im besten Fall hat das Unternehmen bereits ein individuell ausgearbeitetes Sicherheitskonzept, das eine Zusammenarbeit zwischen interner Sicherheitsabteilung und externen Kräften, zu denen unter anderem die Polizei zählt, inkludiert. Liegt ein solches Konzept aber nicht vor, sollte die Polizei direkt eine Schlüsselrolle einnehmen – und beim ersten Verdacht der Erpressung umgehend informiert werden. Schließlich handelt sich hierbei um eine offizielle Straftat, die entsprechend verfolgt werden muss. „Auch um das Risiko einer weiteren Erpressung zu reduzieren, ist es ratsam, wenn Firmen neben internen Sicherheitsvorkehrungen immer auf polizeiliche Unterstützung setzen“, heißt es ergänzend bei der Seccon Group: „Häufig denken Betroffene, sie könnten der Krisensituation selbst Herr werden – doch das ist ein Irrglaube, der die Situation in der Regel nur verschlimmert.“


    Wir freuen uns über Diskussionen und Ihre Kommentare.
    Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

    Kommentar absenden

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    CAPTCHA-Bild

    *

    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Lesen Sie weiter