100 Millionen Euro gestohlen: Was Volksbanken aus dem Fall Kiabi lernen müssen

Im Juli 2024 wurde bekannt, dass eine ehemalige Managerin des französischen Modeunternehmens Kiabi 100 Millionen Euro veruntreut haben soll. Das Geld habe sie zuvor bei der Volksbank Düsseldorf Neuss eG als Anlage hinterlegt, von dort ins Ausland transferiert und anschließend unter anderem über Immobilieninvestitionen in den USA gewaschen.

Der Vorfall ist nicht nur wegen der besonders hohen Geldsumme so brisant. Er offenbart außerdem signifikante Sicherheitslücken, unzureichende Kontrollinstanzen, mangelhafte Transaktionsprüfungen, Schwächen in der E-Mail-Sicherheit und zeigt eindrucksvoll, wie einfach Trickbetrug und Social Engineering heute noch möglich sind.

Der Fall Kiabi: 100 Millionen Euro veruntreut

Laut aktuellen Ermittlungs- und Kenntnisstands eröffnete im Sommer 2023 Aurélie Bard, zu dem Zeitpunkt Finanzmanagerin bei Kiabi, unter falscher Identität ein Konto bei der Volksbank Düsseldorf Neuss und zahlte darauf 100 Millionen Euro ihres Arbeitgebers ein. Kurze Zeit später wies sie die Bank an, das Geld auf ein Konto bei der türkischen Nurol Bank zu transferieren, wo es anschließend in mehrere Posten aufgeteilt und verwendet wurde (sog. Smurfing) – im Raum stehen unter anderem Immobilienkäufe in den USA.

Als die Modekette ein Jahr später im Juli 2024 auf das Konto zugreifen wollte, stellte sich heraus, dass das Geld bereits weg war. Bard soll mithilfe gefälschter Dokumente und E-Mail-Adressen das Vertrauen der Volksbankmitarbeiter gewonnen und so diese getäuscht haben.

Obwohl sie als Neukundin eine ungewöhnlich hohe Summe einzahlte und diese anschließend ins Ausland transferierte, wurde die Transaktion ohne Einbeziehung des Vorstands (wie sonst üblich) abgewickelt.

Ermittlungen und Konsequenzen

Der Vorfall zog internationale Ermittlungen nach sich. In Deutschland, Frankreich und den USA laufen Verfahren. Infolge des Vorfalls trat der Vorstandsvorsitzende der Volksbank Düsseldorf Neuss im November 2024 zurück. Kurze Zeit später kam es am 6. Dezember zu Razzien in der Hauptgeschäftsstelle der Bank in Neuss, sowie in zwei Privatwohnsitzen.

Die Bank sieht sich als Geschädigte und verweist auf Rücklagen durch den Bundesverband der deutschen Volksbanken und Raiffeisenbanken (BVR) in Höhe von 70 Mio. Euro. Dennoch droht für das Jahr 2024 ein historisch hoher Bilanzverlust.

Lehren für Volksbanken und Sparkassen

Der Kiabi-Betrug ist kein Einzelfall. Banken ziehen Kriminelle an wie das Licht die Motten. Im Juni 2024 wurde bekannt, dass die Immobilientochter der DZ-Bank, die DG Immobilien Management, Opfer einer Cyberattacke wurde. Es wurden zahlreiche sensible Daten von mehreren zehntausend Anlegern gestohlen, darunter Adressen, sowie mutmaßlich Konto- und Geburtsdaten, Steuernummern, Anlagebeträge oder auch Mitteilungen der Finanzämter oder Nachweisdokumente.

2023 kam es zu einem schweren Cyberangriff, von dem unter anderem die Deutsche Bank, die ING und die Comdirect betroffen waren. Cyberkriminelle hatte eine Sicherheitslücke bei der MOVEit-Dateiübertragungssoftware ausgenutzt und die Daten von mehr als 85 Millionen Menschen kompromittiert.

Die Software wird nicht nur in der Finanzdienstleistung, sondern auch im Gesundheits- und Versicherungswesen sowie in der Pharmaindustrie verwendet. Insgesamt waren in Deutschland rund 100 Unternehmen von dem Angriff betroffen.

Die Kunden von DKB sowie einige Sparkassen werden immer wieder Opfer von Cyberkriminalität: Mithilfe von Spear-Phishing und der technischen Umgehung der Zwei-Faktor-Authentifizierung plündern die Täter seit mehreren Jahren die Konten.

Quick-fix-Maßnahmen für Geschäftsführer und Vorstände

Ein Fall wie bei Kiabi und der Volksbank Düsseldorf Neuss kann in jeder Bank und Sparkasse passieren. Geschäftsführer sollten daher die folgenden Sofortmaßnahmen ergreifen (falls nicht schon geschehen), um das Risiko deutlich zu senken:

1. Organisation: Verantwortung verankern

   • Klare Richtlinien für risikobehaftete Transaktionen
   • Regelmäßige Risikoanalysen durch die Führungsebene
   • Vorstandsinvolvierung bei Auslandsüberweisungen

2. Prozesse: Kontrollmechanismen ausbauen

   • 4- oder 8-Augen-Prinzip bei hohen Beträgen
   • Interne Eskalationsmechanismen bei Verdachtsmomenten
   • Verdachtsunabhängige Transaktionsüberwachung

3. IT: Technische Schutzmaßnahmen modernisieren

   • Zero-Trust-Architektur & automatisierte Warnsysteme
   • Einsatz von DMARC, SPF, DKIM gegen E-Mail-Spoofing
   • Regelmäßige Penetrationstests und Systemhärtung

4. Personal: Reale Angriffssimulationen

   • Kontinuierliche und positionsspezifische Fortbildungen zu Social Engineering
   • Realistische E-Mail-, Voice-Phishing- und Tailgating-Simulationen
   • Sicherheitsverantwortung als Teil der Unternehmenskultur

DORA als regulatorischer Rahmen für Resilienz

Die Digital Operational Resilience Act (DORA) macht Vorgaben für Finanzinstitute, um IKT-Risiken ganzheitlich zu managen. Der Fall Kiabi zeigt, wie dringlich diese Vorgaben sind:

• Governance: Leitungsorgane müssen digitale Risiken aktiv steuern.

• Vorfallmanagement/Incident Response: IT-Vorfälle müssen gemeldet und dokumentiert werden

• Simulationen: Institutionen müssen regelmäßige Belastungstests durchführen

• IKT-Drittparteienrisiko: Externe Anbieter müssen DORA-konform kontrolliert werden.

>>> Erfahren Sie mehr über die DORA-Maßnahmen für Volksbanken und Sparkassen in unserem Beitrag „DORA-Verordnung in Kraft: Was Banken und Sparkassen jetzt tun müssen“

Fazit: Cybersicherheit ist Chefsache – und Pflicht

Der Fall Kiabi verdeutlicht, wie schnell Vertrauen, Vermögen und Reputation verloren gehen können. Nur mit einem ganzheitlichen Sicherheitsansatz, bei dem Organisation, Prozesse, Technik und Menschen zusammenspielen, können Banken wie Sparkassen sich wirksam vor komplexen Angriffen schützen. Investitionen in Awareness, strukturierte Prozesse und moderne IT-Sicherheit sind keine Option mehr, sondern Pflicht und müssen regelmäßigen Stresstests standhalten können – insbesondere, seit die DORA im Januar 2025 in Kraft getreten ist.