Der finnischen Telekommunikationsanbieter Teleste hat sich nach einem sog. Fake-President Vorfall (auch CEO-Fraud oder Chef-Masche genannt) mit seinen D&O-Versicherungen verglichen. 2019 war die deutsche Tochter des Unternehmens Opfer eines solchen Vorfalls und verlor mehr als EUR 7 Mio. – nahezu den gesamten deutschen Gewinn des Jahres. Laut Statement des Unternehmens zahlen die Versicherer nun EUR 3,2 Mio. Nach JUVE-Informationen waren die VOV und die Zürich an dem Vergleich beteiligt. Ein weiterer Teil des Geldes ließ sich noch von Konten der Angreifer in Hongkong und China zurückholen, so dass laut Mitteilungen von Teleste schließlich knapp EUR 4 Mio. zurückerlangt wurden. Soweit bekannt griff eine bestehende Cyber-Versicherung nicht ergänzend ein.
Teleste ist kein Einzelfall. Immer wieder kommt es im Wirtschaftsleben zu derartigen Täuschungen. Prominentestes Schadenbeispiel im deutschsprachrigen Raum ist der Schaden bei dem österreichischen Flugzeugteilelieferanten FACC, bei dem ca. EUR 50 Mio. ergaunert wurden.
Die Grundidee gleicht dem bekannten „Enkeltrick“. Die Täter wenden sich unter falscher Identität an Mitarbeiter, um diese gezielt zum Überweisen mitunter erheblicher Geldbeträge – in der Regel auf ausländische Konten – zu verleiten. Der Vorwand für die Überweisung kann beispielsweise der Kauf von Unternehmensanteilen sein. Hierfür nutzen die Täter zumeist durch Social Engineering erlangte Informationen über interne Abläufe, Kommunikationswege und Geschäftsbeziehungen. Dabei wird die bereits vorhandene Freigabe für die Transaktion durch einen Vorgesetzten (wie z.B. den CEO) oder die Anweisung durch den Vorgesetzten selbst durch gefälschte E-Mails und/oder per Telefonanruf vorgetäuscht.
Häufig sind angebliche Anwälte involviert, die das Unternehmen bei der streng vertraulichen Transaktion unterstützen und so das Vertrauen des getäuschten Mitarbeiters stärken. Das überwiesene Geld kann in der Regel nicht zurückgeholt werden, die Täter lösen die Konten binnen kürzester Zeit auf und transferieren die erbeutete Summe auf verschiedenste weitere Konten, um so eine Nachverfolgbarkeit zu erschweren. Da gibt es ganz verschiedene Methoden: Wichtig ist, einen Mitarbeiter in der Buchhaltung ausfindig zu machen, diesen zu täuschen, man wäre sein Chef und ihn so unter Druck zu setzen, dass er sofort und ohne Nachfragen Überweisungen meist ins Ausland, wie China, tätigt. Das Geld ist dann ganz schnell nicht mehr auffindbar.
Der Aufwand für die Hacker ist gering, die Ausbeute riesig, selbst, wenn es nur in einem von vielen Fällen klappt. Das Risiko geschnappt zu werden ist gering. Eine attraktive „Verdienstmethode“ und daher eine echte „Boombranche“. Kern von „Fake President“ ist die strenge Vertraulichkeit. Der angebliche Chef weist in seiner Email gleich mehrfach auf die strenge Vertraulichkeit hin und erläutert, dass die Korrespondenz ausschließlich schriftlich stattfinden dürfe, dass sie auf keinen Fall ihre Kollegen oder ihren Chef einweihen dürfe und ihn auch bloß nicht auf dem Flur ansprechen solle, wenn sie sich begegnen sollten.
Die Frage stellt sich natürlich, wer für den entsandenen Schaden aufkommen muss. Hierfür besteht hoffentlich Versicherungsschutz.
Die Cyber-Versicherung schützt prinzipiell vor Hacker-Angriffen. Voraussetzung ist, dass die Betrüger bei Fake-President Szenarien in die Technik des Unternehmens eindringen. Das kann das Hacken eines PC, aber auch die Manipulation eines Smartphones sein. Nur, die Cyberversicherung deckt in den seltensten Fällen den Vermögensabfluss ab. Einige wenige Versicherer bieten einen Zusatzbaustein an, der im limitierten Umfang einen Vermögenabfluss abdeckt. Dafür ist eher die sog. Vertrauensschadenversicherung gedacht. Einerseits deckt sie Schäden im Unternehmen durch Mitarbeiterkriminalität ab, anderseits auch Eingriffe durch Dritte, durch Hacker.
Oftmals wenden allerdings die Vertrauensschaden-Versicherer ein, dass nach § 81 VVG das Unternehmen den Schadenfall grob fahrlässig mit verursacht hat, weil man nicht alle internen Sicherheitsvorkehrungen implementiert und überwacht hätte.
Etwaige Haftpflichtversicherungen, wie D&O-Versicherungen, greifen bei Fake-President Szenarien erst ein, wenn jemand schuldhaft den Schaden verursacht hat,
Die handelnden Mitarbeiter, die die Überweisungen ausgeführt haben, haben in den seltensten Fällen mit den Betrügern zusammengearbeitet, sondern sind sehr professionell getäuscht worden. Sofern es sich um Angestellte (normale oder leitende) handelt, kommen sie im Rahmen der Rechtsprechung zum innerbetrieblichen Schadenausgleich in den Genuss der arbeitsgerichtlichen Haftungsprivilegierung, d.h. sie haften für leichte Fahrlässigkeit nicht, für sog. mittlere Fahrlässigkeit mit einem Teil und erst ab der groben Fahrlässigkeit voll, wobei es auch da zu summenmäßigen Begrenzungen im Rahmen einer Verhältnismäßigkeitsprüfung kommt. Interessanterweise gab es einige arbeitsgerichtliche Entscheidungen, bei denen die Richter dem Mitarbeiter grobe Fahrlässigkeit attestierten und erst den vollen Schaden (ca. Euro 420.000) als Schadensersatz auferlegten. Aber selbst wenn das Unternehmen einen Haftungsanspruch gegen einen Mitarbeiter hat, scheitert die Umsetzung oft daran, dass der Mitarbeiter entweder nicht voll für den Schaden haftet oder aber die Person nicht in der Lage ist, einen Millionenschaden zu erstatten.
Insofern schaut man bei Fake-President Vorfällen dann gerne wie im Falle Teleste in Richtung Geschäftsführung und D&O-Versicherungen und prüft, ob man nicht dem einen oder anderen ein Organisationsverschulden im Rahmen der Managerhaftung nachweisen kann. Wie diese Schadensersatzklagen ausgehen, ist immer eine Sache des Einzelfalls. Die Forderung des Flugzeugkomponentenherstellers FACC z.B. gegen zwei ehemalige Vorstandsmitglieder wurde abgewiesen. Vorwurf: Sie sollen kein ausreichendes Kontroll- und Sicherheitssystem installiert haben. Zehn Millionen forderte das Unternehmen. Es konnte aber nicht bewiesen werden, dass kein Vier-Augen-Prinzip herrschte, heißt es in der Urteilsbegründung.
Weitere Infos finden SIe auch in diesem Youtube-Video.