Social Engineering - 19. August 2017

Verbrechen
aus dem Netz

Wird durch die „Fake-President-Masche“ die Sicher­heits­lücke Mensch aus­ge­nutzt, und war der An­griff erfolg­reich, stellt sich die Frage, wer für den ent­stan­de­nen Schaden haftet.

Für den Mitarbeiter der Finanzabteilung war die Weisung, ­einen zweistelligen Millionenbetrag an eine ihm bis dahin nicht bekannte Bankverbindung zu überweisen und darüber absolutes Still­schweigen zu bewahren, zwar kein alltäglicher Vorgang. Der Verdacht, dass er dabei Betrügern auf den Leim ging, kam ihm jedoch nicht. Hatte ihn doch der CEO selbst per E-Mail darum gebeten. Erst als dieser ihn einige Tage nach der Überweisung bestürzt auf die für ihn un­er­klär­liche Transaktion ansprach, wurde dem Mitarbeiter die Tragweite seines Handelns bewusst. Die über­wiesene Summe war zu diesem Zeitpunkt längst an andere Konten weitergeleitet oder abgehoben. Das mag abenteuerlich klingen, ist aber so oder ähnlich für viele Unternehmen bereits bittere Realität geworden. Die als „Fake President Fraud“, „Fake CEO Fraud“, oder „Chefmasche“ bezeichnete Betrugsmethode ist ein ernst zu nehmendes Risiko, das bereits zu Millionenschäden geführt hat. Sie folgt in der Regel stets demselben Schema: Mitarbeiter aus dem Finance-­Bereich erhalten per E-Mail – meistens vom vermeintlichen CEO – Anweisungen im Zusammenhang mit einer für das Unternehmen angeblich wichtigen Transaktion, häufig mit der Bitte um absolutes Stillschweigen, darum nur per E-Mail mit dem CEO zu kommunizieren und keinen anderen persönlichen Kontakt aufzunehmen. Neben der Aufforderung, Geldbeträge auf ein bestimmtes Konto im Ausland zu überweisen, wird häufig auch ein zusätzlicher Ansprechpartner für Rückfragen genannt. Nicht selten geben sich diese Ansprechpartner als Mitarbeiter von Rechtsanwaltskanzleien oder Wirtschaftsberatern aus. Ist die Überweisung dann erfolgt, werden die Gelder recht schnell – oft nach Asien – weitergeleitet. In der Regel dauert es so nur wenige Stunden,im bis sie unwiederbringlich verloren sind. In Nordrhein-Westfalen wurden nach Angaben in der „Welt“ vom 2. April 2017 ­allein in den vergangenen 18 Monaten rund 150 Fake-President-Betrugsfälle angezeigt. Der mögliche Schaden wird auf etwa 130 Millionen Euro geschätzt.

Wie können sich Unternehmen schützen?

Compliance-Schulungen oder entsprechende Webinare können helfen, die Mitarbeiter für die Risiken zu sensibilisieren.

Da bei dieser Methode die „Sicherheitslücke Mensch“ ausgenutzt wird, kann ihr mit den üblichen technischen IT-Sicherheits­maßnahmen nicht begegnet werden. Compliance-Schulungen und entsprechende Online-Trainings oder Webinare können jedoch helfen, die Mitarbeiter für die Risiken zu sensibilisieren und so besondere Vorsicht auch im Tagesgeschäft zu wecken. Besteht entsprechendes Problembewusstsein, können bereits kleine Maßnahmen das Risiko erheblich minimieren, Opfer eines Cyberbetrugs zu werden. Denn bei genauem Hinsehen sind Anhaltspunkte für einen Betrug – selbst bei auf den ersten Blick professionellen Fälschungen – häufig doch schnell zu erkennen. Beispielsweise, wenn E-Mail-Absender-adressen leicht verändert sind oder die E-Mails auch nur minimal abweichende Signaturen haben. Auch die Überprüfung von Anrede und Stil in einer E-Mail kann einfaches, aber probates Hilfsmittel sein. Spricht zum Beispiel ein Geschäftsführer einen Mitarbeiter in einer E-Mail mit Du an, obwohl man sich sonst siezt oder umgekehrt, sollte das Aufmerksamkeit wecken. Bekannt sind sogar Fälle, in denen Mitarbeitern, die von der Unternehmensleitung über das Risiko von Fake-President-Betrugsfällen aufgeklärt wurden, der Betrugsversuch nur deshalb auffiel, weil sie von der vermeintlichen Vorgesetzten in der E-Mail wesentlich freundlicher angesprochen wurden als üblich. Mag dieses Beispiel möglicherweise auch Anzeichen für andere Defizite in der Unternehmensleitung bieten, zeigt es doch, dass für das ­Risiko hinreichend sensibilisierte Mitarbeiter eine besondere Aufmerksamkeit entwickeln, um einen Betrug zu verhindern.

Prozesse und Zuständigkeiten regeln

Unerlässlich sind zudem klar geregelte Prozesse und Zuständigkeiten. Verbindliche Regeln zum Ablauf von Zahlungsvorgängen, wie etwa ein Vieraugenprinzip bei finanziellen Transaktionen und/oder Zustimmungsvorbehalte sowie klare Vorgaben für Ausnahmevorfälle sind unverzichtbar. Derartige Arbeitsanweisungen sollten möglichst schriftlich erteilt und den Mitarbeitern nicht nur zur Kenntnis gebracht, sondern Bestandteil des Arbeitsverhältnisses werden; entweder durch Weisungen im Rahmen des Direktionsrechts oder durch Betriebsvereinbarung beziehungsweise arbeits­ver­trag­liche Vereinbarung. Ein probates Mittel zur Risikominimierung können auch sogenannte Social-Engineering-Tests sein. Dabei handelt es sich um meist unangekündigte Tests durch spezialisierte Dienstleister, die das Verhalten der Mitarbeiter in entsprechenden Situationen auf die Probe stellen und ihnen das Bedrohungsszenario vor Augen führen sollen. Ob und in welchen Grenzen diese Tests zulässig sind, ist noch nicht abschließend geklärt. Teilweise wird ihre Zulässigkeit unter Verweis auf das allgemeine Persönlichkeitsrecht der Mitarbeiter infrage gestellt. Überwiegend aber werden Social-Engineering-Tests aufgrund des damit bezweckten Schutzes für das Ge­sell­schafts­vermögen sowie der Betriebs- und Geschäftsgeheimnisse für zulässig gehalten, wenn dabei das Verhältnismäßigkeitsprinzip und die Vertraulichkeit der Daten gewährleistet sind.

Wer haftet für den Schaden?

Kann der Betrug trotz aller Vorkehrungen nicht verhindert ­werden, stehen die Unternehmen vor der Frage, wer für den Schaden haftet und ob gegebenenfalls eine Versicherung dafür eintreten könnte. Regelmäßig wird es wenig erfolgversprechend sein, die von den Betrügern als Werkzeug missbrauchten Mitarbeiter für den entstandenen Schaden zur Verantwortung zu ­ziehen. Selbst wenn es sich um leitende Angestellte handelt, bleiben sie Arbeitnehmer, die grundsätzlich nur begrenzt haften. Denn die Haftung von Arbeitnehmern ist abhängig vom Grad ihres Verschuldens. Kann nicht Vorsatz oder grobe Fahrlässigkeit angenommen werden, kommt von vornherein allenfalls eine anteilige Haftung in Betracht. Und selbst wenn die ­Voraussetzungen von Vorsatz oder grober Fahrlässigkeit vorliegen, beispielsweise weil konkrete Warnungen oder Schutz­vor­kehrungen ignoriert wurden, ist es fraglich, ob die Mitarbeiter tatsächlich für den vollen Schaden haften müssen. Denn bei sehr hohen Schäden kann die Haftung selbst bei Vorsatz oder grober Fahrlässigkeit im Einzelfall der Höhe nach begrenzt sein. Begründet wird dies damit, dass in derartigen Fällen das Einkommen des Arbeitnehmers in einem deutlichen Missverhältnis zum Schadensrisiko seiner Tätigkeit steht. Feste Vorgaben, insbesondere eine summenmäßig feste Obergrenze, bestehen zwar nicht. In vielen Fällen wird die Grenze jedoch bei drei Brutto­monats­ge­hältern gezogen, was im Verhältnis zur Höhe der üblichen Fake President Frauds im Millionen­bereich nur einen unwesentlichen Teil des Schadens ausgleichen würde.

Rechtsprechung

Anders hat dies kürzlich das Arbeitsgericht Chemnitz gesehen. Nach dessen Auffassung sollen bei Fake President Frauds die Grundsätze der Haftungsprivilegierung für Arbeitnehmer nicht gelten, weil die Zahlungsanweisungen nicht betrieblich veranlasst sind. Der als Werkzeug missbrauchte Mitarbeiter handele nach Ansicht des Gerichts in derartigen Fällen nicht in Erfüllung einer im objektiven Interesse des Arbeitgebers liegenden Verpflichtung und damit nicht in Ausübung einer betrieblich veranlassten Tätigkeit (AG Chemnitz, Urteil vom 04.10.2016 – 13 Ca 895/16). Allerdings bestand in dem konkreten Fall die Besonderheit, dass im Unternehmen rund ein Jahr vor dem Betrugsfall vor der Fake-President-Fraud-Methode gewarnt worden war. Die betroffene Finanz­direktorin hat sich dennoch über einen, aufgrund dieser Warnung eingeführten Gen­eh­mi­gungs­vor­behalt für Zahlungsanweisungen über 100.000 Euro hinweg­gesetzt. Das Urteil ist noch nicht rechtskräftig.

Versicherungsschutz

Haftet der Arbeitnehmer nicht oder nur begrenzt, nützt meist auch eine sogenannte D&O-Versicherung (Directors-and-Officers-Versicherung, auch Organ- oder Manager-Haft­pflicht­ver­sicherung) wenig, denn sie ist – obwohl vom Unternehmen abgeschlossen und finanziert – keine Eigenschadenversicherung für die Gesellschaft. Vielmehr handelt es sich um eine Haft­pflicht­ver­sicherung zur Absicherung von Vorständen, Geschäfts­führern und leitenden Angestellten. Mitarbeiter unterhalb der Ebene von leitendenden Angestellten sind grundsätzlich nicht vom Versicherungsschutz einer solchen Manager-Haftpflichtversicherung erfasst. Daher reicht ihre Eintrittspflicht nur so weit wie die Haftung des Arbeitnehmers. Abhilfe schaffen kann unter Umständen eine sogenannte Vertrauensschadenversicherung (VSV). Sie deckt Ver­mögens­schäden, die durch Handlungen von Mitarbeitern des Unternehmens entstanden sind. Längst dient sie nicht mehr nur als Versicherung zum Schutz gegen den „kriminellen Mitarbeiter“, sondern erfasst auch Fälle, bei denen Schäden aus Fehlhandlungen von Mitarbeitern resultieren, die selbst Opfer eines Betrugs Dritter geworden sind. Zudem können auch spezielle Cyber­ver­siche­run­gen mit einem VSV-Baustein Deckungsschutz bieten, wenn etwa das IT-System des Unternehmens manipuliert oder ausgespäht wird, um Kom­mu­ni­ka­tions­wege zwischen dem Fake-President und dem Mitarbeiter zu ermöglichen. Die jeweiligen Bedingungen unterscheiden sich momentan noch sehr stark von Versicherer zu Versicherer – gerade bei den entsprechenden Klauselerweiterungen. Zudem erheben Versicherer bei der Schadenabwicklung zunehmend den Einwand, das Unter­nehmen habe als Vertragspartner den Versicherungsfall grob fahrlässig im Sinne von § 81 Abs. 2 Versicherungsvertragsgesetz (VVG) herbeigeführt, und kürzen daraufhin ihre Leistung. Der Umstand, dass die Fake-President-Fälle hoch professionell abgewickelt werden, spricht im ersten Moment gegen eine grobe Fahrlässigkeit. Vorgeworfen wird oft aber auch ein organisatorischer Mangel, wie etwa das Nichtvorhandensein eines effektiven Vieraugenprinzips. Der Versicherer trägt zwar im Hinblick auf das Vorliegen von grober Fahrlässigkeit grundsätzlich die Darlegungs- und Beweislast. Der Versicherungsnehmer hat aber bezüglich objektiver und subjektiver Umstände wiederum eine sekundäre Darlegungslast, was eine reibungslose Schaden­ab­wick­lung erschwert. Haben auch organisatorische Mängel dazu beigetragen, dass der Betrug nicht verhindert werden konnte, kann das neben der Haftung des handelnden Mitarbeiters mitunter auch eine Manager­haftung begründen. Die gesetzlichen Vertreter einer Gesellschaft sind verpflichtet, or­ga­ni­sa­to­rische Vorkehrungen zum Schutz vor Schäden des Unternehmens zu treffen. Es liegt also in ihrer Verantwortung, selbst oder durch Delegation der Aufgaben auf ­geeignete Mitarbeiter dafür zu sorgen, dass nicht nur die Mitarbeiter entsprechend sensibilisiert und geschult sind, sondern auch klare Arbeitsanweisungen bestehen. Unterbleibt das, können sie für entstehende Schäden gegebenenfalls persönlich mit haftbar gemacht werden, was dann auch ein Fall für die D&O-Versicherung sein könnte.

Foto: sjharmon, kaisorn / Getty Images

Zu den Autoren

Kati Kunze

Rechtsanwältin und Fachanwältin für Arbeitsrecht; ­Partnerin bei Steinkühler – Kanzlei für Arbeits- und Gesellschaftsrecht – Partnerschaft von Rechtsanwälten mbB in Berlin

Weitere Artikel der Autorin
Dr. Stefan Steinkühler

(LL.M.) Rechtsanwalt und Beirat der FINLEX GmbH, Frankfurt am Main

Weitere Artikel des Autors