zum vorherigen Artikel

Artikel 2020

zum nächsten Artikel

Artikel 2018

05/2019

CEO Fraud verursacht Millionenschäden

Knapp 1,5 Millionen Euro Schaden – und die Haftungsverteilung nach Zahlungsdiensterecht ist juristisch nicht ganz einfach.

Ein betrogenes Unternehmen klagt gegen seine Bank. Die Rechtsexpertin von kartensicherheit.de beleuchtet den Fall.

Es geht um Abzocke im ganz großen Stil: Cyberkriminelle machen sich eine ausgefeilte Variante des altbekannten „Enkel-Tricks" weltweit für den Betrug von Wirtschaftsunternehmen zunutze; Fachleute sprechen vom CEO Fraud einer neuen Art. Die Schäden gehen in die Millionen, die Unternehmen versuchen sie auf die Banken abzuwälzen. Müssen Banken, die lediglich den Überweisungsverkehr abwickeln, hier haften? Auch in Deutschland hatte nun ein Landgericht in dieser Frage zu urteilen.

CEO Fraud: Die Täter geben sich als Geschäftsführer aus
Um CEO Fraud handelt es sich, wenn ein Unternehmensmitarbeiter mit Zahlungsvollmacht von Betrügern durch einen Trick dazu gebracht wird, eine fiktive Rechnung zu bezahlen oder eine nicht autorisierte Überweisung vom Firmenkonto vorzunehmen. Die Angriffsmethode macht sich das Bestreben des Mitarbeiters zunutze, Aufgaben schnellstmöglich oder vertraulich zu erledigen, wenn er von der Geschäftsleitung bzw. dem Chief Executive Officer (CEO) ausdrücklich dazu aufgefordert wird. Dabei verfügen die Betrüger offensichtlich über beträchtliche Kenntnisse über die Organisationsstruktur der attackierten Unternehmen, und ihre auffordernden E-Mails wirken äußerst überzeugend.

Der Streitfall: Knapp 1,5 Millionen Euro abgeluchst
Der blanke Horror für eine Finanzbuchhalterin, die es wahrscheinlich gut gemeint hat und alles richtig machen wollte, endet beim Landgericht Düsseldorf im Herbst 2018 mit einem teuren Patt für ihr klagendes Unternehmen und die beklagte Bank (im Folgenden „XY-Bank" genannt). kartensicherheit.de will mit diesem Präzedenzfall aufklären und warnen: Mitarbeiter auf Seiten der Geschäftskunden, wie auch der Finanzinstitute, können gar nicht vorsichtig genug sein!

Was war passiert?
Die Leiterin der Finanzbuchhaltung des Unternehmens, das bei der XY-Bank ein Girokonto zur Abwicklung seines Zahlungsverkehrs unterhielt, bekam am 08.02.2017 eine Mail, in der sie – vermeintlich von einem der Geschäftsführer des Unternehmens, der sich im Ausland aufhielt – gebeten wurde, die Bankverbindung des Unternehmens an einen (ihr bekannten) Rechtsanwalt weiterzuleiten, um eine „streng vertrauliche Transaktion" einzuleiten. Aus „Diskretionsgründen" wurden bestimmte Kommunikationswege vorgegeben und die Finanzbuchhalterin „auf die Vertraulichkeit eingeschworen". Die Angestellte organisierte sodann für eine noch am selben Tag zu erfolgende Anweisung in Höhe von 1.490.770 Euro ein Überweisungsformular für den Außenwirtschaftsverkehr, das (u.a. mit vermeintlicher per Email zurückerhaltener Unterschrift des Geschäftsführers) per Telefax an die XY-Bank gesendet werden sollte. Vor Absenden des Telefax nahm die getäuschte, arglose Finanzbuchhalterin zur XY-Bank telefonisch Kontakt auf, schilderte die Gesamtumstände und bat darum, ausnahmsweise eine Telefax-Überweisung zu akzeptieren. Worauf die XY-Bank einging, unter der Vereinbarung, dass die Überweisung vom Faxgerät der Buchhaltungsabteilung des Unternehmens an die Bank übermittelt werde. Daraufhin wurde die Überweisung über fast 1,5 Mio. Euro – nach üblicher Unterschriftenprüfung – von der XY-Bank ausgeführt. Das Geld landete auf einem in China geführten Konto und war für die Bank nicht mehr rückholbar.

Das paritätische Gerichtsurteil zulasten der Bank und ihres Geschäftskunden
Das Landgericht Düsseldorf urteilte, dass die beklagte Bank dem klagenden Unternehmen die Hälfte des Überweisungsbetrages (745.410 Euro – nebst Zinsen) zu erstatten habe.

Warum ist die Bank nach Meinung des Gerichts nicht von der Haftung ausgeschlossen?
Weil die Fälschung des Überweisungsauftrags für eine Bank kein ungewöhnliches und unvorhersehbares Ereignis darstelle. Auf eine Erkennbarkeit der Fälschung komme es nicht an.

Wie steht es um den Erstattungsanspruch des klagenden Unternehmens?
Eigentlich hat das Unternehmen einen Erstattungsanspruch in voller Höhe, hier also fast 1,5 Mio. Euro, gegen die überweisungsausführende Bank, und zwar bei nicht autorisierter Überweisung.

Warum halbierte das Gericht den Erstattungsbetrag in seinem Urteil?
Der Erstattungsanspruch in voller Höhe gegen die beklagte Bank war „aufgrund teilweise unzulässiger Rechtsausübung" auf die Hälfte zu reduzieren. Andererseits war dem Klägeranspruch auch ein Schadensersatzanspruch der beklagten Bank entgegenzuhalten – welchen das Landgericht wiederum hälftig annahm, da es das Verhalten der Finanzbuchhalterin als fahrlässig einstufte.

Die detaillierte kritische Kommentierung des Urteils des Landgerichts Düsseldorf von unserer Rechtsexpertin Dr. Beesch, Rechtsanwältin und Fachanwältin für Bank- und Kapitalmarktecht, steht Ihnen im Volltext als pdf zum Download zur Verfügung.

Achten Sie auf typische Warnsignale einer CEO Fraud Attacke!

  • Direkte Kontaktaufnahme durch eine hochrangige Führungskraft mittels nicht erbetener E-Mails oder Anrufe.
  • Bitte um absolute Vertraulichkeit.
  • Handlungsdruck und Dringlichkeit.
  • Ungewöhnliches Ersuchen, das internen Abläufen widerspricht.
  • Drohungen oder ungewöhnliche Schmeicheleien bzw. Versprechen einer Belohnung.

Was können Unternehmen und Mitarbeiter sonst noch tun, um sich gegen CEO Fraud besser zu schützen? Ein Informationsblatt der Polizei Niedersachsen können Sie hier herunterladen.