CEO Fraud - Betrüger nutzen Corona-Pandemie aus!

15.06.2020
4 Minuten Lesezeit

Eine Nachricht im Westfälischer Anzeiger vom 10.06.2020 gibt Veranlassung, auf die Gefahren hinzuweisen, die durch eine besonders raffinierte Art eines Betruges, bekannt unter den Begriffen „CEO Fraud“ und „Fake President“, entstehen können. Nach dem Pressebericht ist eine mittelständische Firma in Hamm (Westf.) Opfer eines solchen Cyber-Angriffs geworden: Geradezu klassisch erhielt eine Angestellte mehrere E-Mails, die augenscheinlich von der Unternehmensführung kamen. Mit den E-Mails bat der (vermeintliche) Geschäftsführer darum, in mehreren Tranchen Geldbeträge von einem Firmenkonto auf ein Konto in Großbritannien zu überweisen. Die Angestellte führte die Überweisungen aus.

Es ist bis dato nicht bekannt, ob es gelungen ist, die Geldbeträge zurückzuerlangen. Es steht zu befürchten, dass der überwiesene Betrag in Höhe von immerhin 240.000,00 EUR nach Gutschrift auf dem Konto in Großbritannien unmittelbar auf ein Konto in einem außereuropäischen Land (etwa in Asien) weitergeleitet worden ist.

Die einschlägigen Erfahrungen zeigen, dass die angewiesenen Geldbeträge in den meisten Fällen verloren sind.

Daher gilt es, der Bedrohung durch solche Cyber-Angriffe zu begegnen. Sie gefährden das Unternehmen und können zudem auch eine Haftung des verantwortlichen Geschäftsleiters begründen. Dazu einige kurze Hinweise:

Das Betrugsszenario stellt sich in etwa wie folgt dar:

Dem Opfer – etwa dem Mitarbeiter der Buchhaltung – wird in der an ihn gerichteten E-Mail eingeschärft, Stillschweigen über eine vertrauliche Transaktion zu bewahren, es gehe z. B. um den Erwerb einer in Indien ansässigen Firma. Gleichzeitig wird damit dem ins Vertrauen gezogenen Opfer eine besondere Wertschätzung entgegengebracht. Schließlich sind die Informationen zu dem geplanten Erwerb für das Opfer glaubhaft, weil tatsächlich eine Expansion in Indien Gegenstand der Überlegungen des Unternehmens sind; dies könnte den Tätern etwa dadurch bekannt sein, dass sie zuvor mittels einer sog. Phishing-Mail vertrauliche Informationen ausgespäht haben. Eine Nachfrage des Mitarbeiters scheitert daran, dass er eine solche erst gar nicht in Erwägung zieht oder ihm die Telefonnummer des ihn angeblich anweisenden Geschäftsleiters nicht bekannt ist – etwa deshalb, weil er wegen der Corona-Pandemie im Homeoffice arbeitet und daher keinen Zugriff auf die Telefonnummer hat.

Um solchen Cyber-Angriffen zu begegnen, kann und muss ein ganzes Regime von Maßnahmen ergriffen werden – beispielhaft zu nennen sind:

Installieren Sie Berechtigungskonzepte, Zugriffs- und Zutrittskontrollkonzepte.
Sorgen Sie für zusätzliche Kontrollen – Stichwort: 4-Augen-Prinzip.
Schulen Sie die Mitarbeiter, ordnen Sie diesen gegenüber an, bei ungewöhnlichen Zahlungsanweisungen besonders gründlich die Absenderadressen und korrekte Schreibweise zu überprüfen.
Weisen Sie die Mitarbeiter an, durch einen Rückruf beim (vermeintlichen) Auftraggeber Nachfrage zu halten.

Kommt es zu einem Cyber-Angriff, in dessen Folge das Unternehmen einen Schaden erleidet, stellt sich zwangsläufig die Frage, ob der verantwortliche Geschäftsleiter dem Unternehmen zum Schadensersatz verpflichtet ist.

Es ist offensichtlich, dass die Neigung, Schadensersatzansprüche gegen Organe zu verfolgen, in den vergangenen Jahren deutlich zugenommen hat. Dies gilt insbesondere in Gesellschaften, in denen das Gesetz (siehe nur § 116 AktG i.V.m. §§ 111, 112 AktG für die AG) von dem Aufsichtsrat oder der Gesellschafterversammlung verlangt, Ansprüche gegen das Organ zu verfolgen.

Die ausdrücklich im Gesetz für die AG in § 93 AktG normierte Haftung des Vorstands hat nach dem Willen des Gesetzgebers eine Ausstrahlungswirkung auf andere Gesellschaften, etwa in der Form der GmbH oder GmbH & Co. KG. Im Grundsatz muss indes jeder Geschäftsleiter damit rechnen, bei einer Verletzung der ihm obliegenden Pflichten vom Eigentümer des Unternehmens haftbar gemacht zu werden.

Der für die IT-Sicherheit zuständige Geschäftsleiter hat – ganz allgemein formuliert – ein IT-Sicherheitssystem einzurichten, das drohenden Risiken begegnet.

Die ergriffenen Maßnahmen sind (so wie auch sonst) regelmäßig daraufhin zu überprüfen, ob sie umgesetzt und anzupassen sind.

Grundsätzlich gilt weiter, dass der Umfang der zu ergreifenden IT-Sicherungsmaßnahmen an der Bedeutung der Unternehmensdaten, den möglichen Schäden und den Kosten auszurichten ist, die aus einem Cyber-Angriff entstehen können.

Wendet man nun das Augenmerk auf den eingangs geschilderten CEO Fraud, so sind die für die Zahlungsabwicklung zuständige Mitarbeiter des Unternehmens (1) sorgfältig auszuwählen und (2) ebenso einzuweisen und zu überwachen. Die Einweisung muss die Regeln umfassen, die zur Vermeidung von Schäden bei der Zahlungsabwicklung zu beachten sind.

Als Empfehlung festzuhalten bleibt:

Ein Unternehmen bzw. der zuständige Geschäftsleiter hat dafür Sorge zu tragen, dass den Mitarbeitern Regeln an die Hand gegeben werden, die einen Cyber-Angriff verhindern bzw. oder jedenfalls deutlich erschweren. Nicht zu unterschätzen ist auch eine offene Kommunikation innerhalb eines Unternehmens, die es einem Mitarbeiter erlaubt, ja: ihn ermutigt, einen Vorgesetzten unmittelbar und jederzeit zu kontaktieren. Ist dies wegen der Größe des Unternehmens schwierig oder gar unmöglich, so sind andere Mechanismen festzulegen, die den auch im IT-Bereich drohenden Gefahren begegnen.

Einige allgemein von dem Mitarbeitern zu beachtende Regeln sind hier benannt worden. Welche weiteren Regeln zu implementieren sind, richtet sich nach der Art des Unternehmens und seinem Aufbau. Auch die Frage, ob wegen einer Pflichtverletzung eine Haftung eines Geschäftsleiters in Betracht kommt, bedarf einer einzelfallbezogenen Prüfung.

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Walter Batereau

Veröffentlicht von:

Rechtsanwalt Walter Batereau

Handelsrecht & Gesellschaftsrecht • Wirtschaftsrecht • Zivilrecht

Arbeitsrecht • Strafrecht • Bankrecht & Kapitalmarktrecht • Maklerrecht • Versicherungsrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Walter Batereau

UPDATE – Zahlungen nach Insolvenzreife - (k)eine Eintrittspflicht des D&O-Versicherers!?

Unter dem 12.11.2020 hatten wir das Urteil des 4. Zivilsenats des OLG Düsseldorf vom 26.06.2020 zu dem Az. 4 U 134/18 besprochen. Mit dem Urteil hatte das OLG Düsseldorf entschieden, dass ... Weiterlesen
Zahlungen nach Insolvenzreife – keine Eintrittspflicht des D&O-Versicherers!?

Der 4. Zivilsenat des OLG Düsseldorf hat in einer Entscheidung vom 26.06.2020 zu dem Az. 4 U 134/18 ein weiteres Mal entschieden, dass Ansprüche nach § 64 Satz 1 GmbHG vom ... Weiterlesen
NRW-Soforthilfe 2020 – Stolperfallen bei Antrag und Rückzahlung

Am 31.05.2020 endete der dreimonatige Bewilligungszeitraum für die Corona-bedingte NRW-Soforthilfe. Das zuständige Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie hat ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Walter Batereau

Weitere

Beiträge zum Thema

Corona-Pandemie vs. Gewerberaummietvertrag

09.04.2020

Aufgrund einer behördlichen Verfügung müssen das Ladenlokal oder der Gastronomiebetrieb geschlossen werden. Muss ... Weiterlesen
Patientenverfügung in der Corona-Pandemie

21.04.2020

Viele fragen sich angesichts der aktuellen Corona-Pandemie, wie wichtig eine Patientenverfügung ist. Manche ... Weiterlesen
Corona-Pandemie – Urteile der Verwaltungsgerichtsbarkeit

19.05.2020

VG Düsseldorf: Angeordnete Schließung von Spielhallen in Corona-Krise zulässig, Beschluss vom 20.03.2020 – 7 L ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Münster

Rechtsanwalt Wirtschaftsrecht

Rechtsanwalt Münster Wirtschaftsrecht