Wie der FACC 50 Millionen abhanden kamen
RIED. Sofortige Ablöse von Finanzchefin Minfen Gu– FACC prüft Schadenersatzansprüche gegen Dritte.
Der 23. Dezember 2015 geht als schwarzer Tag in die Firmengeschichte des Innviertler Flugzeugzulieferers FACC ein. An diesem Tag überwies ein Mitarbeiter der Finanzbuchhaltung die ersten 13 Millionen Euro an Internetbetrüger. Sie hatten eine gefälschte Mailadresse des Vorstandschefs Walter Stephan eingerichtet und dem Mitarbeiter vorgetäuscht, es handle sich um eine streng vertrauliche Transaktion für einen Firmenkauf. Der Schriftverkehr umfasst rund 40 Mails, um Vertrauen aufzubauen, und folgt dem klassischen Muster eines sogenannten „Fake President Fraud“. Der Schaden für das börsennotierte Unternehmen ist enorm. Bis die mehr als zehn Abbuchungen am 19. Jänner bemerkt wurden, waren in Summe 50 Millionen Euro weg. Die Gelder sind nach China, Taiwan und in die Slowakei geflossen.
Lange Nacht des Aufsichtsrats
Am Montag und am Dienstag bis spät in die Nacht tagte der Aufsichtsrat der FACC bestehend aus sechs chinesischen Vertretern des Mehrheitseigentümers Xi’an Aircraft Industry, vier Betriebsräten und zwei unabhängigen Vertretern. Dann stand fest: Finanzvorchefin Minfen Gu wird mit sofortiger Wirkung abberufen und die Finanzabteilung neu aufgestellt. Interimistisch übernimmt Yongsheng Wang, Mitglied des Aufsichtsrats, bis Personalberater einen geeigneten Nachfolger gefunden haben. Der Mitarbeiter aus der Finanzbuchhaltung bleibt im Unternehmen, ist aber bis auf weiteres freigestellt. „Das ist das Opfer, nicht der Täter“, sagt Vorstandsvorsitzender Walter Stephan.
Nach der personellen Konsequenz im Vorstand bleibt die FACC um Schadensbegrenzung bemüht. Schwer zu beantworten ist aber die Frage, weshalb es bis zum monatlichen Berichtswesen gedauert hat, bis das Abfließen der Millionen entdeckt wurde. „Die internen Prozesse im Finanzbereich sind nicht ausreichend etabliert“, formuliert Stephan vorsichtig.
Aber anscheinend haben nicht nur die internen Prozesse versagt: Denn die abgebuchten 50 Millionen Euro übersteigen die liquiden Mittel der betroffenen Firma, der FACC Operations GmbH, deutlich. Es wurden bei den Banken nicht nur bestehende Kreditlinien ausgenützt, sondern auch Kontokorrentrahmen ausgeschöpft. „Wir prüfen Schadenersatzansprüche gegen Dritte“, sagt Stephan dazu. Um zumindest einen Teil der verlorenen 50 Millionen Euro wieder hereinzubringen, werden zudem Versicherungsansprüche verfolgt. In Frage kommt dabei die D&O-Versicherung, im konkreten Fall die Haftpflichtversicherung für den Finanzvorstand. Auch die (Briefkasten-)Firmen, die Begünstigte der Abbuchungen waren, sind ausgeforscht. Ob hier ein Teil der verschwundenen Millionen wieder hereinzuholen ist, ist jedoch höchst unwahrscheinlich.
Die 50 Millionen Euro werden der FACC noch länger fehlen. In der Operations GmbH stehen zunächst einmal eigenkapitalstärkende Maßnahmen durch die Holdingmutter an. Ein Herantreten an den Kapitalmarkt sei kein Thema, um die Lücke zu schließen.
Vielmehr steht die FACC vor einem Sparprogramm. Ausgeschlossen sei ein Arbeitsplatzabbau. „Wir wollen bei Nebenleistungen sparen wie bei den Reisekosten, nicht bei Entwicklungen und Produkten“, sagt Stephan, dem es inzwischen auch gelungen ist, aufgeregte Kunden und Lieferanten zu beruhigen. Das komplette IT-System sei auf Herz und Nieren geprüft worden, die Daten wurden für sicher befunden.
„Ich fühle mich um einiges älter“
Anstatt mit Kunden wie Boeing und Airbus neue Projekte zu vereinbaren, war FACC-Chef Walter Stephan in den vergangenen Wochen mit Krisenmanagement beschäftigt. Im OÖN-Interview spricht er von entgangenen Chancen.
Wie geht es Ihnen zwei Wochen nach Auffliegen des Internetbetrugs?
Spaß ist das keiner. Nichts gegen Rechtsanwälte, aber ich würde gern weniger mit ihnen und mehr mit unseren Kunden kommunizieren. Außerdem fühle ich mich um einiges älter aufgrund meines Schlafdefizits.
Ist zu befürchten, dass Kunden abspringen?
Nein, die stehen zu uns. Wir haben nachgewiesen, dass Kundendaten bei uns sicher sind und wir über die notwendige Liquidität verfügen. Aber es ist ärgerlich: Die Luftfahrt hat zurzeit Hochkonjunktur, und wir können das nicht in vollem Ausmaß umsetzen. Wir verpassen Chancen, weil wir uns mit Sonderereignissen beschäftigen müssen.
Wo fehlen die 50 Millionen?
Wir brauchen die Liquidität, um unsere Beweglichkeit auf dem Markt nicht zu verlieren. Einsparen werden wir den vollen Betrag nicht können, daher müssen wir uns auch operativ verbessern. Wir werden die Produktion intensiver auslasten und jeden Euro umdrehen, um uns möglichst rasch wieder in unsere bisherige Finanzposition zu versetzen.
Chronologie der Ereignisse:
- 23.12. - Startschuss: Die ersten Überweisungen werden getätigt. In mehreren Teilbeträgen fließen am Tag vor Weihnachten in Summe bereits 13 Millionen Euro ab. Die Zahlungen gehen nach China, Taiwan und in die Slowakei.
- 19.1. - 50 Millionen Euro sind weg, für die es keine Erklärung und auch keine Freigaben gibt. Die Kriminalpolizei wird eingeschaltet.
- 20.1. - Ermittlungen: Um vier Uhr morgens chinesischer Zeit wird der Aufsichtsratschef aus dem Bett geholt. Zu Mittag findet eine telefonische Aufsichtsratssitzung statt. Es ist klar: Das war kein Hackerangriff, sondern ein „Cyber Fraud“.
- 3.2. - Köpferollen: Der Aufsichtsrat tagt bis tief in die Nacht. Mittwoch Früh wird Finanzvorstand Minfen Gu mit sofortiger Wirkung abberufen. Ein Aufsichtsrat wechselt interimistisch in den Vorstand.
Nachdem ich fast ein Vierteljahrhundert eine Firma geleitet habe wo viele Geschäfte mit dem Ausland abgewickelt wurden wäre ich nie so naiv gewesen grössere Beträge ohne genaue Durchleuchtung zur Überweisung freizugeben! Scheinbar verlässt sich in einem so grossen Konzern zu viel einer auf den anderen?
Sie schreiben, dass Sie in einem kleinen UN leitend tätig waren und Überweisungen frei gaben?
Haben Sie diese alleine freigegeben?
Wieviele Überweisungen fielen da so regelmäßig an?
Und ehrlich: Sie haben sich jede Überweisung angesehen, die Ihnen da zur Zahlung vorgelegt wurden?
Damit tun sie der Obrigkeitshörigkeit in unserer Gesellschaft nichts Gutes, wenn sie da lügen.
Leider musste ich immer wieder bei Mitarbeitern feststellen, dass sie ihre Überweisungsliste lückenlos UND fehlerlos durch ihren unfehlbaren Chef kontrolliert sahen.
ZUR ERINNERUNG: Durch Fake President Fraud versucht man wie beim Neffentrick durch Aufbau von Vertrauen den Überweiser zum Handeln zu bewegen.
Die Täter gehen davon aus, dass für den President (Vorgesetzten), dessen Identität regelmäßig vorgetäuscht wird, die Regeln des Unfehlbaren, Nicht zu Widersprechenden gelten.
Anders ausgedrückt: Die Täter machen sich die OBRIGKEITSHÖRIGKEIT in der Unternehmens/Gesellschaftskultur zunutze.
Sorry, Sie schrieben eh, dass Sie sich die Auslandssachverhalte und die größeren Positionen ansahen.
Perfekt getimt vom Neo - Rififi - aber ohne zumindest teilweise Mithilfe (ob aktiv oder durch Fahrlässigkeit) aus dem Unternhemn wäre dies wohl kaum gelungen.
Was würden alle hier sagen, wenn der Vorstandsvorsitzende als Entschuldigung angeben würde, ich kenne mich nur bei der Sicherheit des Betriebstores aus?
Bitte nicht lachen!
Der Bürgermeister der Stadt Linz, Franz Dobusch hat sich auch nur bei einem Bausparvertrag ausgekannt und das wurde ihm sogar abgekauft. SWAP4175 hat bereits einen Schuldenbetrag von Bitte hier anklicken erreicht. Also mehr als das 10-fache des Schaden bei FACC.
"Bausparer und Sparbuch" - das war der mehrfachakademische Finanzstadtrat Mayr.
alleswisser,
"„Das höchste Bankprodukt, das ich kenne, ist ein Bausparvertrag oder ein Sparbuch", gab sich der langjährige Finanzstadtrat und Mehrfach-Akademiker Johann Mayr finanztechnisch blank, als ihn Richter Andreas Pablik fragte, ob er den fatalen Swap 4175 verstanden hätte, wenn er beim Abschluss im Februar 2007 darüber informiert worden wäre."
Eben ein Alleswisser!
Aber danke für die Information.
Das eine ist eine dolose Handlung, das andere nicht.
Es sei denn, der Stadt Linz, uns Linzern, gelingt es der Gegenseite der Bawag solche zu unterstellen.
War aber glaube ich, ein Systemprodukt dieser SWAP Nr sowieso.
Gut heißt auch nichts, man kann ein System zum dolosen Geschäft machen. Man muss nicht immer auf individuelle Gegebenheiten/Glaubenssätze (vulgo Oma), wie bei Fake President Fraud, abzielen.
Aussichtsreicher ist da mE schon die Gesetzesstelle, die dem Gemeinderat den Status eines unmündigen Minderjährigen eingeräumt (also fehlende Geschäftsfähigkeit).
Viel schlimmer, alcea, viel schlimmer!
Es war nicht der vielbeschäftigte BM, der Aufgaben delegieren muss, sondern der wirklich einschlägige Finanzreferent. -Stadtrat oder was weiß ich.
Ruflinger, danke
dieses habe ich bereits von alleswisser erfahren. Mir geht es aber hier im Speziellen darum, dass bei FACC die Voraussetzung, dass jemand die Firma ordentlich führt vom Vorstandsvorsitzenden, Walter A. Stephan verlangt wird und nicht nur vom Finanzvorstand. Verantwortlich für die Firma ist der Vorsitzende.
Warum wird aber in einer Gemeinde nicht verlangt, dass der Bürgermeister, ein eben wie hier vom Volk gewählter "Vorstandsvorsitzender" sein Unternehmen, die Gemeinde und deren (Finanz)Vorstände ordentlich führt?
Weil dem Anschein nach Hr. Stephan auf den Vertrieb und Umsatzsteigerung fokussiert ist und ich mir nicht sicher bin, wie fachlich bewandert und interessiert er in finanzwirtschaftlichen Themen und Prozessen ist...
hedge,
da verstehen wir uns nicht ganz. Seine Mitarbeiter werden in der Wirtschaft primär nach fachlichen Kriterien ausgesucht, wobei natürlich der Eigentümer (Chinesischer Eigentümer) gerade beim Finanzvorstand mitreden will.
Beim Bürgermeister, seien wir uns ehrleich spielen sehr viel, wenn nicht hauptsächlich die politischen und nicht so stark die fachlichen Gründe oder eine eventuelle Praxiserfahrung mit. Wir brauchen uns nur anschauen, was mit Peter Binder bei der Landeswahl aufgeführt wurde. Der musste in der Parteihierachie der SPOÖ bleiben, für spätere Weihen, die sich noch finden werden. Da musste sogar der Landesparteivorsitzende den Hut nehmen, weil die Badei nicht mitgespielt hat.
uuuupsi nixxerl ...... kane nerven wie drahtseile ?????
dünnhäutig issi, wie ihre alte, faltige pergamenthaut !
flattervogel 16-bedeutet die 16 dass sie schon 16mal gegen ein hartes hindernis geflattert sind und daher dann immer soviele sterne und sonstige komische figuren siehst?
Offensichtlich gibt es doch größere IKS-Mängel im Unternehmen. Für die Einrichtung und das Funktionieren des IKS ist der Vorstand verantwortlich ... Sollte aber im Zuge der jährlichen Wirtschaftsprüfung geprüft werden ...
hat sich schon jemand...
gefragt, ob das möglicherweise (nur) die Versionen für die Presse sind ?
wiese, die stimmt doch immer 100%ig, oder etwa nicht?
Möchte nicht vorverurteilen - aber wenn so etwas möglich ist, sollte sich meiner Meinung nach auch der Vorstandsvorsitzende fragen, ob er der richtige Mann am richtigen Platz ist. "Vertrauen ist gut - Kontrolle ist besser" dieser Satz wird heute jedem - auch auf unterster Ebene verantwortl. Qualitätsptüfer - eingebleut ! Und in dieser Firma gibt's kein 4-Augen-Prinzip - gibt's keinen Kontrollrückruf beim Letzt-Verantwortlichen ? Und das bei solchen Summen ! Wenn's nicht so schlimm wär, wär's zum Lachen !
Hätte, Müsste, Sollte, Hätte müssen, ja wenn ....
Sicher alles vorhanden. Aber es wurde halt gefinkelt ausgetrixt.
Absolute Geheimhaltung, Ist bereits mit allen abgesprochen, Sie müssen garantieren, dass niemand von diesem absolut neuen, überragenden Geschäft etwas erfährt. Top Secret ist erforderlich ....
Im Nachhinein wird sich die Omi auch fragen, warum habe ich nicht kurz bei meiner Tochter angerufen und nachgefragt.
Im Nachhinein ist jeder Gscheiter als zuvor!
Firmen sind keine alten Omis.
Vielleicht ist es gerade deswegen so geschmiert gelaufen.
observer,
Es wird eben wie bei jedem Verbrechen immer weiter Perfektioniert. Daran wird sich jede Firma, nicht nur FACC jetzt halten und die trotz aller Vorkehrungen aufgetretenen Sicherheitslücken schliessen müssen. Ganz schliessen wird man diese trotz aller Vorkehrung nie können. Es arbeiten zwar keine Omis, aber es arbeiten immer noch Menschen und die können trotz aller Vorkehrungen Fehler machen. So war es gestern, so ist es heute und so wird es garantiert auch in Zukunft sein.
Daraus zu lernen das ist das Wichtigste für alle Firmen.
Was mich irritiert: Bloß wegen ein paar gefinkelter Mails werden in mehreren Transaktionen zig Millionen Euro überweisen.
Wird da ein Mitarbeiter nicht stutzig, wenn ihm der oberste Chef von einer firmenexternen Mailadresse (@yaohoo.de oder @gmail.com oder sowas) schreibt?
Wird nicht einmal eine persönliche Kontaktaufnahme gemacht - alles nur per Mail?
Wo bleibt das Vier-Augen-Prinzip bei solchen Überweisungen, denn wer nicht so involviert ist, sieht die Mails möglicherweise mit ganz anderen Augen?
Jedenfalls handelt es sich ganz offensichtlich nicht um einen IT-Fehler (wie von den Medien anfangs lautstark kolportiert, auch die OÖN palaverten von einer "Cyber-Attakce"), sondenr schlicht und ergreifend um menschliches Versagen, das durch organisatorische Defizite erst ermöglicht wurde.
Die Finanzvorstandschefin hatte ihren Laden offensichtlich nicht allzusehr im Griff.
Cyberattacke wars sicher; nur so konnte das U in wesentlichen Details ausgeforscht werden, und auch der letztendliche Eingriff erfolgte per: E-Mail mit gefälschter Adresse. Conclusio?
Email mit falscher Adresse ist also eine Cyberattacke?
In diesem Fall ists zumindest ein wichtiger Teil. Was meinst du?
Eine Attacke (Angriff) war es offensichtlich nicht, sondern nur die Vortäuschung einer falschen Identidät.
Entgegen posting von 11:23 - cyberattacke ZIELT auf IT-Einrichtungen.
Wenn es um so viel Geld geht, dann wäre wohl eine Nachfrage bei dem Vorstandvorsitzenden angebracht gewesen. Wenn schon der Finanzmitarbeiter sich das aus lauter Ehrfurcht nicht getraut hat (was nicht für die Untenehmenskultur spricht), dann hätte dies wohl die Finanzvorstandsfrau das ja tun können, die musste da ja wohl keine Furcht haben. Ausser die hat davon auch nichts gewusst ??? Jedenfalls scheint mir das einiges verbesserungswürdig im Reiche der FCC - vielleicht nicht nur im reinen Finanzbereich.
Die Firma heisst FACC.
Ich kann mir gut vorstellen, dass die davon gar nichts gewusst hat. Und so schüchtern/feig kann doch niemand sein, um sich nicht mal nachfragen zu trauen..
Wenn der Vorstand selbst schreibt.
Der Vorstand hat sicher nicht selbst geschrieben, da wurde was gefakt. In solchen Fällen hat eine Nachfrage stattzufinden und natürlich mit einem neuen Mail, wenn die Originalmailadresse aufliegt , wenn schon nicht telefonisch und nicht mit der Antwortfunktion. Ausserdem velangen Transaktionen von einer derartigen Tragweite normalerweise einen Vorstandsbeschluss, also müssten die anderen Vorstandsmitglieder auch was davon wissen. Jedenfalls hat hier viel nicht gestimmt.
Oh Gott oh Gott
es hat durchaus glaubhaft so ausgesehen, als hätte jemand von oben geschrieben.
IKS-Regeln gelten für alle Betroffenen (auch Chefs).
Die weit verbreitete Meinung, dass der Chef Gott ist und keine Regeln zu befolgen hat, ist Laienmeinung.
Eine Laienmeinung, die nicht nur wie @capsain meint, Ausfluss der chinesischen Führungsphilosophie ist, sondern auch zB in Österreich üblich ist.
In Ö ist es wie ich glaube noch immer Ausfluss der langjährigen Kaisermonarchie, später regressiven Natzidiktatur, dass die Leute an "Götter" (Unfehlbare) auf Erden glauben.
Auch eine Frage von Bildung, versteht sich. Aber das Bildungsniveau in Österreich spricht halt auch nicht für eine Besserung.
Was ich immer wieder merke, da gibt es erfolgreiche Unternehmen, die eine Unternehmenskultur der Fehlerlosigkeit haben: Fehler gibt es einfach nicht. Werden welche gemacht, werden sie totgeschwiegen, irgendwem anderen umgehängt usw. Diese brauchen auch nie IKS-Vorschriften, weil solche Vorschriften von Fehlleistungen ausgehen.
Was sagt eigentlich der Aktionär Polytech, Hr Humer, dazu?
Ja und diesen MENSCHLICHEN Irrglauben machen sich manche zu Nutze.
Im geschäftlichen Bereich heißt dieser wie wir gestern lernten: Fake President Fraud oder CEO Fraud oder Business E-Mail compromise (Quelle Standard, Jänner 2016).
Schon nett, dass zB die OÖN von Fake President Fraud sprechen, das Wording Business E-Mail compromise hört sich mE schlimmer an.
Im privaten Bereich fällt mir für solche Taten die Bezeichnung Neffentrick ein.
Wäre neugierig, wie hoch die Erfolgsquote da so ist? Und ob es da Unterschiede zwischen den Ländern und Gesellschaftsstrukturen gibt?
Eventuell zu hinterfragen wäre auch die Praxis, derart weitreichende Aktivitäten ausschließlich per firmeninternen E-Mail Kontakt zwischen Führungskraft und Mitarbeiter abzuwickeln. In einem Unternehmen, bei dem eine derartige Vorgangsweise unüblich ist, wäre der Mitarbeiter sicherlich nicht darauf hereingefallen. Er hätte den direkten persönlichen Kontakt gesucht und der Betrugsversuch wäre aufgeflogen.
Generell ist zu sagen, dass der E-Mail Kontakt den persönlichen Kontakt nicht obsolet werden lässt - im Gegenteil, der persönliche Kontakt ist sehr wichtig und Teil der Unternehmenskultur.
Genau das frage ich mich auch. Ich habe in grossen Firmen gearbeitet, aber wenns um geldgeschäfte ging, war kein fax, kein e-mail oder kein telefonat, sondern das direkte Gespräch mit dem Vorstand etc. fällig.....
Ein neffentrick hätte also nie funktioniert.
Der alte Neffentrick; schimpft nie mehr, wenn eine Person darauf hereinfällt. Nennt es einfach Cyber Kriminalität dann klingts zumindest von vorne herein schon fast entschuldbar, so wie in diesem Fall.
Niemand ist gefeilt dagegen. auch die Gscheitesten nicht. Da kannst schreiben von internem Kontroll Systemen bis zu allen möglichen Sicherheitseinrichtungen. Es war schon immer so, dass es gefinkelte gibt, welche es halt verstehen, durch irgende welche Tricks etwas zu erreichen.
strawanzerl, alci ..... i darf dich von deiner "guten bekannten elfriede jelinek" grüssen !
der hat gar net gefallen, dass du sie als *quasi deine intime freundin*, in deinem gestrigen lügenposts hast "sterben lassen" ...
alci, jakobhollnstein, strawanzerl, srv, fragender ..... oder wie immer du dich grad wieder nennst
falke,
bist scho um die zeit zua?
schåm di doch!
weshalb sollte ich mich schämen ?
i hab nicht gepostet, dass "meine gute freundin elfriede jelinek, zeitlebens a LUDER war", sondern DU !
du sollst dich dafür schämen, weilst an verfolgungswahn von ein paar forenteilnehmer hast. bist halt schon ein ziemlich flügellahmer falke, dem schon vieles durcheinanderkommt.
uuuupsi nixxerl ..... kane nerven wie drahtseile ?????
dünnhäutig issi, wie ihre alte, faltige pergamenthaut !
Na bumm....
Heute ist wohl kein besonders guter Tag bei ihnen... wünsche gute Besserung!
Das war schon zu Zeiten der Kasten- und.Vorhangschlösser so.
Vor Jahren fürchtete ich, dass ältere Nahestehende auf den Neffentrick hereinfallen… diese Angst ist nicht mehr so oft da. Warum? Weils eh nichts hilft?
Was riskiert die Finanzchefin fuer eine Strafe?
Ev erhaelt sie ja zB 5% Provision vom Betrugswert? Kosten/Nutzen Relation steht auf jedenfall dafuer
Ja ja hier hat leider das gute alte IKS (Interne Kontrollsystem), welches vom Vorstand einer AG einzurichten ist kläglich versagt ....
IKS (1. Stunde) besagt, dass es Überweisungen mit nur einer beteiligten Person nicht geben darf. ... PUNKT!!!
Das 4-Augen-Prinzip kann man in die Tonne treten, wenn der zweite Unterschreibende
- dem ersten berichtspflichtig (= unterstellt) ist;
- nicht prüft, was er unterschreibt (Stichproben reichen meist);
- seine Vollmacht (zB TAN-Liste) dem ersten überlässt.