Was ist CEO Fraud?
Im Falle eines sog. CEO Fraud verleitet ein Betrüger Mitarbeiter eines Unternehmens dazu, hohe Geldsummen ins Ausland zu überweisen, indem er sich fälschlicherweise als ihr Arbeitgeber ausgibt. CEO steht für Chief Executive Officer und kann mit Geschäftsführer oder Vorstand übersetzt werden.
Typischerweise verwendet der Betrüger eine E-Mail-Adresse, die der E-Mail-Adresse des Arbeitgebers (in der Regel die Adresse des Chefs, also des CEOs) sehr ähnelt, aber nicht identisch ist. Diese leicht geänderte E-Mail-Adresse kann beispielsweise einen anderen Buchstaben, einen Bindestrich oder Punkt beinhalten. Dieselbe Adresse kann der Betrüger nicht verwenden, da diese bereits durch den Firmenchef belegt ist (wobei auch Fälle vorkommen, bei denen die Adressen gehackt werden). Beispiel: Der CEO einer Firma Fischer heißt Werner Stantzer. Seine korrekte E-Mail-Adresse lautet: Werner-Stantzer@Fischer.de Der Betrüger kauft nun die Domain fisscher.de (ein s weniger im Namen des Unternehmens). Nun schreibt er von der Adresse Werner.Stantzer@fisscher.de die Buchhaltung des Unternehmens an und gibt sich als Werner Stantzer aus. Das Beispiel ist frei gewählt und verdeutlicht, dass man erst bei genauerem Hinsehen den Unterschied in den E-Mail-Adressen bemerkt. Mitarbeiter, die teilweise 100 E-Mails am Tag erhalten und bearbeiten müssen, fällt im Bearbeitungsstress nachvollziehbarerweise nicht immer der Fehler auf. Wenn der Täter gut vorbereitet ist, nutzt er dieselbe Signatur und gestaltet seine E-Mail inhaltlich ähnlich wie der CEO sie auch gestalten würde, wenn er der Buchhaltung Weisungen erteilt.
Teilweise informieren sich die Täter bereits weit vorher über das ausgewählte Unternehmen, entwickeln Strategien der Überzeugung und suchen sich gezielt Mitarbeiter aus, die Zugriff auf das Geschäftskonto haben, also vorzugsweise aus der Buchhaltung oder dem Rechnungswesen des Unternehmens.
Nicht selten schicken die Täter mehrere E-Mails an den jeweiligen Mitarbeiter, die Kommunikation geht über mehrere Tage. In einem von uns betreuten Fall fragte der Täter die Mitarbeiterin zunächst aus, wie hoch derzeit die Kontostände auf den einzelnen Konten wären. Hierbei übt der Täter oftmals psychischen Druck auf den Mitarbeiter aus, die Angelegenheit sei extrem wichtig, man stehe unter Zeitdruck, die Angelegenheit sei streng geheim zu halten etc.
Genau dieser Masche fiel kürzlich ein Unternehmen aus Erfurt zum Opfer. Ein Mitarbeiter der Firma überwiese zwei Millionen Euro auf ein anderes Konto aufgrund der Angaben zweier Männer, die sich seit einigen Wochen als seine Arbeitgeber ausgegeben hatten.
Wann haften Mitarbeiter in solchen Fällen mit ihrem persönlichen Vermögen?
Grundsätzlich gelten auch in solchen Fällen die im Arbeitsrecht üblichen Haftungsregelungen (siehe hierzu auch Schadensersatzanspruch des Arbeitgebers – Haftung des Arbeitnehmers).
Die Haftung des Arbeitnehmers hängt von dem Grad seines Verschuldens ab.
Vorsätzlich verursachte Schäden hat der Mitarbeiter grundsätzlich in vollem Umfang zu tragen. Hierunter fiele bspw. der Fall, dass der Mitarbeiter eine für ihn erkennbar falsche Rechnung absichtlich an Betrüger überweist.
Auch bei grober Fahrlässigkeit haftet der Mitarbeiter grundsätzlich voll, es sind jedoch ausnahmsweise Haftungseinschränkungen möglich. Eine Haftungsbegrenzung durch Begrenzung der Schadenssumme kann in Betracht kommen, wenn der Verdienst des Arbeitnehmers in einem krassen Missverhältnis zum verwirklichten Schadensrisiko steht. Ein solches Missverhältnis besteht regelmäßig nicht, wenn der Schaden nicht erheblich über einem Bruttomonatsverdienst des Arbeitnehmers liegt.
Bei mittlerer Fahrlässigkeit muss der Mitarbeiter den Schaden anteilig tragen. Ob und ggf. in welchem Umfang der Arbeitnehmer zum Ersatz verpflichtet ist, richtet sich nach den Umständen des Einzelfalls; dies müssen abgewogen werden, insbesondere Schadensanlass und Schadensfolgen, nach Billigkeits- und Zumutbarkeitsgesichtspunkten sind zu berücksichtigen. Hier spielt auch das dem Arbeitnehmer zur Last fallende Verschulden, die Gefahrgeneigtheit der Arbeit, die Höhe des Schadens, die Versicherbarkeit des Risikos, die Stellung des Arbeitnehmers im Betrieb und die Höhe seines Arbeitsentgelts eine Rolle sowie die persönlichen Umstände des Mitarbeiters, wie etwa die Dauer der Betriebszugehörigkeit, sein Lebensalter, seine Familienverhältnisse sowie das bisherige Verhalten des Arbeitnehmers.
Bezogen auf den sog. CEO Fraud stellt sich die Frage, ab wann man von einer groben Fahrlässigkeit ausgehen muss. In einem von uns vertretenen Fall (hier war der Arbeitgeber unser Mandant), hatte die Mitarbeiterin aus der Buchhaltung unter anderem folgende Punkte übersehen:
- In der falschen E-Mail-Adresse stand der Vorname vorne gefolgt vom Nachnamen (also um beim o.g. Beispiel zu bleiben: Werner@fisscher.de anstelle Werner.Stantzer@fischer.de
- Die Endung der E-Mail unterschied sich natürlich auch (siehe oben mit zwei „ss“ anstelle mit einem „s“)
- Die Signatur des Arbeitgebers fehlte komplett
- Der Schreibstil war anders, der Arbeitgeber siezte die Mitarbeiterin auf einmal anstelle wie üblich sie zu duzen
- Die Überweisung sollte ohne korrekte Rechnung ausgeführt werden, es fehlte bspw. die Rechnungsnummer
- Die Arbeitnehmer hatte nie zuvor ansatzweise ähnliche hohe Summen zahlen müssen, erst recht nicht ins Ausland
Man sollte meinen, dass bei so zahlreichen Fehlern dem Mitarbeiter der Betrugsversuch direkt auffällt. Die Praxis zeigt aber ein anderes Bild. Auch in unserem Fall überwies die Mitarbeiterin eine sechsstellige Summe ins Ausland. Sind derart viele Merkmal missachtet worden, liegt in der Regel grobe Fahrlässigkeit vor.
Was kann ich als betroffener Mitarbeiter unternehmen?
Sobald der Fehler auffällt, sollte umgehend nach Rücksprache mit einem spezialisierten Anwalt der Arbeitgeber informiert und nach dessen Rücksprache auch die Polizei informiert werden. Ist die Handlung erst kurze Zeit her, lässt sich ggf. die Überweisung noch stoppen bzw. rückgängig machen. Die Bank kann die Transaktion ggf. noch stoppen oder falls die Transaktion schon stattgefunden hat eine SWIFT Nachricht an die Empfängerbank schreiben mit dem Hinweis, dass es sich um eine betrügerische Überweisung handelt und dass die Bank das Geld wieder zurück überweisen soll. Hat der Arbeitgeber bereits Ansprüche gegen den Mitarbeiter geltend gemacht oder droht dies in naher Zukunft, gilt es die Verteidigungsmöglichkeiten des Mitarbeiters auszuloten und ggf. Beweise zu sichern. Hier spielt bspw. eine Rolle, ob der Arbeitgeber Sicherungsmaßnahmen zur Verhinderung solcher Betrugsstraftaten durchgeführt hat, bspw.
- Sensibilisierung der Mitarbeiter durch den Arbeitgeber
- Schulungen von Mitarbeitern
- Kontrollen bei ungewöhnlichen Zahlungsanweisungen in Form von Überprüfung der E-Mail-Adresse (Absenderadresse und korrekte Schreibweise)
- Verifizierung der Zahlungsaufforderung
Diese Maßnahmen sind um so wichtiger, wenn es bereits Fälle in der Vergangenheit gab und der Arbeitgeber die Gefahr bereits kannte. Hat er dann dennoch nichts unternommen, liegt zumindest ein erhebliches Mitverschulden des Arbeitgebers vor.
Wie sollte das Unternehmen reagieren?
Als Arbeitgeber gilt es natürlich zunächst den Schaden zu begrenzen und die Transaktion möglichst zu stoppen bzw. rückgängig zu machen (siehe oben unter 3.). Ggf. kommen Schadensersatzansprüche gegen den Mitarbeiter in Betracht, insbesondere beim Vorliegen grober Fahrlässigkeit (siehe oben unter 3.). Möchte man sich von dem Mitarbeiter trennen, ergibt es schon aus verhandlungstaktischen Gründen in der Regel Sinn, die Schadensersatzansprüche zunächst in voller Höhe geltend zu machen. Präventiv sollten Mitarbeiter zwingend geschult werden, ggf. auch mit angekündigten Test-Durchläufen. Die Einführung von Sicherheitsverfahren (4-Augen-Prinzip bei höheren Summen) oder die doppelte Freigabe bietet sich zudem an.
Sind Sie betroffen von einem CEO-Fraud? Gerne unterstützen wir Sie – sowohl als betroffenes Unternehmen als auch als betroffener Mitarbeiter (sofern der Fall nicht identisch ist), melden Sie sich gerne unter 0211/555558.