ServerBase Blog
Ein Meister der Täuschung: Wie Evaldas Rimasauskas Google und Meta um Millionen betrog
Wir haben vielleicht das Bild der Grossmutter vor Augen, wenn es um einfachen Betrug geht. So klingelt das Telefon bei Grossmutter Berti, sie hebt ab und der verschollene Enkel Maximilian ist am Telefon. Er ist in Not, sitzt gerade in Paraguay in einem Knast. Hat sich nichts zuschulden kommen lassen, aber die korrupte Polizei will Geld, ohne dieses geht die Reise nicht weiter. Sein Traum, die Welt zu sehen, endet in einem dunklen Loch, ohne Tageslicht. Grossmutter Berti kann helfen, mit ein paar tausend kann er sich bei der korrupten Polizei freikaufen. Sie ist seine einzige Chance, und Grossmutter Berti überlegt nicht lange und überweist das Geld.
Wenn es US-Big-Tech aus dem Silicon Valley trifft – rutscht die Augenbraue hoch, und aufkommende Schadenfreude und eine Menge Fragezeichen wechseln sich ab.
Was ist passiert?
Zwischen 2013 und 2015 überwies Meta rund 98 Mio. USD und Google rund 23 Mio. USD an ein fingiertes Unternehmen. Rimasauskas imitierte den taiwanischen Hardwarehersteller Quanta Computer. Dieser war bei beiden Unternehmen ein namhafter Zulieferer für Hardware. Es bestand mit diesem entsprechend eine echte Geschäftsbeziehung. Rimasauskas stellte gefälschte Rechnungen, Verträge, Signaturen und Stempel aus – im Namen von Quanta Computer Inc. Zwar handelte es sich um Beträge in Millionenhöhe – für Google oder Meta „Peanuts“ –, doch fällt hier auf, dass Prozesse versagten: Es gab keinen Alarm, keine vertiefte Prüfung – die Zahlungen liefen einfach durch. Der Betrug blieb unerkannt, bis Bankinstitute gemäss dem Bank Secrecy Act (BSA) von 1970 einen Suspicious Activity Report (SAR) beim Financial Crimes Enforcement Network (FinCEN) einreichten. Ohne diese Meldung wäre der Fall nie ans Tageslicht gekommen.
Wie lief der Scam ab?
Vorbereitung
Er ging bei der Recherche geduldig und psychologisch raffiniert vor. Heute könnte man vieles davon bequem mit KI automatisieren – aber als Evaldas Rimasauskas seinen Plan vor über zehn Jahren schmiedete, brauchte es vor allem eins: echtes Handwerk. Die verfügbaren Informationen deuten darauf hin, dass Rimasauskas systematisch vorging. Zwar gibt es keine öffentlich zugänglichen Protokolle seiner Vorbereitungsphase, doch Indizien lassen plausibel rekonstruieren, wie er vorging. Bekannt ist etwa, dass er mehrfach telefonisch mit den betroffenen Unternehmen Kontakt aufnahm – angeblich zu harmlosen Zwecken. Es ist anzunehmen, dass er zuerst online recherchierte und so bereits wusste, dass der taiwanesische Hardwareproduzent Quanta Computer Zulieferer bei beiden Unternehmen war. Dies ist sicherlich bereits zu diesem Zeitpunkt öffentlich ersichtlich. Wahrscheinlich gab er sich als Mitarbeiter von Quanta aus, der „noch schnell etwas gegenprüfen“ müsse. Ein Klassiker, der fast immer wirkt – denn wer hilft nicht gern freundlich und schnell, wenn die Anfrage professionell klingt?
Es liegt nahe, dass er gezielt Fragen stellte wie: „Ich bin neu und soll etwas für ein Projekt liefern, nun weiss ich nicht mehr, welches Projekt mein Chef meinte. Ich bin hier echt in der Patsche und ganz neu, kannst du mir auf die Sprünge helfen?“ „Wurde das Material für Projekt XY eigentlich schon geliefert?“ oder „Können Sie mir nochmals bestätigen, wer der Ansprechpartner für Quanta ist?“ – beiläufig genug, um nicht misstrauisch zu wirken, aber konkret genug, um an sensible Informationen zu kommen.
Ob Rimasauskas dabei allein vorging oder ein kleines Team hatte, lässt sich nicht mit Sicherheit sagen. Fest steht aber: Er wusste, wie er vorgehen musste, wie man Menschen zum Reden bringt. Denn wer aufmerksam zuhört, bekommt oft mehr Informationen, als seinem Gegenüber lieb ist.
Firma und Konten für den Scam bereitstellen
Sobald Evaldas Rimasauskas wusste, dass der taiwanische Hardwarehersteller Quanta Computer Inc. beide Tech-Giganten regelmässig belieferte, fehlte ihm nur noch eins: eine überzeugende Kopie. Und wie fälscht man einen multinationalen Konzern? Ganz einfach – man gründet ihn einfach neu. Zumindest auf dem Papier.
In Lettland, wo das Firmenregister recht unkompliziert funktioniert, liess Rimasauskas eine Gesellschaft mit nahezu identischem Namen eintragen. Ein kleiner, aber entscheidender Trick: Die Firmierung war legal, die Absicht natürlich nicht. Mit der neu gegründeten „Quanta“ verfügte er nun über eine legitime Firmenadresse, einen Klon. Im Namen dieses Klons konnte er nun Bankkonten in Lettland und Zypern anlegen. Irgendwo mussten die Zahlungen ja später hin. Damit war die erste Hürde genommen: ein offiziell aussehendes Unternehmen mit Namen, die in den Buchhaltungssystemen von Meta und Google längst vertraut waren.
War das besonders raffiniert? Jein. Diese Lösung war erstaunlich direkt – fast zu simpel für einen so gross angelegten Betrug. Der erfolgreiche Kriminelle hätte womöglich Strohmänner eingesetzt, Offshore-Trusts konstruiert oder über Komplizen Drittkonten eröffnet, um seine eigene Identität zu verschleiern. So aber war die Spur klarer als nötig. Vielleicht war Rimasauskas schlicht davon überzeugt, dass niemand so genau hinschauen würde. Und, zu seinem Pech: hatte er damit lange Zeit recht. Was erst den hohen Schaden ermöglichte, jedoch auch einen negativen Impact auf das Strafmass hatte.
Hilfsmittel für Fälschung
Wer Rechnungen mit Millionenbeträgen stellt, braucht mehr als nur eine schöne Rechnung. Wenn der Absender glaubwürdig wirken soll, müssen die Unterlagen stimmig sein und das heisst: korrekte Ansprechpartner, passende Vertragsinhalte, autorisierte Unterschriften und offizielle Firmenstempel. Genau das beschaffte sich Rimasauskas oder liess es beschaffen.
Wie aber kommt man an solche sensiblen Informationen wie Unterschriften von Führungskräften oder das Stempelbild eines grossen Zulieferers? Tatsächlich erstaunlich einfach: In grossen Firmen finden sich solche Signaturen auf unzähligen Dokumenten: sei es in Pressemitteilungen, öffentlich zugänglichen Vertragsunterlagen, Handelsregisterauszügen oder bei Branchenevents, an denen Verträge präsentiert werden. PDFs, die im Internet kursieren, lassen sich mit einfachsten Tools analysieren, extrahieren und weiterverwenden. Auch Stempelabdrücke sind oft keine Mangelware. Wer je ein internationales Lieferdokument oder ein offizielles „Proof of Delivery“-Formular gesehen hat, weiss: Stempel sind dort fast immer zu finden – häufig eingescannt und somit digital zugänglich. Kombiniert mit einem halbwegs fähigen Bildbearbeitungsprogramm ergibt sich eine täuschend echte Replik.
Rimasauskas stellte offenbar ein ganzes Set an gefälschten Unterlagen zusammen: Briefköpfe, Vertragskopien, Autorisierungsschreiben: alles fein säuberlich signiert und abgestempelt. Das Ziel: ein Dokumentenpaket, das auf den ersten Blick aussieht, als käme es direkt aus der Rechtsabteilung eines globalen Hardwareproduzenten.
Geldwäschenetzwerk
Wer auf einen Schlag Dutzende Millionen US-Dollar ergaunert, hat ein neues Problem: Wie bringt man das Geld in Sicherheit, ohne dass es jemand merkt? Denn eines ist klar, solche Beträge können nicht einfach auf einem lettischen Firmenkonto liegen bleiben, wenn das Geld sicher sein soll vor Behörden und betrogenen Unternehmen. Das Ziel lautet: verschleiern, verschieben, verwässern – kurz: waschen. Doch Geldwäscherei ist keine One-Man-Show. Sie ist eine Disziplin für Profis.
Rimasauskas hätte vermutlich Jahre gebraucht, um sich selbst ein funktionierendes Netzwerk aufzubauen. Deshalb ist es sehr wahrscheinlich, dass er auf bestehende Strukturen zurückgriff – Dienstleister aus dem organisierten Cybercrime-Umfeld, die sich auf solche Aufgaben spezialisiert haben. Wer im Darknet weiss, wo er suchen muss, findet Plattformen, auf denen sogenannte „Money Mules“, Offshore-Company-Provider und Zahlungsdienstvermittler aktiv sind – ein vollständig ausgelagerter Service, der ganz legal aussieht, aber tief kriminell funktioniert.
Wie genau das Netzwerk in diesem Fall aussah, ist bis heute nicht öffentlich bekannt. Fakt ist jedoch: Das Geld floss über Bankkonten in Zypern, Lettland, Estland, Ungarn, Hongkong und der Slowakei – verteilt über ein feinmaschiges Netz von Firmenkonstrukten und Kontobeziehungen. Das lässt darauf schliessen, dass Rimasauskas entweder über ein gut organisiertes kriminelles Netzwerk verfügte oder eben über die Kontakte, um solche Netzwerke gezielt einzukaufen.
Ein Hinweis darauf, dass nicht alles nach Plan lief: Ein erheblicher Teil der Gelder konnte von den US-Behörden eingefroren oder zurückverfolgt werden. Das spricht entweder für schnelles Handeln der involvierten Banken oder dafür, dass ein Glied in der Geldwäschekette weniger professionell war, als gehofft. Mafiaähnliche Organisationen sind/waren hier wesentlich erfolgreicher beim Waschen, haben schliesslich aber auch Jahrzehnte, in einigen Fällen sogar mehrere Jahrhunderte Erfahrung.
Umsetzung
Rechnungsstellung
Jetzt kam der entscheidende Schritt: die Zustellung der Rechnung. Rimasauskas versandte professionell gestaltete Rechnungen per E-Mail – versehen mit täuschend echten Vertragskopien, E-Mail-Verläufen, Signaturen und Stempeln. Alles sah exakt so aus, wie es ein echter Zulieferer tun würde. Die Dokumente passten ins gewohnte Bild, die Beträge wirkten plausibel. So, dass bei Meta und Google weder ein System noch ein Mitarbeiter Alarm schlug.
Nachfragen beantworten
Natürlich – wer viel Geld verlangt, muss mit Rückfragen rechnen. Doch auch das hatte Rimasauskas clever vorbereitet. In seinen E-Mails hinterlegte er konkrete Ansprechpersonen, Mitarbeiter von Quanta Computer. Die Kontaktinformationen waren gefälscht, sprich führten zu ihm oder jemandem aus dem Team. Dies sowohl für E-Mails als auch telefonische Rückfragen. So stellten Rückfragen keine Gefahr dar, sondern gehörten zum Skript. Solange niemand auf die Idee kam, den echten Quanta-Kontakt zu prüfen, lief alles wie geschmiert. Hier machte er sich schlicht die menschliche Bequemlichkeit zunutze. Die bestehenden Kontaktinformationen zu nutzen, anstelle diese zu suchen oder bei einem anderen Kontakt bei Quanta nachzufragen.
Hier ist noch zu bedenken, dies war noch vor der Stimmsynthese, heute wäre das noch um ein Vielfaches einfacher. Dies auch bei kleinen Firmen, bei welchen die Person, welche die Rechnung unterzeichnet hat, vielleicht noch kennt und die Nummer abgespeichert hat. Hier kommen dann Hilfsmittel wie SIM-Swapping zum Einsatz und Stimmsythese. Hier war aber alles viel einfacher gestrickt.
Geld auf dem Konto
Als das erste Geld tatsächlich eintraf – Millionenbeträge von Google oder Meta – muss es ein Moment gewesen sein, der schwer in Worte zu fassen ist. Wahrscheinlich eine Mischung aus Triumph, Adrenalinschub und Angst. Alles war möglich. Gleichzeitig konnte jeden Moment alles vorbei sein. Doch anstatt sich zurückzulehnen und zu feiern, musste jetzt schnell gehandelt werden, denn wer das Geld zu lange ruhen lässt, geht ein grosses Risiko ein.
Geldwäsche
Innerhalb kürzester Zeit wurden die Gelder aufgeteilt, verschoben und verschleiert. Wie genau das funktionierte, weiss nur Rimasauskas selbst und jene, die für ihn arbeiteten. Sicher ist: Ein Teil der Summen wurde wiedergefunden und eingefroren. Ob das an schlampiger Arbeit im Geldwäschenetz lag oder an der Schnelligkeit der Ermittler – bleibt offen. Da der Scam über drei Jahre hinweg lief, liegt nahe, dass es sich um ersteres handelt, da die Ermittlungen erst am Ende gestartet werden konnten. Wahrscheinlich war es also eine Mischung, da die letzten Beträge vermutlich dann von den Banken eingefroren wurden.
Wiederholung
Es spricht vieles dafür, dass Rimasauskas zuerst bei Meta zuschlug und nachdem der Coup wiederholt so reibungslos verlief, den gleichen Trick bei Google erneut anwandte. Die Infrastruktur war bereits da: dieselbe gefälschte Firma, dieselben Konten, dieselben Stempel. Nur die Recherche beim zu scammenden Unternehmen, in diesem Fall Google, musste er zusätzlich durchführen. Warum also nicht gleich noch einen zweiten Giganten schröpfen? Der Mehraufwand war gering – die Aussicht auf weitere Millionen gross. Dass er diesem Reiz nicht widerstehen konnte, überrascht nicht. Es zeigt nur, wie leicht man sich von Erfolg zur Selbstüberschätzung verleiten lässt. Wobei in diesem Fall vermutlich eher die Wiederholung generell das Problem darstellte. Mit der gleichen Firma und denselben Konten. Die Betrogenen haben ja nie etwas bemerkt. Hier war wohl mehr die Bequemlichkeit des Betrügers das Problem.
Wie wurde der Scam aufgedeckt?
Die erste Spur – von den Banken, nicht von den Opfern
Anders als man erwarten würde, waren es nicht Meta oder Google, die den Schwindel bemerkten. Vielmehr schlugen die Banken Alarm. In den USA – wie auch in der Schweiz – sind Finanzinstitute verpflichtet, verdächtige Transaktionen zu melden. In der Schweiz wird dieses Thema gerade aktuell im Parlament diskutiert. Hier geht es um die Erweiterung der Meldepflicht innerhalb des Geldwäschegesetzes für Berater wie Anwälte und Treuhänder.
In den USA muss bei verdächtigen Transaktionen ein sogenannter Suspicious Activity Report (SAR) an die Finanzaufsicht und Strafverfolgungsbehörden übermittelt werden. Warum wir mit grosser Wahrscheinlichkeit sagen können, dass nicht Meta oder Google selber die Ermittlungen ins Rollen brachten? Ganz einfach: Der Gerichtsstand des Verfahrens war New York, genauer im Southern District of New York (SDNY). Hätten die Unternehmen selbst zuerst Anzeige erstattet, wäre der Fall wohl in Kalifornien behandelt worden – dort, wo beide Konzerne ihren Hauptsitz haben.
New York hingegen ist ein Zentrum für internationale Finanztransaktionen – mit Banken wie JPMorgan, Citibank oder Goldman Sachs. Dort liefen die Überweisungen ab und genau dort bemerkte man, dass Millionenbeträge an obskure Firmen in Lettland und Zypern gingen, die zuvor nie in Erscheinung getreten waren. Entsprechend lag dann auch die Zuständigkeit in New York. Zunächst vermutete man möglicherweise Geldwäsche, Steuervermeidung oder einen Fall von Wirtschaftskriminalität. Doch je tiefer die Ermittler gruben, desto klarer wurde: Das war kein interner Trick, sondern ein externer Angriff und die Tech-Konzerne hatten nichts bemerkt.
Ermittlungen von FBI und US-Justiz
Nachdem der Anfangsverdacht durch die SAR-Meldungen entstanden war, übernahm das FBI in Zusammenarbeit mit dem U.S. Department of Justice die Ermittlungen. Erste Massnahmen betrafen die Konten, auf denen das Geld landete. Parallel wurden Meta und Google kontaktiert – und dort realisierte man erst, dass man über Monate hinweg grosse Summen an einen Betrüger bezahlt hatte. Wann genau die Unternehmen davon erfuhren, ist nicht öffentlich dokumentiert. Wahrscheinlich geschah dies Ende 2015, da hier der Scam endete. Dies liegt nahe, da die Zahlungen nach der Information nicht mehr flossen. Meta und Google erstatteten dann anschliessend Anzeige, dies muss noch Ende 2015 oder zu Beginn 2016 passiert sein.
Verhaftung in Litauen – März 2017
Am 14. März 2017 wurde Evaldas Rimasauskas in seiner Heimat Litauen festgenommen – auf Basis eines internationalen Haftbefehls der US-Behörden. Das FBI hatte genug Beweise zusammengetragen, um eine Auslieferung zu verlangen. Der Vorwurf: grosser Überweisungsbetrug, internationaler Finanzbetrug und Geldwäsche in dreistelliger Millionenhöhe. Die litauischen Behörden kooperierten mit den USA. Im August 2017 wurde Rimasauskas an die Vereinigten Staaten ausgeliefert – direkt nach New York, wo die Vorwürfe formell erhoben wurden.
Anklage im Southern District of New York
Das Verfahren wurde vor dem United States District Court for the Southern District of New York (SDNY) in Manhattan geführt – einer Gerichtsbarkeit mit grosser Erfahrung bei komplexer Wirtschaftskriminalität. Die Anklagepunkte lauteten:
- Verschwörung zum Überweisungsbetrug (Conspiracy to Commit Wire Fraud)
- Überweisungsbetrug (Wire Fraud)
- Geldwäsche (Money Laundering)
Diese drei Punkte deckten sämtliche Aspekte des Falls ab: die Planung, die Durchführung über elektronische Kommunikation und die systematische Verschleierung der Gelder.
Schuldbekenntnis & Urteil
Anstatt in einen langwierigen öffentlichen Prozess zu gehen, legte Rimasauskas am 5. März 2019 ein Schuldbekenntnis ab. Er gestand seine Rolle als Drahtzieher des Schemas, erklärte, wie er die Firma in Lettland gegründet, Konten eingerichtet und die Gelder verschoben hatte. Damit sparte er sich und der Justiz einen teuren Prozess mit Geschworenen – möglicherweise in der Hoffnung auf Strafminderung. Das Urteil wurde am 28. Januar 2020 gefällt. Richter George B. Daniels verurteilte ihn zu:
- 60 Monaten (5 Jahren) Gefängnis
- 2 Jahren unter Aufsicht (Supervised Release)
- Einziehung von 49’738’559.41 US-Dollar (Forfeiture)
- Schadensersatz in Höhe von 26’479’079.24 US-Dollar (Restitution)
Damit musste Rimasauskas nicht nur seine Beute zurückgeben, sondern auch persönlich für den Schaden aufkommen, den er verursacht hatte. Ein Deal – aber keiner, der ihn aus der Verantwortung entliess.
Fazit: Was bleibt nach dem grössten Fake-Invoice-Scam der Tech-Geschichte?
Die blinden Flecken bei Meta und Google. Wie konnte das passieren? Zwei der grössten und technologisch fortschrittlichsten Unternehmen der Welt wurden mit vergleichsweise simplen Mitteln um über 120 Millionen US-Dollar gebracht. Die Antwort ist ernüchternd: Nicht ein einzelnes Versäumnis, sondern ein ganzes Bündel von Schwächen machte den Betrug möglich.
1. Fehlende oder mangelhafte Verifizierungsprozesse
Der zentrale Fehler: Rimasauskas gab sich als bestehender, vertraglich gebundener Lieferant aus, und niemand prüfte das ernsthaft nach. Die Änderung der Bankverbindung wurde offenbar ohne formelle Gegenprüfung akzeptiert. Ein einfacher Anruf beim echten Quanta-Kontakt hätte genügt. Doch genau das passierte nicht. Das Prinzip der „Out-of-Band“-Verifikation – also die Rückbestätigung über einen unabhängigen Kanal – wurde nicht konsequent angewendet. Ein Paradebeispiel für einen klassischen „Business Email Compromise“-Fehler.
2. Automatisierung ohne menschliche Kontrolle
Bei Konzernen dieser Grösse läuft vieles automatisch. Rechnungen, Verträge, Zahlungsläufe – wenn ein System einmal „ja“ sagt, läuft der Prozess oft durch. Rimasauskas nutzte diese Mechanik aus. War er einmal als Lieferant hinterlegt, konnte er faktisch beliebig Rechnungen stellen – ohne dass jemand innehielt und sich fragte: Moment, wer ist das eigentlich genau?
3. Mangelhafte Schulung der Mitarbeitenden
Viele Betrugsangriffe beginnen mit einem unscheinbaren Phishing-Mail – so auch hier. Rimasauskas hatte offensichtlich keine Mühe, an Informationen zu gelangen. Offenbar fehlte es an Sensibilisierung für Social Engineering. Der Fall zeigt: Selbst gut ausgebildete Mitarbeitende sind anfällig, wenn sie unter Zeitdruck stehen oder zu viel Vertrauen in interne Abläufe setzen.
4. Interne Prozesse ohne Sicherheitsnetz
Bei Zahlungen in dieser Grössenordnung müsste eigentlich mehrstufig geprüft werden. Das Vier-Augen-Prinzip, die saubere Trennung von Aufgaben („Separation of Duties“) oder Freigaben durch verschiedene Abteilungen – all das hätte helfen können. Doch entweder war es nicht implementiert, wurde ausgehebelt oder schlicht nicht ernst genommen.
5. Schwächen in den technischen Schutzsystemen
Zwar war der Angriff primär psychologisch, doch auch die technischen Systeme versagten. Weder E-Mail-Filter noch Transaktionsüberwachung schlugen Alarm. Wurden keine Warnmeldungen bei grossen Überweisungen an neue Empfängerländer ausgelöst? Offenbar nicht. Dies ist wohl für Techunternehmen, welche sich mit ihren Algorithmen rühmen, zu erwarten gewesen. Hier zeigt sich der Unterschied von Marketing & Sales Pitch und der Wahrheit.
Was bedeutet das für Datensicherheit?
Der Vorfall beweist vor allem eins: Es braucht keine Zero-Day-Exploits, keine Quantencomputer, keine NSA-Tools, um Milliardenkonzerne zu täuschen. Es reicht ein Mensch mit einem Telefon, einem Plan und der Fähigkeit, überzeugend zu wirken. Heute ist vieles davon noch viel einfacher möglich und das ohne Spezialkenntnisse. Es gibt Tools, mit denen ich die Stimme synthetisieren kann, ich live mein Gesicht in das des gewohnten Gesprächspartners verwandeln kann und das alles mit extrem wenig Inputdaten. Wo man früher lange Mitschnitte für eine authentische Stimmsynthese benötigte, reichen heute Sekunden. Genauso verhält es sich bei Video-Calls.
Umso wichtiger sind Prozesse, die dies bereits berücksichtigen. Wenn also jemand mit gefälschten Rechnungen Millionen aus den Konten zweier Tech-Riesen ziehen kann, wie sicher sind dann Kundendaten, interne Systeme oder sogar Zugangsdaten? Die Antwort fällt ernüchternd aus. Vielleicht ist das auch der Grund, warum Meta und Google öffentlich nur das Nötigste preisgaben zu diesem Fall. Denn wäre publik geworden, wie leicht der Zugang zu bestimmten internen Prozessen war, hätte das nicht nur Geld gekostet – sondern Vertrauen. Vertrauen ist in der digitalen Welt schwieriger zu ersetzen als jede Summe auf dem Konto.
Kurz: Wer heute noch sagt „Bei uns ist alles sicher“, ist naiv.
Undurchsichtige Quellenlage – und viel Schweigen
Die Quellenlage zum Fall Rimasauskas ist, gelinde gesagt, widersprüchlich. Die betroffenen Unternehmen – insbesondere Meta und Google – zeigen sich bis heute ausgesprochen zugeknöpft. Bereits der erste Bericht im Guardian liess erkennen, wie wenig Bereitschaft zur Offenlegung bestand. Auch von Seiten der Ermittlungsbehörden wurde nur das kommuniziert, was unbedingt nötig war und das ist verständlich: Dieser Fall wirft kein schmeichelhaftes Licht auf zwei Firmen, die sich in Sachen Digitalisierung und Sicherheit sonst gerne als Speerspitze der Industrie darstellen.
Klar ist: Hier hatten wir es nicht mit hochintelligenten Cybermasterminds zu tun, die einen genialen Masterplan geschmiedet hätten. Der Ablauf war durchaus clever, die Recherche solide – doch sobald es um die Verwischung der Spuren ging, wirkte vieles erstaunlich stümperhaft. Auch die Höhe der gefälschten Rechnungen spricht Bände: Statt sich mit kleinen, unauffälligen Beträgen zu tarnen, setzten die Betrüger auf Dreistigkeit. Millionenforderungen direkt an Meta und Google zu schicken, war mehr Wahnsinn als Kalkül und trotzdem hatten sie Erfolg. Genau das macht diesen Fall so bedenklich: Nicht weil er in der Umsetzung brillant war, sondern weil er so einfach funktionierte.
Ich habe mich im Artikel bewusst auf die Hypothese gestützt, dass die Banken den Stein ins Rollen brachten und nicht die Unternehmen selbst. Ausschlaggebend für diese These ist der Gerichtsstand: Der Fall wurde im Southern District of New York verhandelt, wo viele globale Banken ihren Sitz haben – Zuständigkeit. Die beiden Unternehmen haben ihren Sitz hingegen in Kalifornien. Konkret geht es um die Meldepflicht, die US-Vorschrift zur Meldung verdächtiger Aktivitäten, die sogenannten Suspicious Activity Reports (SARs), gemäss dem Bank Secrecy Act.
Nach diesem Gesetz sind Finanzinstitute in den USA verpflichtet, Transaktionen zu melden, die den Verdacht auf Geldwäscherei, Betrug oder sonstige illegale Aktivitäten nahelegen. Der Umstand, dass millionenschwere Zahlungen von Tech-Giganten an eine bisher unauffällige Firma in Lettland und Zypern gingen, passt exakt in dieses Raster.
Rimasauskas’ Fall ist kein Einzelfall: In Unternehmen weltweit landen tagtäglich falsche Rechnungen in der Buchhaltung. Dies oft mit vergleichsweise kleinen Beträgen, die aus Bequemlichkeit durchgewinkt werden. Frei nach dem Motto: Lieber zahlen als Mahnung riskieren. Für das einzelne Unternehmen vielleicht verkraftbar, auch wenn sich die Beträge auf kumulieren. In jedem Fall für organisierte Betrüger aber eine verlässliche Einkommensquelle mit Skalierungspotenzial.
Das Erschreckende: Solche Betrugsfälle könnten häufig durch einfache Prozesse verhindert werden. Eine manuelle Prüfung bei Lieferantenwechseln, eine Out-of-Band-Verifizierung, oder schlicht die Schulung der Mitarbeitenden im Umgang mit verdächtigen Dokumenten. Das kostet praktisch nichts und schützt vor Millionenschäden.
Produkt-Assistent
