CEO-Fraud und andere Risiken in der Krise

Wenn man's Recht betrachtet

Langsam kehrt in Deutschland so etwas wie Normalität zurück. Geschäftliche Kontakte werden reaktiviert, einige Mitarbeiter machen sich auf den Weg ins Büro, und Unternehmen gewinnen eine gewisse Routine im Umgang mit den Restriktionen der Corona-Krise. Einige Veränderungen werden allerdings weiterhin Bestand haben und das unternehmerische Leben prägen: Reduzierte persönliche Kontakte und digitale Kommunikation gewinnen innerbetrieblich weiter an Bedeutung. Nachlässigkeiten im Umgang mit den "modernen Kommunikationsmitteln" sind aber auch ein Einfallstor für Kriminelle.

Dr. Mayeul Hiéramente, FHM Rechtsanwälte
Dr. Mayeul Hiéramente, FHM Rechtsanwälte

CEO-Fraud und Variationen

Bereits vor der Corona-Krise haben gut organisierte kriminelle Banden eine Schwachstelle in zahlreichen Unternehmen ausgemacht: den innerbetrieblichen E-Mail-Austausch. In vielen Unternehmen überhäufen sich Mitarbeiter mit einer Flut von E-Mails, die teilweise im Minutentakt im Postfach eintreffen. Arbeitsanweisungen der Geschäftsleitung, Verhandlungen mit Geschäftspartnern, Abstimmung der gemeinsamen Mittagspause unter Kollegen sowie zahlreiche Newsletter bestimmen den Arbeitsalltag der Beschäftigten. Dabei tauschen Mitarbeiter selbst zu einer einzelnen Thematik häufig diverse E-Mails miteinander aus. Sie nehmen kurzfristig Korrekturen vor und es entwickelt sich ein weitgehend formloser, teils auch chaotischer, digitaler Dialog.

Diese weitgehend informelle und schnelllebige Kommunikation ist das Einfallstor für eine perfide Strategie: Kriminelle nutzen Sicherheitslücken, um in einem ersten Schritt Erkenntnisse über die konkrete E-Mail-Kommunikation zu gewinnen. Dazu studieren sie den innerbetrieblichen E-Mail-Austausch genau. Sie analysieren den Duktus der beteiligten Personen, deren digitale Gewohnheiten und den Tagesablauf von Vorgesetzten und Mitarbeitern genau und wählen auf diese Weise einen geeigneten Zeitpunkt, sich in die Kommunikation einzuklinken. Das trojanische Pferd passiert das Tor zum Unternehmen.

Im klassischen Fall des "CEO-Frauds" erhält die Buchhaltung vom vermeintlichen Geschäftsführer oder Vorstand eine E-Mail mit der Bitte, eine (dringende) Überweisung auszuführen. Diese E-Mail wirkt (auf den ersten Blick) so täuschend echt, dass dem Empfänger kaum ein Vorwurf gemacht werden kann, wenn er der Bitte nachkommt und die Gelder transferiert. Gerade in Zeiten, in denen persönliche Kontakte eingeschränkt sind, fällt der Irrtum oft erst deutlich später auf. Ist zu viel Zeit verstrichen, ist die Hoffnung auf eine schnelle Rückholung der Gelder gering.

Den "CEO-Fraud" haben Kriminelle mittlerweile perfektioniert und variiert. Sie infiltrieren zum Beispiel auch die Kommunikation mit Geschäftspartnern, weshalb auch Sicherheitslücken in der IT von Geschäftspartnern für Unternehmen Angriffspunkte darstellen können. Auch hier verhalten sich die Angreifer zunächst weitgehend passiv, beobachten das Geschehen und schalten sich erst dann ein, wenn es um die Übermittlung von Kontodaten und die Begleichung von Rechnungen geht. Ein böses Erwachen folgt, wenn man glaubt, die Lieferantenrechnung bezahlt zu haben und sich kurze Zeit später der wahre Vertragspartner mit einer Zahlungsaufforderung meldet. Diese Vorgehensweise hat Methode und trifft gerade in Zeiten von Corona leicht auf fruchtbaren Boden. Wer seine Geschäftspartner nicht persönlich kennt und vornehmlich per E-Mail kommuniziert, wird eine Veränderung im E-Mail-Header ebenso leicht übersehen, wie kleinere Auffälligkeiten bei den Kontodaten.

Ransomware und Datenklau

Neben dieser eher subtilen Vorgehensweise sollten auch die "üblichen" IT-Risiken nicht aus dem Blick verloren werden. So können Sicherheitslücken auf Handy, Computer oder Netzwerk genutzt werden, um Daten - z.B. zum Zwecke einer Erpressung - mittels sog. Ransomware zu sperren oder diese zur Auswertung der darin gespeicherten Geschäftsgeheimnisse zu entwenden. Betriebsspionage spielt gerade auch in der modernen Dienstleistungsgesellschaft weiterhin eine wichtige Rolle. Die Digitalisierung der Unternehmen und die Ermöglichung der Tätigkeit im "Home Office" dürfen daher keiner Nachlässigkeit im Bereich der IT-Sicherheit Vorschub leisten. Die finanziellen Risiken unzureichender Sicherheitsstandards sind beträchtlich. Neben Investitionen in die IT-Infrastruktur empfiehlt es sich insoweit, die eigenen Mitarbeiter regelmäßig zu schulen. Denn: Die größte Schwachstelle im eigenen Sicherheitssystem ist immer der menschliche Nutzer. 

Prävention und Reaktion

Die Möglichkeiten der Digitalisierung gehen mit neuen Erscheinungsformen der Wirtschaftskriminalität einher. Bedauerlicherweise hat hier in den letzten Jahren eine gewisse Professionalisierung stattgefunden. Die Zeiten, in denen nur von "nigerianischen Prinzen" Ungemach drohte, sind vorbei. Dementsprechend bedarf es größerer Anstrengungen von Seiten der Unternehmen, derartige Straftaten durch die notwendigen Vorkehrungen zu verhindern. Selbst wenn Schutzmaßnahmen niemals eine absolute Sicherheit gewährleisten, sind sie für eine ordnungsgemäße Geschäftsführung (und damit auch zur Vermeidung von Haftungsrisiken der Geschäftsleitung selbst) unerlässlich.

Sie sind der Grundstein für eine schnelle Reaktion im Krisenfall, zum Beispiel auch mit Mitteln des Straf- und des Strafverfahrensrechts. Eine richtig platzierte Anzeige kann zur Arretierung von Vermögenswerten oder einer Durchsuchung und Beschlagnahme bei den (mutmaßlichen) Tätern nach den Vorschriften der Strafprozessordnung führen. Auch die Regelungen des Geldwäschegesetzes können zur Sperrung von Konten und der Verhinderung der Beutesicherung herangezogen werden. Hierfür ist allerdings erforderlich, dass die zur Vorbereitung einer Anzeige notwendigen Erkenntnisse schnell und strukturiert bereitgestellt werden können. Ferner bedarf es eines effektiven Frühwarnsystems (z.B. für auffällige Datentransfers), um Verdachtsfälle frühzeitig erkennen und die Behörden einschalten zu können, bevor die Gelder nicht mehr verlässlich rückverfolgbar sind. Effektive Strafverfolgung und die Rückverfolgung unrechtmäßig erlangten Vermögens (asset tracing) setzt in der Praxis gute Vorbereitung voraus. Damit sollte lieber heute als morgen begonnen werden.

Über den Autor: Dr. Mayeul Hiéramente ist Partner bei FHM Rechtsanwälte, einer ausschließlich auf das Wirtschaftsstrafrecht und Arbeitsrecht spezialisierten Boutique-Kanzlei. Er ist Fachanwalt für Strafrecht und berät Individualpersonen und Unternehmen bei wirtschaftsstrafrechtlichen Angelegenheiten. Er ist Mit-Herausgeber eines Kommentars zum Geschäftsgeheimnisgesetz und publiziert regelmäßig zu aktuellen Fragen des Wirtschaftsstrafrechts und den strafrechtlichen Risiken und Chancen der Digitalisierung.

Kommentare (0)

Keine Kommentare gefunden!

Neuen Kommentar schreiben

Kommentare geben ausschließlich die Meinung ihrer Verfasser wieder. Die Redaktion behält sich vor, Kommentare nicht oder gekürzt zu veröffentlichen. Das gilt besonders für themenfremde, unsachliche oder herabwürdigende Kommentare sowie für versteckte Eigenwerbung.

Über CONSULTING.de

consulting.de ist das zentrale Informationsportal für Unternehmensberatungen. Unser breites Informationsangebot rund um Consulting richtet sich sowohl an Management- und Strategieberatungen, Personalberatungen, Controlling- und Finanzberatungen, Wirtschaftsprüfungen, Marketing- und Kommunikationsberatung und IT-Beratungen als auch deren Kunden aus Industrie, Handel sowie Dienstleistung.

facebook twitter xing linkedin linkedin