Hacker haben die Stadt Kiel um 68.000 Euro betrogen – und die Täter sind vermutlich längst über alle Berge. Der Fall zeigt, wie perfide moderne Cyberkriminelle vorgehen: Eine gefälschte Rechnung, die auf den ersten Blick völlig authentisch wirkt, genügt, um selbst eine öffentliche Verwaltung zu täuschen. Die Landeshauptstadt Kiel wurde Opfer eines sogenannten BEC-Scam, bei dem Betrüger elektronische Rechnungen abfangen und Kontodaten manipulieren. Der Vorfall ist ein alarmierendes Beispiel dafür, wie anfällig selbst vermeintlich sichere Systeme für Cyberbetrug gefälschte Rechnung sein können – und wie wenig Hoffnung die Geschädigten haben, ihr Geld je wiederzusehen.
Der Trick mit der gefälschten Rechnung
Die Betrugsmasche folgt einem perfiden Muster: Die Kriminellen fingen die elektronische Rechnung eines Dienstleisters an die Stadt Kiel ab und tauschten die Bankverbindung aus. Die Stadtverwaltung überwies daraufhin die 68.000 Euro auf das Konto der Täter, ohne die Manipulation zu bemerken. Erst als der eigentliche Dienstleister die Zahlung anmahnte, dürfte der Fehler aufgefallen sein. Bürgermeister Gerwin Stöcken (62, SPD) sagte dazu: „Auch bei einem Vier-Augen-Prinzip ist es nicht zwingend, dass man das sehen kann.“ Die gefälschte Rechnung war offenbar so gut gemacht, dass selbst die doppelte Prüfung durch unterschiedliche Mitarbeiter nicht half.
Warum selbst ein Vier-Augen-Prinzip nicht half
Viele Unternehmen und Behörden setzen auf das Vier-Augen-Prinzip, um Betrug zu verhindern: Eine Rechnung wird von zwei Personen geprüft, bevor die Zahlung freigegeben wird. Im Fall Kiels erwies sich diese Sicherheitsmaßnahme jedoch als unzureichend. Die Hacker hatten die Rechnung so professionell gefälscht, dass selbst geschulte Mitarbeiter die Abweichung nicht erkannten. Bürgermeister Stöcken räumte ein, dass die Fälschung „kaum zu erkennen“ gewesen sei. Das zeigt: Cyberbetrug mit gefälschten Rechnungen zielt nicht auf technische Lücken, sondern auf die menschliche Wahrnehmung ab. Selbst erfahrene Buchhalter können getäuscht werden, wenn Optik, Layout und Absenderangaben makellos wirken.
BEC-Scam: Die Masche der Hacker
Die Polizei Kiel klassifiziert den Angriff als BEC-Scam – Business-E-Mail-Compromise. Dabei verschaffen sich Täter Zugang zu einem E-Mail-Konto oder imitieren es täuschend echt. Im konkreten Fall blieb unklar, ob die Hacker den echten Mail-Account des Dienstleisters kompromittiert oder eine nahezu identische Adresse (etwa mit einem Buchstabendreher) verwendet hatten. Entscheidend ist, dass die Rechnung von einer vertrauenswürdig erscheinenden Quelle stammte. Anders als beim einfachen Phishing, bei dem generische Massenmails verschickt werden, ist BEC-Scam eine zielgerichtete Attacke. Die Täter recherchieren oft vorab, wer mit wem Geschäfte macht, und wählen den perfekten Zeitpunkt für die Manipulation. Der Cyberbetrug mit gefälschten Rechnungen ist deshalb besonders schwer zu erkennen.
Unterschied zu herkömmlichem Phishing
Beim Phishing erhalten Tausende Menschen gleichzeitig betrügerische Nachrichten. BEC-Scam dagegen ist maßgeschneidert: Die Angreifer kennen die Zahlungsströme, die Lieferanten und die internen Prozesse. Sie warten ab, bis eine echte Rechnung eingeht, und manipulieren dann nur das Empfängerkonto. Dadurch wirkt alles – bis auf die IBAN – authentisch. Für Mitarbeiter, die täglich Dutzende Rechnungen bearbeiten, ist dieser Unterschied im Arbeitsalltag kaum bemerkbar.
Geringe Hoffnung auf Rückzahlung
Die Landeshauptstadt hat Strafanzeige erstattet. Die Cybercrime-Abteilung der Polizei Kiel ermittelt. Doch Bürgermeister Stöcken zeigte sich pessimistisch: „Die Erfolgsaussichten sind bei dieser Art von Betrug eher schlecht.“ Das überwiesene Geld wird vermutlich über Umwege auf ein ausländisches Konto transferiert und dort abgehoben. Sobald das Geld einmal im Ausland ist, wird eine Rückholung extrem schwierig. In vielen Fällen sind die Täter technisch versiert und nutzen Kryptowährungen oder schwer verfolgbare Zahlungswege. Die 68.000 Euro sind für die Stadt ein schmerzhafter Verlust, aber für die Betrüger ein erfolgreicher Coup.
Welche rechtlichen Schritte sind möglich?
Bei einer sofortigen Meldung an die Bank kann eine Überweisung unter Umständen noch gestoppt werden – das Fenster dafür beträgt oft nur wenige Stunden. In Kiel scheint die Manipulation jedoch zu spät entdeckt worden zu sein. Neben der Strafanzeige können Geschädigte zivilrechtlich gegen die unbekannten Täter vorgehen, was allerdings selten Erfolg hat. Eine Cyberversicherung könnte den Schaden decken, sofern die Police solche Betrugsfälle einschließt. Ob die Stadt Kiel eine solche Versicherung hatte, ist nicht bekannt.
Was die Stadt nun besser machen will
Die Stadtverwaltung hat angekündigt, den Schutz vor Cyberkriminalität zu verbessern. Konkrete Details nannte Bürgermeister Stöcken nicht. Denkbar sind technische Maßnahmen wie eine automatisierte Prüfung von Kontodaten, der Einsatz künstlicher Intelligenz zur Erkennung von Anomalien oder strengere Freigabeprozesse. Auch die Sensibilisierung der Mitarbeiter spielt eine zentrale Rolle: Nur wer die Masche kennt, kann wachsamer sein. Der Vorfall in Kiel wird vermutlich dazu führen, dass andere Behörden ihre Sicherheitsrichtlinien überdenken. Denn der Fall zeigt: Auch öffentliche Einrichtungen sind ein lohnendes Ziel für Rechnungsmanipulation.
Wie Unternehmen und Behörden sich schützen können
Der Vorfall in Kiel bietet Lehren für jeden, der mit elektronischen Rechnungen arbeitet. Folgende Maßnahmen können das Risiko solcher Cyberbetrugsfälle senken:
- Kontodaten nur einmal und auf sicherem Weg übermitteln: Änderungen der Bankverbindung sollten grundsätzlich telefonisch rückbestätigt werden.
- Automatische Prüfung auf Anomalien einsetzen: Software kann erkennen, wenn eine IBAN von der historisch verwendeten abweicht.
- Zahlungsfreigaben mehrstufig gestalten: Bei Beträgen über einer bestimmten Schwelle sollte eine dritte Person oder die Führungsebene involviert sein.
- E-Mail-Sicherheit erhöhen: Techniken wie DMARC, SPF und DKIM erschweren das Spoofing von Absenderadressen.
- Schulungen für Mitarbeiter durchführen: Regelmäßige Sensibilisierung für gefälschte Rechnungen und BEC-Scanm kann die Erkennungsrate verbessern.
- Separate Kommunikationswege nutzen: Bei wichtigen Zahlungen sollte der Zahlungsempfänger zusätzlich per Telefon oder über ein Portal kontaktiert werden.
Die Rolle der E-Mail-Sicherheit
Da viele BEC-Angriffe über manipulierte E-Mails erfolgen, ist die Absicherung der E-Mail-Kommunikation essenziell. Verschlüsselung allein schützt nicht vor Kontomanipulation – es geht darum, die Authentizität der Nachricht zu prüfen. Unternehmen sollten Technologien wie digitale Signaturen oder Ende-zu-Ende-Verschlüsselung mit Authentifizierung einsetzen. Im Fall Kiels konnte die gefälschte Rechnung das System passieren, weil sie von einer bereits kompromittierten oder nachgeahmten Adresse stammte.
Was der Fall für andere Behörden bedeutet
Kiel ist kein Einzelfall. Immer wieder werden Städte, Landkreise und staatliche Einrichtungen Opfer von Cyberbetrug mit gefälschten Rechnungen. Die Täter wissen, dass öffentliche Verwaltungen oft überlastet sind und viele Zahlungen abwickeln müssen. Der Schaden geht dabei über den finanziellen Verlust hinaus: Das Vertrauen in die Sicherheit öffentlicher Zahlungssysteme wird erschüttert. Andere Kommunen sollten daher nicht erst warten, bis sie selbst betroffen sind, sondern präventiv handeln. Der Austausch von Best Practices zwischen Behörden und die Zusammenarbeit mit Cybersicherheitsbehörden können helfen, solche Angriffe frühzeitig zu erkennen.
Prävention durch Technik und Prozesse
Eine Kombination aus technischen Sicherheitslösungen und angepassten Arbeitsabläufen ist der wirksamste Schutz. Beispielsweise könnten Behörden eine Whitelist vertrauenswürdiger Bankverbindungen führen und Zahlungen nur auf hinterlegte Konten erlauben. Auch die Einführung eines zentralen Rechnungseingangsportals mit Prüfmechanismen könnte Manipulationen erschweren. Die Stadt Kiel wird diese Optionen nun prüfen.
Eine Frage der Wachsamkeit
Der Fall in Kiel zeigt eindrucksvoll, wie raffiniert moderne Cyberkriminelle vorgehen. Ein einziger, perfekt gefälschter Beleg reicht aus, um eine sechsstellige Summe zu erbeuten. Selbst wenn Behörden künftig ihre Sicherheitsvorkehrungen verschärfen, wird die Gefahr nicht gebannt sein. Denn die Täter passen ihre Methoden ständig an: Nach jedem erfolgreichen Betrug lernen sie, die nächste Fälschung noch schwerer erkennbar zu machen. Die beste Verteidigung bleibt deshalb eine Mischung aus Technik, Prozessen und geschulter Skepsis – die Überzeugung, dass auch die perfekteste Rechnung eine Fälschung sein könnte.
