Der Fluch der Forbes-Liste

Oops… we did it again! So oder so ähnlich könnte wohl der Titel eines fiktiven Meetings beim Forbes-Magazin zu einem weiteren spektakulären Betrugsfall seiner angeblichen Superstars im Ranking der besten Unternehmensgründer und Unternehmen lauten.

Der neueste Fall ist der des Startups Frank. Es ist wohl einer der verrücktesten FinTech-Betrugsfälle seit FTX. Das Finanztechnologie-Startup Frank wurde 2016 als Finanzplattform ins Leben gerufen, die College-Studenten bei der Verwaltung ihrer finanziellen Unterstützung und ihrer Studienschulden hilft.

Frank-Gründerin Charlie Javice verfolgte das hochgesteckte Ziel, das Startup zu einem "Amazon für die Hochschulbildung" zu entwickeln. Als stolzes Mitglied der Forbes "Top 30 Under 30"-Liste sagte Javice einmal, dass ihre größte Herausforderung bei Frank die Größe sei. Wie wahr dies doch war – und am Ende war dies der Startpunkt für den Betrug!

Hohe kriminelle Energie

Dieses Element findet sich in so gut wie allen großen Betrugsfällen wieder. Im Falle von Frank bat die Gründerin Javice zuerst einen der Top-Ingenieure von Frank, Patrick Vovor, die gefälschte Kundenliste zu erstellen. Als dieser ablehnte, wandte sie sich an einen Professor für Datenwissenschaft (Amit J. K.), um synthetische Daten zu generieren. Laut den Ermittlungen der US-Justiz und der U.S. Securities and Exchange Commission (SEC) war seine Aufgabe, Millionen gefälschter Kundendaten zu generieren, um den Anschein zu erwecken, dass die Finanzhilfeplattform Frank über mehr als vier Millionen aktive Nutzer verfügte. Die synthetisch generierten Daten sollten glaubwürdig wirken und "plausibel statistisch verteilt" sein, um einer Due-Diligence-Prüfung standzuhalten. 

Anhand der Daten einiger Personen, die Frank bereits nutzten, erstellte er vier Millionen gefälschte Kundenkonten, für die Javice ihm 18.000 Dollar zahlte. Tatsächlich hatte das Unternehmen "nur" rund 300.000 Kunden. Später versuchte Javice laut Anklage, die Kommunikation mit Amit J. K. zu löschen, was die Ermittler als Versuch der Vertuschung werteten.

Auf dem Papier sah alles nach dem nächsten großen Ding aus, und der Bankenriese JP Morgan wurde auf das Unternehmen aufmerksam und erwarb es schließlich für 175 Millionen US-Dollar. Letztendlich waren es 175 Millionen US-Dollar für ein riesiges Potemkin'sches Dorf!

Kommissar Zufall & dilettantische Due Dilligence

JP Morgan bemerkte die Unregelmäßigkeiten nicht etwa im Rahmen einer sorgfältigen Due-Diligence-Prüfung oder durch systematische Warnzeichen, sondern eher zufällig. Denn ein Mitarbeiter stellte fest, dass eine Liste genau 1.048.576 Zeilen enthielt - das Maximum, das Microsoft Excel erlaubt. Zu diesem Zeitpunkt wurde man zumindest hellhörig.

Der Fall zeigt, dass die Due Diligence von JPMorgan offenbar nicht tief genug bohrte, um die Nutzerzahlen unabhängig zu verifizieren:

• Es gab keine systematische Verifikation der E-Mail-Adressen oder Nutzerinteraktion.
• Die Prüfung verließ sich auf die gelieferten Daten, statt selbst aktiv Rückschlüsse aus Nutzungsverhalten, Login-Daten oder Datenbankzugriffen zu ziehen.
• Data-Analytics-Methoden, beispielsweise Benford's Law Test, Clusteranalysen, Zeitreihen- und Aktivitätsanalysen oder Cross-Validation mit externen Datenquellen, wurden nicht ausreichend oder garnicht durchgeführt.

Erst nach dem Abschluss der Übernahme versuchte JPMorgan, mit Hilfe von Cross-Marketing-Angeboten das Nutzerpotenzial von Frank zu nutzen. Dabei verschickte die Bank E-Mails an die angeblich über vier Millionen registrierten Nutzer, die Frank laut den übermittelten Daten haben sollte. Ein großer Teil der E-Mails konnte nicht zugestellt werden – die Adressen existierten schlicht nicht. Das war der erste konkrete Hinweis auf mögliche Datenmanipulation. JPMorgan leitete daraufhin eine interne Untersuchung ein und dabei stellte sich heraus, dass viele der Nutzerdatensätze synthetisch oder fingiert waren. JP Morgan Chase schloss die Website und verklagte die 30-jährige Gründerin von Frank umgehend.

Verurteilung in mehreren Anklagepunkten

JP Morgan zahlte Javice für ihre Anteile an Frank rund 21 Millionen US-Dollar und stellte einen zusätzlichen Bonus von 20 Millionen US-Dollar in Aussicht (dieser wurde allerdings nicht mehr ausbezahlt). Außerdem wurde sie zur Geschäftsführerin von JP Morgan ernannt mit einem Jahresgehalt von 300.000 US-Dollar. 

Bereits hier kam es zu Ungereimtheiten: Noch bevor die gefälschten Nutzerdaten entdeckt wurden, wurde Javice aufgrund von Kreditkartenmissbrauchs von Firmenkreditkarten für persönliche Ausgaben und anderen Verstößen gegen bankinterne Vorgaben im November 2022 entlassen.

Vor wenigen Tagen wurden Javice und der Mitangeklagte Olivier Amar, der Franks Chief Growth Officer war, in allen vier Anklagepunkten verurteilt: Wertpapierbetrug, Betrug durch Überweisung, Bankbetrug und Verschwörungstheorie. Beiden drohen nun bis zu 30 Jahre Gefängnis.

Der Fluch der Forbes-Liste

Charlie Javice wurde schnell in den Star-Status gehoben. Sie reiht sich damit in die wenig schmeichelhafte Reihe der grandios gescheiterten Personen und Firmen der "Forbes-Rankings" ein, wie unter anderem:

• Elizabeth Holmes, Gründerin des Laborunternehmens Theranos. Im November 2022 wurde sie zu über 11 Jahren Haft wegen Anlagebetrugs verurteilt. 
• Sam Bankman-Fried, Gründer und ehemaliger CEO von FTX, einer mittlerweile insolventen Kryptowährungsbörse. Im November 2023 wurde er wegen Betrug und Geldwäsche zu 25 Jahren Haft verurteilt. 
• Silicon Valley Bank, die im März 2023 insolvent ging aufgrund zahlreicher grundlegender Verfehlungen im Risikomanagement. 

Abb. 01 Fluch der Forbes-Liste 

Reverse Engineering der Lüge: Datenanalyse gegen Datenmanipulation

Mit datenanalytischen Methoden lässt sich recht einfach die Authentizität großer Datensätze verifizieren. Startups, deren Bewertung stark auf Nutzerzahlen basiert, sind besonders anfällig für Manipulationen durch synthetisch generierte Datensätze. Solche Daten werden algorithmisch erzeugt, oft mithilfe von Zufallsverteilungen, Namenlisten oder strukturähnlichen Mustern. Sie wirken auf den ersten Blick plausibel, unterscheiden sich jedoch oft in ihrer statistischen Struktur und inhärenten Inkonsistenz von realen Nutzerdaten.

• Univariate und multivariate Verteilungsanalyse: Echte Nutzerdaten weisen oft nicht-normale, heterogene Verteilungen auf (beispielsweise Power-Law bei Login-Frequenzen, bimodale Altersverteilungen). Synthetische Daten hingegen sind oft übermäßig glatt oder gleichmäßig verteilt.
• Benford's Law Test: Das Benfordsche Gesetz beschreibt die erwartete Häufigkeit von Anfangsziffern in natürlich gewachsenen Zahlenreihen (beispielsweise Telefonnummern, Nutzer-IDs, Umsätzen). Abweichungen deuten auf manuelle Manipulation oder maschinelle Generierung hin.
• Analyse von Duplikaten und Mustern: Synthetische Daten weisen häufig regelmäßige Wiederholungen oder deterministische Muster auf (beispielsweise Name-Geburtsdatum-Kombinationen, Domains in E-Mail-Adressen).
• Clusteranalyse und Dimensionsreduktion: Mittels t-SNE, PCA oder k-means können Homogenität oder künstlich erzeugte Cluster sichtbar gemacht werden, die bei echten Nutzerdaten untypisch sind.
• Zeitreihen- und Aktivitätsanalyse: Realistische Nutzerinteraktionen erfolgen asynchron und nichtlinear. Synthetisch erzeugte Aktivitätsdaten sind dagegen oft zeitlich symmetrisch oder statistisch gleichmäßig verteilt.
• Cross-Validation mit externen Datenquellen: Stichprobenhafte Verifizierung von E-Mail-Adressen, Domänen, Standortdaten oder Mobilfunknummern gegen öffentlich verfügbare Datenbanken kann Hinweise auf eine synthetische Generierung liefern.

Bei einer fundierten Due Dilligence von Frank hätten folgende Methoden Hinweise auf Fälschung liefern können:

• Ungewöhnlich gleichverteilte E-Mail-Domains (beispielsweise viele zufällig generierte Adressen mit Bildungs-Domains)
• Künstlich homogenes Altersspektrum unter Nutzern
• Fehlende Korrelationen zwischen Variablen (beispielsweise Hochschule vs. Postleitzahl)
• Fehlende Aktivitätsdaten im Vergleich zur behaupteten Nutzerbasis
• Konsistenz der Datumsfelder (beispielsweise Anmeldung und letzter Login an exakt demselben Tag)

Key Take-Aways für das Risk Management

Der Betrugsfall rund um das Startup Frank und dessen Übernahme durch JPMorgan Chase liefert wichtige Lehren für ein wirksames Risikomanagement – insbesondere im Bereich von Startup-Beteiligungen und datengetriebenen Geschäftsmodellen.

• Transparenz: Insbesondere bei den besonders schnell in den Orbit geschossenen Erfolgsstories ist Transparenz ein wichtiger Erfolgsfaktor. Häufig sind intransparente Entscheidungen und kleine Entscheidungszirkel besonders anfällig für Klüngelei und betrügerische Aktivitäten ohne wirkungsvolle Kontrollen.
• Due-Diligence: Eine Firmenübernahme für 175 Mio. USD und trotzdem eher stiefmütterliche Prüfungsprozesse? Was verrückt klingt, war allem Anschein nach gängige Praxis bei JP Morgan. So behauptete Javice bereits, dass die Übernahmedokumente keine Angaben zur Nutzerbasis des Unternehmens enthielten und dass JP Morgan keine wirklich sorgfältige Überprüfung vorgenommen hätte. Eine Datenvalidierung, die von einem externen Anbieter für die Bank durchgeführt wurde, sei angeblich sehr oberflächlich gewesen; allein deren Kosten – angeblich nur 1.695 US-Dollar – würden das belegen. Gerade bei jungen, technologiegetriebenen Startups, bei denen Geschäftsmodelle stark von Nutzerdaten, Skalierbarkeit und Wachstumspotenzial abhängen, ist eine fundierte Due Dilligence besonders wichtig. Kennzahlen wie "aktive Nutzer" oder "engagement rates" sind leicht manipulierbar, wenn sie nicht aktiv verifiziert werden. Eine Stichprobenprüfung der Nutzerkontakte hätte für Transparenz gesorgt. Eine technisch gestützte Datenanalyse der Nutzungsdaten hätte Anomalien aufgezeigt. Historische Kommunikationsverläufe hätten gezeigt, dass viele Nutzerdaten synthetisch generiert wurden.
  Besonders peinlich für JP Morgan dürfte wohl die Tatsache sein, dass Leslie Wims Morris, die die Übernahme leitete, ihrem Team eine Nachricht schickte, in der sie Passagen aus dem Jahresbrief von CEO Jamie Dimon hervorhob und anmerkte, dass manchmal keine Analyse nötig sei. Vor Gericht stellten ihre Anwälte dies zwar als Scherz dar, es wirft allerdings kein gutes Licht auf die internen Prozesse von JP Morgan.
• Governance Strukturen: Das Interne Kontrollsystem (IKS) von Frank (und auch JP Morgan) hatte gnadenlos versagt und ist mit dem (vermeintlichen) Wachstum des Unternehmens nicht im Gleichschritt weiterentwickelt worden. Es dürfte wohl noch Gegenstand weiterer Ermittlungen sein, warum der Top-Ingenieur Patrick Vovor, an den sich Javice zuerst für die Datenmanipulation gewandt hatte, keine Meldung abgegeben hat bzw. inwieweit dieser vielleicht sogar ruhiggestellt wurde. Allesamt Faktoren einer schwachen Internen Governance!
  Was zudem noch sehr erstaunlich ist: Anhand der vorliegenden Erkenntnisse war wohl auch der Due-Diligence-Prozess als wesentlicher Teil der Governance-Struktur des Wallstreet-Giganten JP Morgan bestenfalls stiefmütterlich, wenn nicht sogar dilettantisch.
  Wenn es stimmt, dass weniger als 2.000 USD für eine Datenvalidierung ausgegeben wurden, ist dies ein gravierender Missstand bei einer Firmenübernahme von 175 Mio. USD.
• Gier frisst Hirn: Ebenfalls ein Klassiker der größten Betrugsfälle! Nicht zu unterschätzen ist wohl auch der Leumund, der Charlie Javice und ihr Star-Unternehmen umgeben haben. Es wurden wohl vielmehr die buntesten Erfolgspotenziale gesehen und die Risiken völlig ausgeblendet.– Wenn kein solides Risikomanagement existiert, dominiert Risikoblindheit!
  Javice war bereit, sehr weit zu gehen und ethisch fragwürdige Entscheidungen zu treffen, um die Investoren zu beeindrucken und ihre Erfolgsstory noch größer erscheinen zu lassen.
• Früherkennung statt Schadensbegrenzung: Die Aufdeckung des Betrugs erfolgte erst nach Abschluss der Übernahme. Ein stärkeres Augenmerk auf realitätsnahe Tests (beispielsweise Kontaktaufnahme mit Nutzern) hätte den Schaden frühzeitig verhindern können.
• Daten sind nicht gleich Wahrheit: Eine große Datenmenge bedeutet nicht automatisch valide Substanz. Nutzerzahlen, Engagement-Raten und Kundendaten sollten technisch und statistisch verifiziert werden – etwa durch Stichproben, Datenanalysen und Plausibilitätsprüfungen. Risikomanagement muss sich auf objektive, nachvollziehbare Kriterien stützen (Factfulness) – auch gegen Widerstand. Eine solide Verifizierung der Daten hätte JP Morgan wohl weit über 150 Mio. USD an Schaden und jede Menge Reputationsverlust erspart!