Cyber-Abzocke im Call-Center: Die Investment-Falle
Inhalt Inhaltsverzeichnis
Es ist Freitag, der 20. April 2018, sieben Minuten nach zehn Uhr am Vormittag, als die Nummer wieder einmal auf dem Display von Peter Taler aufscheint. Sie beginnt mit „+49 305“ und endet auf „509“.
Hunderte Anrufe gingen von dieser Nummer in den letzten zwölf Monaten bei ihm ein. Sie hat Taler an den Rand der Verzweiflung getrieben und seiner Frau einen Nervenzusammenbruch beschert. Taler wünscht, er hätte niemals abgehoben, denn die Anrufe haben ihn ein Vermögen gekostet: 320.000 Euro. Bis heute sucht die Polizei nach dem Geld. Strafverfolger aus mehreren Ländern haben Büros gestürmt und dabei eine Entdeckung gemacht, die so genial wie skrupellos ist: eine neue Form des digitalen Diebstahls, durch den jedes Jahr Milliarden in ganz Europa versickern. Ermittler vermuten, dass hinter diesen Telefonnummern die erfolgreichste Betrugsmasche in der Geschichte des Internets steckt.
Doch nur wenige Opfer gehen zur Polizei. Sie merken nicht, dass sie betrogen wurden. Sie wollen nicht noch mehr Geld in einen Anwalt stecken und vor allem: Sie schämen sich. Auch Peter Taler ist es peinlich, dass er Opfer eines Investment-Betruges wurde. Im wahren Leben heißt der Unternehmer anders. Nur so viel: Er ist 62 Jahre alt, fährt einen BMW mit Ledersitzen und geht gerne segeln. Er hat einen Sohn, der eines Tages den Familienbetrieb übernehmen wird: eine Software-Firma mit Kunden in der Fertigungsindustrie.
Taler hat mit profil Dokumente geteilt: Zeugenvernehmungen bei der Polizei, Strafanzeigen, Excel-Tabellen und E-Mails. Er hat die Menschen, die ihn ausgeraubt haben, sogar auf Band aufgezeichnet. Doch er weiß bis heute nicht, wer sie sind.
profil hat das Call-Center, aus dem die Anrufe kamen, gefunden, mit ehemaligen Mitarbeitern gesprochen und Gerichtsunterlagen eingesehen. Der Chef des Call-Centers sitzt seit Juli 2022 in Deutschland im Gefängnis: 34 Jahre alt, der Sohn eines albanischen Fabrikarbeiters und Abgänger eines Journalismus-Studiengangs an der Universität in Tirana. Eine Ausbildung als Investment-Berater hat er nicht, geschweige denn irgendeine Erfahrung mit der Börse.
Taler hingegen ist kein Laie. Er hat bei der Wirtschaftskammer einen Kurs zum Anlageberater absolviert und führt seit dreißig Jahren eine Tech-Firma. Und genau das macht diese Geschichte so unglaublich. Wie kann es sein, dass ein erfahrener Unternehmer wie er einer wildfremden Stimme am Telefon mehr glaubt als seiner Bank?
Dem Versuch, diese simple Frage zu beantworten, liegt eine Recherche zugrunde, die das Förderprogramm „Investigative Journalism for Europe“ (IJ4EU) vor über einem Jahr angestoßen hat. Ein Team rund um die Autorin dieses Textes (Siehe Hinweis am Ende) hat in mehreren Ländern recherchiert, Ermittlerinnen bei der Arbeit begleitet und Staatsanwälte gesprochen. Wir sind dabei auf Großraumbüros auf dem Balkan gestoßen, die Start-Ups gleichen. Darin arbeiten Mittzwanziger in Anzügen, die sich als Investment-Berater ausgeben und denen zur Vorbereitung der Hollywood-Film „Wolf of Wall Street“ mit Leonardo di Caprio gezeigt wird. All das klingt wie ein Theaterstück, ist aber Teil der organisierten Kriminalität. Hinter den Call-Centern stecken Netzwerke, die grenzüberschreitend arbeiten. Die wenigen Fälle, die es vor Gericht geschafft habe, zeigen, dass sich die höchsten Kader jahrelang frei in Europa bewegen konnten: Mit Privatjet zum Schifahren nach Tirol oder zum Geschäftsessen auf eine Yacht an der Côte d‘Azur. Der Großteil der Hintermänner stammt nicht vom Balkan, aber der Balkan ist für ihre Machenschaften der perfekte Raum. Die Löhne sind niedrig, und es gibt viele junge Menschen, die nach dem Studium keinen Job finden und fließend Deutsch sprechen.
Was ist Cybertrading?
Cybertrading ist ein Begriff aus Ermittlerkreisen, auch bekannt als Anlagebetrug im Internet. Beim Cybertrading locken Betrüger ihre Opfer auf seriös anmutende Online-Trading-Plattformen. Über ein professionell gestaltetes Trading-Konto werden den Investoren Kursverläufe und Gewinne vorgegaukelt. Ein „Broker“ betreut die Kunden telefonisch und verleitet sie zu immer höheren Einsätzen. Aber: das Geld wurde zu keinem Zeitpunkt investiert. Es ist gestohlen. Die Trading-Plattformen entpuppen sich als kompletter Fake. Schätzungen zufolge werden in Europa dadurch jedes Jahr zehnstellige Milliardensummen erbeutet. Cybertrading wird nicht von einer, sondern mehreren Betrugsnetzwerken betrieben – grenzüberschreitend und arbeitsteilig. Man kann sich das System wie einen Konzern vorstellen, der auf vier Säulen basiert. Eine Säule liefert die Kundendaten, die nächste wickelt die Technik ab. Eine weitere Säule stellt das Geldwäschenetzwerk, in dem die Überweisungen versickern. Herz des Betrugs ist das Call-Center, aus dem die „Broker“ anrufen. Um Letzteres geht es in dieser Recherche.
So wie Arber Krasniqi, ein diplomierter Jurist Anfang Dreißig, der eigentlich anders heißt. Er hat in dem Call-Center, das Peter Taler ausgeraubt hat, gearbeitet und will deswegen anonym bleiben. An ihm lässt sich die Banalität dieser Betrugsmasche erzählen. In Hauptstädten wie Sofia, Tiflis, Prishtina und Tirana gibt es hunderte Menschen wie Krasniqi, die für einige Monate als Telefonbetrüger jobben. Manche von ihnen wissen nicht, was in den Chefetagen passiert. Andere arbeiten sich hoch und landen irgendwann in der Abteilung, wo man mit Rolex-Uhren bezahlt wird.
Im Sommer 2017 braucht Krasniqi dringend Geld, ein Freund erzählt ihm von einer Investment-Firma, die in Prishtina aufgemacht hat und Menschen sucht, die fließend Deutsch sprechen. Krasniqi bewirbt sich, muss einen Deutschtest machen und dann zwei Wochen lang einen Crash-Kurs in Finanzfragen besuchen. Den Rest lesen die Telefonisten von Leitfäden ab.
Es sind häufig diese Telefonisten, die von der Polizei gefasst werden (Siehe Kasten S. XX). Die hohen Kader sind schwer zu fassen, weil sie ihre Geschäftsaktivitäten hinter einem Geflecht aus Briefkastenfirmen verstecken. Ihre Umsätze, so Experten, reichen bereits an jene der Drogenmafia heran.
Der Ermittler
Das sagt Martin Grasel, Ermittler für Cybercrime beim Bundeskriminalamt in Wien. Bevor er Polizist wurde, hat er als Programmierer und Software-Entwickler in der Privatwirtschaft gearbeitet. Der 38-Jährige und sein Team waren die Ersten, die bereits 2017 gegen die Netzwerke ermittelt haben und tief in die Betrugsszene eindringen konnten. Grasel war – gemeinsam mit Ermittlern aus Bulgarien, Tschechien und Deutschland – an der Festnahme des „Wolf of Sofia“ beteiligt, einem israelischen Unternehmer namens Gal Barak, der gemeinsam mit seinem deutschen Komplizen Anleger um 200 Millionen Euro prellte. Allein in Österreich waren über 3.000 Menschen von seinem Investment-Betrug betroffen. Und immer mehr Opfer, denen offenbar Ähnliches passiert war, meldeten sich bei der Polizei.
Sie hatten Geld auf seriös anmutenden Online-Trading-Plattformen angelegt, die ganz unterschiedliche Namen trugen: Trade Capital, Fibonetix, Swissinv24, CFXPoint, Tradingmarkets24, Alphafinancial Group, Zurich Financial Group. Mittlerweile gibt es so viele, dass es sogar Grasel schwerfällt, den Überblick zu behalten. „Es kommen monatlich neue Plattformen dazu. Die Anzeigen trudeln täglich ein. Wenn man eine Plattform zusperrt, machen fünf Neue auf. Das wird niemals aufhören“, sagt Grasel. Schnell wurde ihm klar, was diese Plattformen von anderen Betrugsformen im Internet unterscheidet. Anders als mit einem Fake-Online-Shop oder mit Love-Scamming (dem Vortäuschen einer Liebesbeziehung) lassen sich damit richtig hohe Beträge erwirtschaften. „Bei einer einzigen Plattform kann der Schaden in den zweistelligen Millionenbereich gehen“, weiß Grasel. Er geht mittlerweile davon aus, dass es in den letzten zehn Jahren tausende davon gegeben hat.
Die Firmenlogos und Websites unterscheiden sich nur optisch, die Masche ist immer dieselbe. Simulierte Charts spielen den Kunden in einem Trading-Konto satte Gewinne vor. Die Opfer werden mutig und oft auch geldgierig – sie investieren immer mehr. Ein Finanzberater, „Broker“ genannt, berät sie am Telefon. Nur: Die Gewinne sind reine Fantasie und werden nie ausbezahlt.
Grasel gab dem Phänomen einen Namen: Cybertrading. Über die Grenzen Österreichs hinaus macht seine Worterfindung die Runde. Im deutschen Bamberg hat sogar ein eigenes Zentrum aufgemacht, in dem sich Staatsanwälte ausschließlich Cybertrading-Fällen widmen und im Monatstakt Call-Center in Ost,- und Südosteuropa stürmen lassen. Der Leiter des Zentrums, der deutsche Staatsanwalt Nino Goldbeck, sagt im Gespräch mit profil: „Das ist zu einer regelrechten Industrie geworden. Die Schäden liegen, allein in Deutschland, im Milliardenbereich.“
Die vier Säulen des Cybertrading
Auch in Österreich sind die Betrüger erfolgreich. In keinem Deliktsfeld steigen die Anzeigen derart rasant, wie im Bereich der Internetkriminalität. Das ist das Resultat der neuen Kriminalitätsstatistik, die Anfang März veröffentlicht wurde. In den letzten zehn Jahren haben sich die Anzeigen versechsfacht. Das Topdelikt im Bereich Cybercrime bleibt der Internetbetrug. Die Anzeigen sind zuletzt um 20 Prozent gestiegen. Geschädigte gibt es mittlerweile in jedem EU-Land. Das weiß Burkhard Mühl, ein Österreicher, der das Europäische Zentrum für Finanz- und Wirtschaftskriminalität (EFECC) bei Europol in Den Haag leitet (ganzes Interview auf profil.at). Neu sei das Phänomen nicht, so Mühl: „Früher haben irgendwelche Keiler Veranstaltungen in Hotels abgehalten und interessierten Leuten erzählt, welche sagenhaften Renditen sie erwirtschaften können. Heute ist all das technisch unterstützt und ermöglicht den Tätern, eine viel größere Anzahl von Opfern anzusprechen als früher.“
Vor dreißig Jahren, erzählt Mühl im Interview mit profil, haben die Betrüger noch Briefe frankiert und verschickt. Heute verstecken sie sich hinter Scheinfirmen und hinterlassen kaum Spuren.
Martin Grasel, der Ermittler aus Wien, hat aber dennoch Einblicke bekommen. „Von außen ist es unmöglich, das System zu durchschauen. Wir mussten mehrere Call-Center durchsuchen, um die Struktur nachvollziehen zu können“, sagt er. Seine wichtigste Erkenntnis: Cybertrading funktioniert wie ein Konzern, der auf vier Säulen fußt. Die erste Säule, das so genannte „Affiliate-Marketing“ liefert die Telefonnummern. Die Betrüger klingeln sich nicht wahllos durch Telefonbücher, sondern folgen so genannten „hot leads“. Das sind die Kontaktdaten von Menschen, die über Werbebanner, Fake-Zeitungsartikel oder E-Mails auf die Plattformen aufmerksam gemacht wurden und hängen geblieben sind.
Die zweite Säule, die Plattform-Provider, setzen täuschend echte Websites auf. Mit einer Software lassen sich die Kurse im Trading-Konto manipulieren. Es ist wie bei einem Flug-Simulator: Man hat das Gefühl, zu fliegen, ohne je abgehoben zu sein. Die dritte Säule, die Geldwäsche-Netzwerke, kümmert sich um die Verschleierung des erbeuteten Geldes. Die Beträge laufen über hunderte Scheinkonten auf der ganze Welt, bis sich ihre Spur verliert. Die vierte Säule ist das Call-Center. Bis 2017, schätzt Martin Grasel, hatten viele von ihnen ihren Sitz in Israel. Dann, als die Knesset, das israelische Parlament, ein restriktives Gesetz erließ, wanderten die Call-Center ins Ausland ab und ließen sich dort nieder, wo das Lohnniveau niedrig und der Rechtsstaat schwach ist: In den Ländern Ost,- und Südosteuropas, die noch nicht in der EU sind. In Georgien und vor dem Krieg in der Ukraine. In Serbien, Montenegro, dem Kosovo und in Albanien.
Talers Trading-Karriere
Von alledem weiß Peter Taler im Jahr 2017 nichts. Der Software-Unternehmer aus Oberösterreich hat Stress in der Firma: Hohe Investitionen, Steuernachzahlungen, eine schlechte Jahresbilanz. Und dann streicht ihm auch noch die Hausbank den Kreditrahmen für das Firmenkonto. Taler will einen Teil seines Ersparten, zirka 46.000 Euro, gewinnbringend anlegen. Er surft im Internet und stößt dabei auf eine Online-Trading-Plattformen namens „FXC Markets“. Sie bietet den Handel mit verschiedenen Finanzinstrumenten an: Aktien, Rohstoffe, Kryptowährungen aber auch so genanntes „Forex“, also der Handel mit Währungspaaren.
Wie genau er den Anbieter gefunden hat, weiß Taler rückblickend nicht mehr. Er glaubt, dass er auf einen Werbebanner geklickt und sich auf einer Seite angemeldet hat. „Auf einmal kam der Anruf“, erinnert er sich, „und ein gewisser Martin Kent war dran.“ Ein Gespräch entsteht, der Mann am Telefon drängt Taler zu nichts. Erst mal locker mit 250 Euro einsteigen und schauen, wie sich die Kurse entwickeln. Taler zeigt die Seite sogar seinem Sohn, der auch nicht skeptisch wird. Dann steigt er in das Geschäft ein.
Am 11. Mai schreibt Taler: „Hallo Herr Kent! Ich möchte auf alle Fälle wieder traden, weil es Spaß macht und ich damit Erträge erwirtschaften kann. Mit freundlichen Grüßen!“
Am 10. Juli: „Hallo! Wir segeln gerade an der kroatischen Küste. Gibt es etwas Wichtiges zu tun?“
Martin Kent, der freundliche „Broker“ am Telefon, erzählt Taler, dass FXC Markets seinen Sitz in Berlin habe und schickt sogar die Adresse durch: Ganz in der Nähe des Hauptbahnhofs.
Das Call-Center
Das Land, aus dem die Anrufe tatsächlich kamen, hat gar kein Bahnnetz. Zumindest keines, das seit der Zeit Jugoslawiens in Betrieb war. Das Call-Center lag nicht in Berlin, sondern in Prishtina, der Hauptstadt des Kosovo. Das ist mittlerweile bekannt, weil dort im April 2021 eine große Razzia stattfand, bei der 18 Menschen festgenommen wurden. Im Juli 2022 wurde der Chef der Firma vor einem Gericht in Augsburg zu fünf Jahren verurteilt. Ende Februar standen zwei seiner Mitarbeiter vor einem Gericht in Bamberg. Beide Angeklagten wurden zu einer Freiheitsstrafe von jeweils 2 Jahren verurteilt. Die Ermittlungen gegen weitere Hintermänner laufen noch. Ein Schaden von insgesamt 20 Millionen Euro steht im Raum.
Das alte Büro der Firma existiert bis heute: Ein vierstöckiger Betonklotz mit Glasfassade, gleich neben einer Moschee mit Minarett. Jahrelang gingen hier junge, gut gekleidete Menschen in Anzügen ein und aus. Der Sitz der kosovarischen Regierung liegt nur fünf Minuten entfernt.
„Das Büro lag mitten im Zentrum. Eine bessere Immobilie gab es damals nicht“, sagt Arber Krasniqi, ein ehemaliger Mitarbeiter. Er ist einer von mehreren Insidern aus der Cybertrading-Szene, mit dem das Team hinter der Recherche gesprochen hat. Manche erzählen vom schlechten Gewissen, dass sie nachts nicht schlafen ließ, andere von dem Goldrausch, der sie erfasst hatte. Arber Krasniqi sagt: Er habe von alledem nichts gewusst.
Betrügerische Call-Center haben eine strikte Hierarchie. Arber Krasniqi fängt ganz unten an, im so genannten „Conversion“ – der Einsteigerjob in der Betrugsszene. Das „Conversion“ ist für den Erstkontakt mit den Kunden zuständig, eine Art Sekretärsjob.
Steigt ein Kunde in das „Trading“ ein, dann wird er in die „Retention“-Abteilung weitergeleitet. Dort sitzen die „Broker“, die fortan regelmäßig anrufen und die großen Summen erbeuten.
Krasniqi sitzt also im ersten Stock des Betonklotzes mit der Glasfassade und denkt, dass er für eine echte Investment-Firma arbeitet. „Es gab keine Indizien, dass da etwas nicht stimmt“, sagt er im Interview, „alles wirkte legal. Die Firma war angemeldet, und unser Lohn wurde rechtzeitig über die Bank ausbezahlt.“
Krasniqi verdient ein Grundgehalt von 600 Euro. Pro Kunde, den er an die „Broker“ im zweiten Stock weiterleitet, bekommt er eine Provision von 50 Euro. Ab dem dritten Klienten sind es 60 Euro und ab dem sechsten 80 Euro. Im Dezember 2017 geht Krasniqi mit 1.500 Euro nach Hause, ein Gehalt drei Mal so hoch wie der Durchschnittslohn im Kosovo.
Der Absturz
Währenddessen geht Peter Taler in Oberösterreich durch die Hölle. Die Euphorie aus den ersten Monaten ist verflogen. Sein Trading-Konto zeigt Schwankungen an, seine „Broker“ wechseln ständig. Mal ruft ein Dr. Malon Bjor an, dann wieder ein Kevin Steinweg. Taler soll Spesen bezahlen.
Am 21. Dezember 2017, drei Tage vor Weihnachten, schreibt Taler eine E-Mail an FXC Markets: „Wann telefonieren wir? Ich habe mit den laufenden Investments ziemliche Sorgen!“
Aber niemand meldet sich zurück. Taler wird nervös.
29. Dezember: „Sind Sie nicht mehr bereit mit mir zu reden? Bitte dringend um Rückruf!!!!!“
17. Januar 2018: „Ich kann kaum noch schlafen wegen dieser Situation und bin mit meinen Nerven ziemlich am Ende.“
Was Taler nicht weiß: Der Laden in läuft. In der Höchstphase sollen dort 164 Mitarbeiter telefoniert haben, aufgeteilt auf verschiedene „Desks“, je nach Sprachraum. In sozialen Medien posten Mitarbeiter Videos vom Partymachen. Der Chef der Firma gibt lokalen Medien Interviews und lässt sich als Start-Up-Unternehmer feiern.
profil ist der Biografie dieses Chefs nachgegangen, der sich in der Szene den Namen Greg Mathias gab. Der 34-Jährige wollte früher einmal unbedingt Politiker werden. So zumindest beschreiben es ehemalige Wegbegleiter und Arbeitskollegen, mit denen profil in Tirana gesprochen hat. Greg Mathias stammt aus einer Industriestadt im albanischen Bergland. Er ist der Sohn eines Fabrikarbeiters, geboren 1989, als in Berlin die Mauer fiel, aber Albanien immer noch ein abgeschottetes, kommunistisches Regime war. Als Student engagierte sich Greg Mathias in der Sozialistischen Partei des amtierenden Premierministers Edi Rama und jobbte bei der Friedrich-Ebert-Stiftung, die der deutschen SPD nahesteht. Dann, im Jahr 2016, zog er ins Nachbarland Kosovo und eröffnete ein Call-Center. Das allein ist nichts Ungewöhnliches. In dem kleinen Balkanland gibt es eine boomende, legale Call-Center-Szene, die nichts mit Finanzbetrügereien zu tun hat. Große Firmen lagern ihren Kundenservice nach Prishtina aus: Zalando, Amazon, Apple, die deutsche Post, die „BILD“-Zeitung.
So bleibt Greg Mathias mit seinen Betrügereien unentdeckt. Auch im Jahr 2018, als immer mehr Opfern bewusst wird, dass da etwas nicht stimmen kann.
Auch Arber Krasniqi, der Mitarbeiter im ersten Stock, realisiert, was hier läuft. Als er ankündigt, eigenes Geld investieren zu wollen, nimmt ihn ein Kollege zur Seite: „Das sind keine realen Investments. Das ist alles eine Lüge!“ Noch am selben Tag kündigt Krasniqi die Arbeit und legt sein Headset für immer ab. Er will mit der Sache nichts mehr zu tun haben.
Wäre er geblieben, dann hätte er vielleicht die verzweifelten E-Mails von Peter Taler gelesen. Im März 2018 kann der österreichische Unternehmer die Support-Nummer des Call-Centers nicht mehr erreichen und schreibt an die Rezeption. Er braucht dringend eine Auszahlung, denn langsam wird auch seine Frau nervös. Sie ist für die Buchhaltung des Familienbetriebs verantwortlich. Sozialabgaben für die Mitarbeiter und Steuernachzahlungen sind fällig.
Im August 2018 schreibt Taler and FXC Markets: „Es geht um Leben und Tod!“
Im Oktober 2018 muss seine Frau mit der Rettung ins Krankenhaus geliefert werden. Sie hat einen Nervenzusammenbruch erlitten. „Wer meiner Frau schadet, der hat verspielt“, schreibt Taler in seiner letzten E-Mail an die Betrüger.
Dann blockiert er die Nummer.
Vier Jahre später hat sich Peter Taler damit abgefunden, dass er sein Geld nie wiedersehen wird.
Greg Mathias, der Chef des Call-Centers, hat im Prozess alles gestanden. „Er hat sein Bedauern zum Ausdruck gebracht und Verantwortung übernommen“, sagt Alexander Sättele, sein Anwalt, gegenüber profil. Vor Gericht hat sich sein Mandant auch an die Opfer gewandt. Er gab an für ein „elaboriertes System gearbeitete zu haben, dass ganz gezielt darauf ausgerichtet war, Menschen zu betrügen.“ Ihm sei bewusst, dass sich Geschädigte oft jahrelang Vorwürfe machen, wie ausgerechnet ihnen das passieren konnte. Es sei „keine Schande“ darauf hereinzufallen.
Hinter der Recherche
Diese einjährige Recherche wurde vom Förderprogramm „Investigative Journalism for Europe“ (IJ4EU) mitfinanziert. Das Ziel: Die Recherche in verschiedenen Sprachen und Ländern in unterschiedlichen Formaten öffentlich zu machen. Neben profil-Autorin Franziska Tschinderle waren auch Juli Ristani (Tirana), Vjosa Çerkini (Prishtina) und Ilir Tsouko (Tirana) Teil des Rechercheprojekts.
Sie wollen sich über seriöse Broker informieren? Folgender Blog hat uns während der Recherche geholfen, komplexe Finanzinstrumente einfach zu verstehen: https://finanzsache.com
