CEO Fraud – Betrüger nutzen Corona-Pandemie aus!



Eine Nachricht im Westfälischer Anzeiger vom 10.06.2020 gibt Veranlassung, auf die Gefahren hinzuweisen, die durch eine besonders raffinierte Art eines Betruges, bekannt unter den Begriffen „CEO Fraud“ und „Fake President“, entstehen können. Nach dem Pressebericht ist eine mittelständische Firma in Hamm (Westf.) Opfer eines solchen Cyber-Angriffs geworden: Geradezu klassisch erhielt eine Angestellte mehrere E-Mails, die augenscheinlich von der Unternehmensführung kamen. Mit den E-Mails bat der (vermeintliche) Geschäftsführer darum, in mehreren Tranchen Geldbeträge von einem Firmenkonto auf ein Konto in Großbritannien zu überweisen. Die Angestellte führte die Überweisungen aus.

Es ist bis dato nicht bekannt, ob es gelungen ist, die Geldbeträge zurückzuerlangen. Es steht zu befürchten, dass der überwiesene Betrag in Höhe von immerhin 240.000,00 EUR nach Gutschrift auf dem Konto in Großbritannien unmittelbar auf ein Konto in einem außereuropäischen Land (etwa in Asien) weitergeleitet worden ist.

Die einschlägigen Erfahrungen zeigen, dass die angewiesenen Geldbeträge in den meisten Fällen verloren sind.

Daher gilt es, der Bedrohung durch solche Cyber-Angriffe zu begegnen. Sie gefährden das Unternehmen und können zudem auch eine Haftung des verantwortlichen Geschäftsleiters begründen. Dazu einige kurze Hinweise:

 

1.

Das Betrugsszenario stellt sich in etwa wie folgt dar:

Dem Opfer – etwa dem Mitarbeiter der Buchhaltung – wird in der an ihn gerichteten E-Mail eingeschärft, Stillschweigen über eine vertrauliche Transaktion zu bewahren, es gehe z. B. um den Erwerb einer in Indien ansässigen Firma. Gleichzeitig wird damit dem ins Vertrauen gezogenen Opfer eine besondere Wertschätzung entgegengebracht. Schließlich sind die Informationen zu dem geplanten Erwerb für das Opfer glaubhaft, weil tatsächlich eine Expansion in Indien Gegenstand der Überlegungen des Unternehmens sind; dies könnte den Tätern etwa dadurch bekannt sein, dass sie zuvor mittels einer sog. Phishing-Mail vertrauliche Informationen ausgespäht haben. Eine Nachfrage des Mitarbeiters scheitert daran, dass er eine solche erst gar nicht in Erwägung zieht oder ihm die Telefonnummer des ihn angeblich anweisenden Geschäftsleiters nicht bekannt ist – etwa deshalb, weil er wegen der Corona-Pandemie im Homeoffice arbeitet und daher keinen Zugriff auf die Telefonnummer hat.

Um solchen Cyber-Angriffen zu begegnen, kann und muss ein ganzes Regime von Maßnahmen ergriffen werden – beispielhaft zu nennen sind:

  • Installieren Sie Berechtigungskonzepte, Zugriffs- und Zutrittskontrollkonzepte.
  • Sorgen Sie für zusätzliche Kontrollen – Stichwort: 4-Augen-Prinzip.
  • Schulen Sie die Mitarbeiter, ordnen Sie diesen gegenüber an, bei ungewöhnlichen Zahlungsanweisungen besonders gründlich die Absenderadressen und korrekte Schreibweise zu überprüfen.
  • Weisen Sie die Mitarbeiter an, durch einen Rückruf beim (vermeintlichen) Auftraggeber Nachfrage zu halten.

 

2.

Kommt es zu einem Cyber-Angriff, in dessen Folge das Unternehmen einen Schaden erleidet, stellt sich zwangsläufig die Frage, ob der verantwortliche Geschäftsleiter dem Unternehmen zum Schadensersatz verpflichtet ist.

Es ist offensichtlich, dass die Neigung, Schadensersatzansprüche gegen Organe zu verfolgen, in den vergangenen Jahren deutlich zugenommen hat. Dies gilt insbesondere in Gesellschaften, in denen das Gesetz (siehe nur § 116 AktG i.V.m. §§ 111, 112 AktG für die AG) von dem Aufsichtsrat oder der Gesellschafterversammlung verlangt, Ansprüche gegen das Organ zu verfolgen.

Die ausdrücklich im Gesetz für die AG in § 93 AktG normierte Haftung des Vorstands hat nach dem Willen des Gesetzgebers eine Ausstrahlungswirkung auf andere Gesellschaften, etwa in der Form der GmbH oder GmbH & Co. KG. Im Grundsatz muss indes jeder Geschäftsleiter damit rechnen, bei einer Verletzung der ihm obliegenden Pflichten vom Eigentümer des Unternehmens haftbar gemacht zu werden.

Der für die IT-Sicherheit zuständige Geschäftsleiter hat – ganz allgemein formuliert – ein IT-Sicherheitssystem einzurichten, das drohenden Risiken begegnet.

Die ergriffenen Maßnahmen sind (so wie auch sonst) regelmäßig daraufhin zu überprüfen, ob sie umgesetzt und anzupassen sind.

Grundsätzlich gilt weiter, dass der Umfang der zu ergreifenden IT-Sicherungsmaßnahmen an der Bedeutung der Unternehmensdaten, den möglichen Schäden und den Kosten auszurichten ist, die aus einem Cyber-Angriff entstehen können.

Wendet man nun das Augenmerk auf den eingangs geschilderten CEO Fraud, so sind die für die Zahlungsabwicklung zuständige Mitarbeiter des Unternehmens (1) sorgfältig auszuwählen und (2) ebenso einzuweisen und zu überwachen. Die Einweisung muss die Regeln umfassen, die zur Vermeidung von Schäden bei der Zahlungsabwicklung zu beachten sind.

 

3.

Als Empfehlung festzuhalten bleibt:

Ein Unternehmen bzw. der zuständige Geschäftsleiter hat dafür Sorge zu tragen, dass den Mitarbeitern Regeln an die Hand gegeben werden, die einen Cyber-Angriff verhindern bzw. oder jedenfalls deutlich erschweren. Nicht zu unterschätzen ist auch eine offene Kommunikation innerhalb eines Unternehmens, die es einem Mitarbeiter erlaubt, ja: ihn ermutigt, einen Vorgesetzten unmittelbar und jederzeit zu kontaktieren. Ist dies wegen der Größe des Unternehmens schwierig oder gar unmöglich, so sind andere Mechanismen festzulegen, die den auch im IT-Bereich drohenden Gefahren begegnen.

Einige allgemein von dem Mitarbeitern zu beachtende Regeln sind hier benannt worden. Welche weiteren Regeln zu implementieren sind, richtet sich nach der Art des Unternehmens und seinem Aufbau. Auch die Frage, ob wegen einer Pflichtverletzung eine Haftung eines Geschäftsleiters in Betracht kommt, bedarf einer einzelfallbezogenen Prüfung.

letzte Neuigkeiten

Allgemein

NRW-Soforthilfe 2020 – Stolperfallen bei Antrag und Rückzahlung

Am vergangenen Sonntag, dem 31.05.2020, endete der dreimonatige Bewilligungszeitraum für die Corona-bedingte NRW-Soforthilfe. Das zuständige ...
Mehr lesen

Haftungsrecht, Vertragsrecht

Update Abgasskandal: Ansprüche gegen VW noch nicht verjährt? BGH-Entscheidung in Sicht.

Wir berichteten, dass Besitzer eines Fahrzeuges aus dem VW-Konzern, die bisher den Klageweg gescheut haben, ihre Ansprüche gegen VW nach einem ...
Mehr lesen

Haftungsrecht, Vertragsrecht

Abgasskandal: Ansprüche gegen VW noch nicht verjährt

VW-Käufer, die bisher den Klageweg gescheut haben, können ihre Ansprüche nach einem Urteil des Landgerichts Duisburg immer noch geltend machen. ...
Mehr lesen

Versicherungsrecht

Corona-Virus: Versicherer haftet für Ausfälle bei Betriebsschließung von Hotels und Restaurants

Als erstes deutsches Gericht hat das Landgericht Mannheim mit seinem Urteil vom 29.04.2020 (Az. 11 O 66/20) entschieden, dass die Betriebsschließung ...
Mehr lesen

alle Neuigkeiten