Betrugsmasche „CEO-Fraud“

Der CEO-Fraud ist auch unter den Bezeichnungen „Business E-mail Compromise“ (BEC) und „Fake President Fraud“ (FPF) bekannt und richtet sich ganz gezielt gegen Unternehmen (hingegen nicht gegen Privatpersonen). Dabei kann jedes Unternehmen jeder Größe Opfer eines solchen Betruges werden. Je größer das Unternehmen ist, desto attraktiver dürfte es jedoch für die Täter sein. Das liegt nicht nur an den höheren finanziellen Mitteln, sondern auch an den umfangreicheren Unternehmensstrukturen und der Komplexität, was die Entdeckungswahrscheinlichkeit für die Täter senkt. Andererseits haben mittelständige bis kleine Unternehmen häufig keine oder nur eine schlechte Compliance-Abteilung, sodass die Sicherheitsstandards hier bedeutend niedriger sind, was den Tätern die Tatdurchführung wiederum vereinfacht und damit ebenfalls einen nicht zu vernachlässigenden Anreiz darstellt. 

Typischerweise gehen die Täter dergestalt vor, dass sie an einen Angestellten des Unternehmens eine gut gefälschte E-Mail versenden, die den glaubhaften Eindruck erweckt, sie stamme von einem Mitglied der Unternehmensführung. Darin wird der Angestellte, oft unter Hinweis auf die Geheimhaltung und Dringlichkeit des Vorgangs, angewiesen, eine bestimmte Geldsumme an eine meist ausländische Bankverbindung zu überweisen. Um die Fälschung möglichst authentisch zu gestalten, werden vorab Firmeninterna recherchiert – dies geschieht sowohl über öffentlich zugängliche Quellen (wie Homepages, Wirtschaftsberichte, Handelsregisterauszüge oder Werbebroschüren) als auch über soziale Netzwerke. Letztere werden insbesondere dazu genutzt, Informationen über einzelne Mitarbeiter, ihre Funktion und Tätigkeiten im Unternehmen sowie persönliche Details zu erforschen, um diese sodann unter einer falschen Identität zu kontaktieren. 

Daneben besteht auch die Möglichkeit, dass es sich nicht um einen gefälschten E-Mail-Account handelt, sondern um den echten Account, den die Täter jedoch auf illegale Weise zuvor gehackt haben. Hier wird ein Erkennen für den betroffenen Mitarbeiter de facto unmöglich. Ebenso kann sich das Begehren der Täter nicht auf einen Geldtransfer, sondern auf das Übersenden sensibler Daten richten, beispielsweise Daten aus der Personalabteilung, der Buchhaltung oder des Controllings. Diese Daten werden nachfolgend missbräuchlich genutzt, um hierdurch wirtschaftliche oder andere Vorteile zu erlangen. 

Zum CEO-Fraud lassen sich im weiteren Sinne auch die Fälle zählen, in denen nicht die E-Mails-Accounts von Führungspersonen gehackt werden, sondern die von Angestellten. Über diese Accounts wird sodann mit Geschäftspartnern kommuniziert und um die Begleichung einer Rechnung auf ein Konto der Betrüger gebeten. Eine weitere Masche ist, dass sich die Betrüger als ein angeblicher Lieferant ausgeben und um die Bezahlung eines Rechnungsbetrages auf ein alternatives Konto bitten, welches ebenfalls den Betrügern gehört.  

Wie sich erkennen lässt, sind die Betrüger äußerst erfinderisch und suchen stets nach neuen Möglichkeiten, zumeist hohe Geldsummen, aber auch sensible Daten, zu erschleichen und hierdurch den Unternehmen erheblich zu schaden. Häufig drohen auch den getäuschten Mitarbeitern, die die erbetenen Daten und/oder Geldsummen übersenden, ernstzunehmende berufliche und gegebenenfalls auch rechtliche Konsequenzen. 

Abgesehen von rein technischen Sicherheitsvorkehrungen ist ein wichtiger und zielführender Weg die Sensibilisierung und Aufklärung der Mitarbeiter, um so ein entsprechendes Problembewusstsein für diese Art von Betrug zu schaffen und zu schärfen. Diese müssen über die vorab dargestellten Betrugsmaschen informiert werden, damit sie die Täuschungen erkennen können. Hierzu bieten sich firmeninterne Coachings und regelmäßige Schulungen an. Daneben sollte die Unternehmensführung genau darauf achten, welche Informationen öffentlich gemacht werden, insbesondere auch hinsichtlich der Informationen, die einzelne Mitarbeiter in sozialen Netzwerken verbreiten. Zudem bieten interne Kontrollmechanismen weiteren Schutz, die jedenfalls bei zweifelhaften Zahlungsanweisungen oder Datenübermittlungsanfragen eingreifen sollten. 

Sollte eine derartige Betrugsmasche gleichwohl Erfolg haben, so kann sich Ihr Unternehmen bzw. können Sie sich als möglicherweise (mit-)haftender Geschäftsführer nur dann haftungsrechtlich entlasten, wenn Sie Ihre Mitarbeiter ausreichend informiert und geschult haben. Ansonsten kann Sie im Schadensfall jedenfalls eine Mitschuld treffen, wie es Gerichte teilweise schon entschieden haben – dabei bleibt diese Feststellung sowie die konkrete Höhe des Mitverschuldens einzelfallabhängig und im Ermessen des Gerichts, sodass hier keine abstrakten Grenzen dargelegt werden können. Um eine solche Mithaftung zu vermeiden, ist es ratsam, ein umfassendes Compliance Management im Unternehmen zu etablieren. Als Full-Service Kanzlei bieten wir auch in diesem Bereich eine fachkundige Rechtsberatung an. Wenden Sie sich daher auch in Compliance-Angelegenheiten gerne an unsere Rechtsexperten, die mit Ihnen zusammen Ihr Unternehmen erfolgreich und rechtskonform in die Zukunft führen. 

Sollten Sie den Verdacht haben, dass Ihr Unternehmen trotz aller Sicherheitsvorkehrungen Opfer eines Betrugs geworden ist, so sollten Sie zunächst Ruhe bewahren. Auch wenn die Überzeugung vorherrscht, die Täter könnten ohnehin nicht ermittelt werden und es sollte deshalb von einer Strafanzeige abgesehen werden, so entspricht dies nur in einigen Fällen der Realität. Präventive Maßnahmen sollten jedoch unbedingt ergriffen werden. Eine Strafanzeige erscheint in der Regel allein schon in Anbetracht der oft großen Schadenshöhe als lohnenswert. Ebenso empfehlenswert ist es, sämtliche Passwörter für Accounts und Konten zu ändern, und sich mit dem jeweiligen Geldinstitut in Verbindung zu setzen. Darüber hinaus sollten Sie versuchen, alle Indizien und Beweise zusammen zu tragen, die für die Ermittlungsbehörden von Bedeutung sein könnten. Handelt es sich nämlich um eine Betrugsmasche einer spezialisierten Bande, so können eine große Anzahl von Opfern zur Aufdeckung beitragen und nachfolgend entschädigt werden. Dazu kann es sich lohnen, sich an unsere erfahrenen Rechtsexperten zu wenden, die Ihnen mitteilen können, welche Informationen für die strafrechtlichen Ermittlungen von Relevanz sind, sowie Ihnen einen Überblick über Ihre rechtlichen Möglichkeiten aufzeigen. 

Sollten Sie nicht der Geschädigte sein, sondern der vermögensverfügende und getäuschte Mitarbeiter des Unternehmens, so stellt sich neben der denkbaren zivilrechtlichen Haftung die Frage, ob Sie sich gegebenenfalls auch strafbar gemacht haben. In solchen Konstellationen kommt vor allem der Straftatbestand der Untreue nach § 266 Abs. 1 StGB in Betracht, der mit einer Freiheitsstrafe von bis zu fünf Jahren oder einer Geldstrafe bestraft werden kann. Wegen Untreue macht sich strafbar, wer  

„die ihm durch Gesetz, behördlichen Auftrag oder Rechtsgeschäft eingeräumte Befugnis, über fremdes Vermögen zu verfügen oder einen anderen zu verpflichten, mißbraucht oder die ihm kraft Gesetzes, behördlichen Auftrags, Rechtsgeschäfts oder eines Treueverhältnisses obliegende Pflicht, fremde Vermögensinteressen wahrzunehmen, verletzt und dadurch dem, dessen Vermögensinteressen er zu betreuen hat, Nachteil zufügt“. 

Demnach bestehen zwei Tatbestandsalternativen: die Missbrauchsvariante (Alt. 1) und die Treubruchvariante (Alt. 2). Aufgrund des zugrunde liegenden Betrugs und der damit einhergehenden Anfechtbarkeit des Rechtsgeschäftes (gemäß § 823 Abs. 2 BGB i. V. m. § 263 Abs. 1 StGB) liegt keine ausreichend wirksame Verpflichtung des geschädigten Unternehmens vor, sodass eine Strafbarkeit hiernach ausscheidet. Jedoch besteht weiterhin die Möglichkeit der Treubruchvariante, die weiter reicht als die Missbrauchsvariante. Problematisch und diskutabel dürfte hierbei in aller Regel die erforderliche Pflichtwidrigkeit der Handlung, also des Geldtransfers, sein. Nicht jede zivilrechtlich relevante Pflichtwidrigkeit ist auch automatisch ausreichend für eine Strafbarkeit. Vielmehr bedarf es hierfür eine gravierende Pflichtverletzung des Mitarbeiters. Wann diese angenommen werden kann, ist erneut einzelfallabhängig zu betrachten und kann nicht abstrakt festgelegt werden. Gerade deshalb ist es in jedem Fall ratsam, sich einen gleichermaßen kompetenten wie engagierten Rechtsbeistand zu suchen, der Sie in einem solchen Fall bestmöglich beraten kann. Sollten Sie sich in einer derartigen Situation befinden, zögern Sie nicht, sich umgehend mit unseren Experten für Strafrecht in Verbindung zu setzen. Diese werden eng mit Ihnen zusammenarbeiten und eine effektive Verteidigungsstrategie für Ihren individuellen Fall entwickeln. Nutzen Sie dazu die nachfolgenden Kontaktmöglichkeiten.