In einer zunehmend digitalisierten Geschäftswelt sind Unternehmen nicht nur durch wirtschaftliche Schwankungen oder Wettbewerbsdruck gefährdet – auch Cyberkriminalität stellt eine wachsende Bedrohung dar. Besonders perfide ist dabei eine Betrugsmasche, die unter dem Begriff CEO-Fraud oder Business Email Compromise (BEC) bekannt ist. Dabei geben sich Täter mithilfe gefälschter oder gehackter E-Mail-Adressen als Führungskräfte eines Unternehmens aus und bringen Mitarbeiter dazu, hohe Geldbeträge zu überweisen oder sensible Informationen preiszugeben. Weltweit entstehen Unternehmen durch diese Art von Betrug jährlich Schäden in Milliardenhöhe.
Ob präventive Beratung oder rechtliche Unterstützung im Ernstfall – bei CEO-Fraud oder anderen Cyberangriffen bietet die Kanzlei Schlun & Elseven umfassende Expertise im Wirtschaftsstrafrecht. Die Leistungen reichen von der Beweissicherung durch IT-Forensiker über die strafrechtliche Aufarbeitung bis hin zur Durchsetzung von Ansprüchen gegen Täter und Dritte. Die enge Zusammenarbeit mit technischen Experten und ein praxisnaher, juristisch fundierter Ansatz gewährleisten einen effektiven Schutz vor digitalen Betrugsmaschen – und eine professionelle Begleitung, wenn es bereits zum Schaden gekommen ist.
Was versteht man unter dem CEO-Fraud?
Ein sich gezielt gegen Unternehmen gerichteter Cyberangriff ist der sogenannte CEO-Fraud, auch unter der Bezeichnung „Business Email Compromise“ (BEC) bekannt. Dabei versuchen die Täter zumeist Mitarbeitende eines Unternehmens zur Transaktion höhere Geldbeträge ins Ausland oder zur Übersendung sensibler Daten zu veranlassen. Da für die sodann handelnde Person meist nicht ersichtlich ist, dass es sich bei dem Täter um einen solchen handelt, kommt diese dem Auftrag des vermeintlichen Vorgesetzen nach. Opfer dieser Betrugsmasche werden daher ausschließlich Unternehmen, unabhängig von ihrer Größe und zugehörigen Branche. Die verheerende Folge eines CEO-Fraud: der finanzielle Schaden und die mögliche Schädigung des Rufs. Häufig drohen auch den getäuschten Mitarbeitern, die die erbetenen Daten und/oder Geldsummen übersenden, rechtliche Konsequenzen. Entscheidend ist daher, solchen Angriffen vorbeugend entgegenzuwirken oder schnellstmöglich zu handeln, sobald man den Betrug erkennt.
Formen und Ausgestaltungen
Typischerweise gehen die Täter dergestalt vor, dass sie an einen Angestellten des Unternehmens eine gut gefälschte E-Mail versenden, die den glaubhaften Eindruck erweckt, sie stamme von einem Mitglied der Unternehmensführung. Darin wird der Angestellte, oft unter Hinweis auf die Geheimhaltung und Dringlichkeit des Vorgangs, angewiesen, eine bestimmte Geldsumme an eine meist ausländische Bankverbindung zu überweisen. Um die Fälschung möglichst authentisch zu gestalten, werden vorab Firmeninterna recherchiert – dies geschieht sowohl über öffentlich zugängliche Quellen als auch über soziale Netzwerke. Letztere werden insbesondere dazu genutzt, Informationen über einzelne Mitarbeiter, ihre Funktion und Tätigkeit im Unternehmen sowie persönliche Details zu erforschen.
Daneben besteht auch die Möglichkeit, dass es sich nicht um einen gefälschten E-Mail-Account handelt, sondern um den echten Account, den die Täter jedoch zuvor gehackt haben. Ebenso kann sich das Begehren der Täter nicht auf einen Geldtransfer, sondern auf das Übersenden sensibler Daten richten, beispielsweise Daten aus der Personalabteilung, der Buchhaltung oder des Controllings. Diese Daten werden nachfolgend missbräuchlich genutzt, um hierdurch wirtschaftliche oder andere Vorteile zu erlangen.
Zum CEO-Fraud lassen sich im weiteren Sinne auch die Fälle zählen, in denen nicht die E-Mails-Accounts von Führungspersonen gehackt werden, sondern die von Angestellten. Über diese Accounts wird sodann mit Geschäftspartnern kommuniziert, die zur Begleichung vermeintlicher Rechnung gebeten werden. Auch geben sich die Täter als ein angeblicher Lieferant aus und fordern sodann die Bezahlung eines Rechnungsbetrages auf ein Konto, welches den Betrügern gehört.
Prävention
Abgesehen von rein technischen Sicherheitsvorkehrungen ist ein wichtiger und zielführender Weg die Sensibilisierung und Aufklärung der Mitarbeiter, um so ein entsprechendes Problembewusstsein für diese Art von Betrug zu schaffen und zu schärfen. Diese müssen über die vorab dargestellten Betrugsmaschen informiert werden, damit sie die Täuschungen erkennen können. Hierzu bieten sich firmeninterne Coachings und regelmäßige Schulungen an. Daneben sollte die Unternehmensführung genau darauf achten, welche Informationen öffentlich gemacht werden. Zudem bieten interne Kontrollmechanismen weiteren Schutz, die jedenfalls bei zweifelhaften Zahlungsanweisungen oder Datenübermittlungsanfragen eingreifen sollten.
Sollte eine derartige Betrugsmasche gleichwohl Erfolg haben, stellt sich oft die Frage nach der Haftung. Mitarbeitende, das Unternehmen selbst sowie Banken und Versicherungen können in solchen Fällen haftbar gemacht werden. Als Unternehmen könnte Sie im Schadensfall jedenfalls eine Mitschuld treffen. Um eine solches Mitverschulden zu vermeiden, ist es ratsam, ein umfassendes Compliance Management im Unternehmen zu etablieren. Als Full-Service Kanzlei bieten wir auch in diesem Bereich eine fachkundige Rechtsberatung an. Unsere Rechtsanwälte erarbeiten mit Ihnen gemeinsam sichere Compliance-Strukturen, die Ihr Unternehmen erfolgreich und rechtskonform in die Zukunft führen.
Verhalten und rechtlicher Beistand in Betrugsfällen
Wenn Sie den Verdacht haben, dass Ihr Unternehmen trotz aller Sicherheitsvorkehrungen Opfer eines CEO-Fraud geworden ist, sollten Sie zunächst Ruhe bewahren. Auch wenn die Überzeugung vorherrscht, die Täter könnten ohnehin nicht ermittelt werden, ist es ratsam dennoch eine Strafanzeige zu erstatten. Diese erscheint in der Regel allein schon in Anbetracht der oft großen Schadenshöhe als lohnenswert. Ebenso empfehlenswert ist es, sämtliche Passwörter für Accounts und Konten zu ändern, und sich mit dem jeweiligen Geldinstitut in Verbindung zu setzen. Darüber hinaus sollten Sie versuchen, alle Indizien und Beweise zusammen zu tragen, die für die Ermittlungsbehörden von Bedeutung sein könnten. Handelt es sich um eine Betrugsmasche einer spezialisierten Bande, so kann eine große Anzahl von Opfern zur Aufdeckung beitragen und nachfolgend entschädigt werden.
Praxisgruppe für Wirtschaftsstrafrecht
Schlun & Elseven Rechtsanwälte kontaktieren
Nutzen Sie gerne unser Online-Formular, um uns Ihr Anliegen zu schildern. Nach Erhalt Ihrer Anfrage werden wir eine kurze Ersteinschätzung vornehmen und Ihnen ein Kostenangebot zukommen lassen. Anschließend können Sie entscheiden, ob Sie uns den Auftrag erteilen möchten.
