CEO Fraud

Die Zahl der Cyberattacken steigt ebenso bedrohlich wie die Schadensvolumina stetig an. In der Schweiz mussten im Jahr 2022 rund 60% der Unternehmen auf Cyberangriffe reagieren.[1] Cyberbetrug, auch im Wege des CEO-Frauds, ist eine der häufigsten Straftaten und eine wesentliche Bedrohung, insbesondere für KMU. Auch Privatpersonen wurden in der Vergangenheit Opfer des CEO-Frauds mit substanziellen Schäden. Das nationale Zentrum für Cybersicherheit (NCSC) gibt auf seiner Homepage Handlungsempfehlungen, um das Risiko eines erfolgreichen CEO-Frauds zu verringern.[2]

Beim CEO-Fraud kontaktieren Betrüger, mit Hilfe einer zuvor gehackten E-Mail-Adresse eines Unternehmens oder einer Privatperson, ein Kreditinstitut oder Finanzdienstleister und teilen mit, dass eine (dringende) Zahlung an ein Konto des Betrügers auszulösen sei. Dabei geben sich die Betrüger als CEO des kontoführenden Unternehmens oder als die Privatperson aus, der das Konto zivilrechtlich zuzuordnen ist. Oft wird auf unbedingte Diskretion und Ausführungsgeschwindigkeit gedrängt, da andernfalls diverse Nachteile zu befürchten seien. Ist die Zahlung auf dem Konto des Betrügers eingegangen, kann der Betrüger über das Geld verfügen und hat der Betrüger sein Ziel erreicht:

Nach Schadenseintritt hilft bei der Tätersuche nur die Inanspruchnahme staatlicher Hilfe. Doch die Aufklärungsrate ist verschwindend gering. Was bleibt sind Geschädigte mit offenen Fragen zur finanziellen Kompensation durch das beauftragte Finanzdienstleistungsunternehmen und Finanzdienstleister mit Fragen zu eigenen Haftungsrisiken. Nicht zuletzt müssen sich Leitungsorgane beteiligter Unternehmen die Frage persönlicher Haftung stellen. Durch die zunehmende Verbreitung von KI-Anwendungen wird die Zahl der CEO-Fraud-Fälle signifikant steigen. Zudem werden die Taten schwieriger als solche erkennbar werden.

Sachverhalt[3]

Zur Darstellung eins typischen CEO-Frauds kann auf einen Sachverhalt rekurriert werden, der vom Bundesgericht rechtlich zu würdigen war:

Im Jahr 2014 eröffnete ein Privatkunde ein Konto bei einer Finanzdienstleisterin und zahlte dort rund ein Drittel seines gesamten Vermögens bar ein. Die Parteien gingen ein Execution-Only-Verhältnis (also kein Beratungs- oder Verwaltungsmandat) ein. Die Kommunikation, bspw. zur Freigabe von Zahlungen, sollte auch per E-Mail, ohne schriftliche Bestätigung erfolgen. Mit der Anerkennung einer Risikotransferklausel erklärte der Kunde, dass er die Finanzdienstleisterin von allen durch fehlende Legitimation oder aus der Übermittlung von Aufträgen per E-Mail resultierenden Schäden befreit, sofern die Finanzdienstleisterin kein grobes Verschulden trifft. 2015 haben Hacker die Mail-Adresse des Kunden übernommen und E-Mails an die Finanzdienstleisterin versendet, mit denen sie das Konto des Kunden durch zwei Zahlungen mit insgesamt EUR 34’000 und GBP 357’000 zu ihren Gunsten belasteten. Das Bundesgericht hatte im Rechtstreit also im Kern zu entscheiden, wer für (beidseitig) unverschuldete Cyberrisiken in der Konstellation haftet, in der „Execution Only“ und eine Risikotransferklausel vereinbart waren.

Entscheidung des Bundesgerichts

Im oben dargestellten Sachverhalt stellte das Bundesgericht fest, dass die Haftung für Transaktionsausführung ohne die tatsächliche Legitimation des Kontoinhabers im Wege einer dreistufigen Prüfung erfolgt. Dabei werden folgende Fragen gestellt:

  1. Ist ein Kundenauftrag ohne Legitimation erfolgt?
  2. Wurde die Finanzdienstleisterin mittels Risikotransferklausel vom Risiko der Haftung hieraus entbunden?
  3. Falls keine Risikotransferklausel vereinbart wurde- gibt es ein kausalitätsunterbrechendes Mitverschulden sowie die Schadensminderungsobliegenheit des Kunden?

Ein Kundenauftrag ohne entsprechende Legitimation lag vor- die E-Mails stammten nicht vom Kunden, sondern von Cyberkriminellen.

Nach ständiger Rechtsprechung war die Gültigkeit der vereinbarten Risikotransferklausel anhand der haftungsmodifizierenden Vorschriften des Obligationenrechts, namentlich der Art. 100, 101 Abs. 3 OR (hier in analoger Anwendung, da die Klausel keine vertragliche Nichterfüllung im Sinne der Art. 97 OR ff betrifft), zu prüfen. Da die vereinbarte Risikotransferklausel hier standhielt, war im zweiten Prüfschritt noch zu prüfen, ob die Finanzdienstleisterin grob fahrlässig oder vorsätzlich gehandelt hat.

Ein grobes Verschulden im Sinne der Missachtung elementarer Vorsichtsgebote, die jede vernünftige Person unter den gleichen Umständen befolgt hätte, sah das Bundesgericht hier nicht. Insbesondere durfte die Finanzdienstleisterin hier davon ausgehen, das E-Mails von der E-Mail-Adresse des Kunden auch von diesem selbst stammen. Den Missbrauch zu vermeiden, liegt hiernach in der Sphäre des Kunden.

Auch bei genauer Betrachtung des Einzelfalls ergab sich für das Bundesgericht keine andere Beurteilung. Bei der Beurteilung eines im Einzelfall möglicherweise in Betracht kommenden Fehlverhaltens der Finanzdienstleistern bei der Abgrenzung grober zu leichter Fahrlässigkeit berücksichtigte das Bundesgericht vor allem folgende Gesichtspunkte:

  1. Umstände der Geschäftsbeziehung wie bspw.
  • die Länge der Geschäftsbeziehung (kurze Dauer spricht gegen Fehlverhalten)
  • die nur teilweise Vermögensübertragung
  • die IT-Erfahrenheit des Kunden spielte keine Rolle
  1. Die Verwendung vorher autorisierter E-Mail-Adressen. Wird eine abweichende Adresse benützt liegt kein nur leichtes Verschulden der Finanzdienstleisterin vor.
  2. Die verwendete Sprache wies hinsichtlich der vom Kunden genutzte Sprache keine Besonderheit in Bezug auf Stil, Orthografie und Formulierungen auf.
  3. Transaktionsinhalt: Das Gericht berücksichtigte den angegebenen Zahlungsgrund sowie den Ort und das Finanzinstitut des Begünstigten. Sofern keine „exotischen“ Empfänger oder Länder oder unbekannte Finanzinstitute angegeben werden, handelt der Finanzdienstleister nicht grob fahrlässig.
  4. Transaktionsvolumen: Das angestrebte Transaktionsvolumen war im Vergleich zum gesamten der Finanzdienstleisterin bekannten Vermögen verhältnismässig und der Zahlungszweck auch plausibel.
  5. Transaktionsfrequenz: Im Hinblick auf die Transaktionsfrequenz (hier fünf Transaktionen innerhalb eines Monats) sah das Bundesgericht hier keine Auffälligkeiten, die eine strengere Haftung der Finanzdienstleisterin rechtfertigten.

Fazit

Das Bundesgericht stellt damit klar, dass Finanzdienstleister bei vereinbartem Risikotransfer bislang nicht für Cyber-Schäden haften sollen, welche in der Sphäre des Kunden entstehen, solange keine klaren Signale vorliegen, die den Finanzdienstleister zu einer erhöhen Sorgfalt hätten animieren müssen. Wer Opfer eines CEO-Frauds wird, sollte gemeinsam mit dem Finanzdienstleister zunächst sämtliche faktischen Wege ausloten, um das verlorene Geld zurückzubekommen.

Scheitert dies, ist eine dezidierte rechtliche Analyse der Vertragsbeziehungen sowie aller Umstände, die zur Auslösung der unberechtigten Transaktion geführt haben, unumgänglich. Spiegelbildlich müssen sich Finanzdienstleister, die zu Unrecht wegen eine CEO-Fraud-Zahlung in Anspruch genommen werden, gewissenhaft mit dem Sachverhalt und der eigene Policy auseinandersetzen. Die Compliance-Officer von Finanzdienstleistern sollten die oben genannten Erwägungen in ihren Compliance-Richtlinien einfliessen lassen. Auf Kundenseite sollten hingegen folgende „red flags“ bei Verdacht eines CEO-Frauds entstehen:

  • Unbekannte Personen legitimieren sich unerwartet als Vertretung der zur Anweisung von Zahlungen berufenen Leitungsorgane (bspw. Anwalt des Geschäftsführers)
  • E-Mails von Leitungsorganen zur Zahlungsanweisung stammen nicht von der Geschäfts E-Mail-Adresse
  • fehlerhafte Grammatik im Auftrag
  • angeblich hohe Dringlichkeit
  • Androhung von Haftung bzw. arbeitsrechtlicher Konsequenzen Entlassung
  • Ungewöhnlichkeiten bei Höhe und Anzahl der Transaktionen
  • Vorgeblich bedarf ein neues Projekt eine sofortige und grösserer Investition, hierzu gibt es aber weder eine Historie noch eine Vorabbekanntmachung

Es bleibt abzuwarten, ob und wann sich die Vielzahl der CEO-Frauds, welche mittlerweile deutlich schwieriger zu erkennen und durch KI-Anwendungen wesentlich schneller aufzusetzen sind in gerichtlichen Auseinandersetzungen wiederfinden und wie die Rechtsprechung auf die neuen technischen Entwicklungen reagiert.

 

 

[1] https://www.inside-it.ch/knapp-zwei-drittel-der-schweizer-firmen-von-cyberangriff-betroffen-20230321.

[2] https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/ceo-betrug.html.

[3] Stark zusammengefasster Sachverhalt basierend auf Bundesgericht, Urteil vom 9. Juli 2020, Az.: 4A_9/2020.