„Fake President Fraud“ trotz Kontrollsystems – Haftung des Geschäftsführers?
Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma
Dieser Inhalt ist frei verfügbar.
Mit einem
Abonnement der jusIT
erhalten Sie die Zeitschrift in Print und vollen digitalen
Zugriff im Web, am Smartphone und Tablet.
Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Ziel eines internen Kontrollsystems (IKS) ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen. Ziel sind Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit. Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art wie Unterschriftenregelungen, EDV-Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt durchgeführt werden, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.
Ein Kontrollsystem in diesem Sinn bestand nach den Feststellungen im vorliegenden Fall. Es liegt aber auch auf der Hand, dass ein „Fake President Fraud“ (FPF) damit allein nicht verhindert werden kann; ein FPF beruht auf Methoden des „social engineering“ und will die angesprochenen Mitarbeiter gerade zur Umgehung der Kontrolleinrichtungen verleiten.
Zum Sorgfaltsmaßstab eines Geschäftsführers bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen ist die Orientierung an der „Business Judgment Rule“ angebracht (vgl § 84 Abs 1a AktG). Bei unternehmerischen Entscheidungen darf sich danach der Geschäftsführer nicht von sachfremden Interessen leiten lassen, Entscheidungen müssen auf Grundlage angemessener Information getroffen werden und ex ante betrachtet offenkundig dem Wohl der juristischen Person dienen, und der Geschäftsführer muss vernünftigerweise annehmen dürfen, dass er zum Wohle der juristischen Person handelt, er muss also hinsichtlich der übrigen Kriterien gutgläubig sein. Sind diese Voraussetzungen innerhalb des eingeräumten Ermessensspielraums kumulativ erfüllt, ist er haftungsfrei.
Von den maßgeblichen Feststellungen und dem 2015 bestehenden Wissensstand ausgehend verlässt das BerufungsG im konkreten Einzelfall nicht den Rahmen seines Ermessensspielraums, wenn es davon ausgeht, dass der bekl Geschäftsführer nachgewiesen habe, dass er die Sorgfalt eines ordentlichen Kaufmanns nicht verletzt hat, insb nicht durch Unterlassung von objektiv gebotenen Überwachungs- und Kontrollmaßnahmen oder Warnpflichten.
Der Bekl war seit 1989 einer von zuletzt drei Geschäftsführern der kl GmbH und gleichzeitig Vorstandsvorsitzender ihrer Muttergesellschaft, einer börsennotierten Aktiengesellschaft. Nach der Ressortverteilung der Geschäftsführung der Kl war der Bekl als Vorsitzender ua für Sales und Marketing, Forschung und Entwicklung, Technik und Qualitätssicherung ressortzuständig. Zum Jahreswechsel 2015/2016 waren bei der Kl rund 3.000 Mitarbeiter bei einem Jahresumsatz von rund 700 Mio € beschäftigt.
Die Nebenintervenientin gehörte dem Vorstand der Kl seit 2011 an. In ihren Verantwortungsbereich fielen ua Rechnungswesen, Business Controlling, IT, Corporate Compliance und Risikomanagement. Zu Beginn ihrer Tätigkeit überprüfte und verbesserte sie die Prozesse im Bereich Finanzbuchhaltung und berichtete über das Ergebnis ihrer Bestandsaufnahme (inkl Einhaltung des Vier-Augen-Prinzips in der Finanzbuchhaltung) auch dem Bekl und dem dritten Geschäftsführer. Auch über das Ergebnis einer internen Risikobewertung im Herbst 2012 aufgrund eines entsprechenden Vorstandsbeschlusses (Bewertung mit der niedrigsten Risikostufe) berichtete sie ihren beiden Geschäftsführerkollegen.
Ende des Jahres 2015 wurde die Kl Opfer eines „Fake-President-Fraud“ (FPF), einer meist über E-Mails angebahnten Betrugsmethode, bei der Mitarbeiter eines Unternehmens von den Tätern unter Vortäuschung falscher Identitäten zur Überweisung von Geld manipuliert werden. Durch Überweisungen, die großteils nicht mehr rückgängig gemacht werden konnten, entstand der Kl ein Schaden iHv mehreren Millionen Euro.
Die Kl begehrt vom Bekl nun gem § 25 GmbHG Schadenersatz (nach Klagsausdehnung nun fast 42 Mio € sA). Der Bekl habe das Fehlen eines funktionierenden internen Kontrollsystems zu verantworten und dadurch seine gesetzlichen Pflichten als Geschäftsführer verletzt.
Entscheidung
Kontrollsystem
Nach dem festgestellten Sachverhalt unterlag die Zahlungsfreigabe bei der Kl durchaus genau definierten, automatisierten Prozessen mit mehrfachen unabhängig voneinander erforderlichen Autorisierungen unter Einhaltung des Mehraugenprinzips. Auch der letzte Schritt der Kette, die Erteilung des Überweisungsauftrags an die Bank, war dahingehend geregelt, dass zwei verschiedene Bankkarten zu verwenden waren, die von zwei verschiedenen Angestellten der Finanzbuchhaltungsabteilung zu verwahren und zu verwenden gewesen wären.
Aus dem Sachverhalt geht nicht hervor, woraus sich für den Bekl vor dem gegenständlichen Schadensfall ein Verdacht ergeben hätte können, dass es in der so organisierten Finanzbuchhaltung dennoch zur Schwachstelle einer Missachtung der Anweisung zur getrennten Verwahrung von TAN-Karten gekommen war. Auch wenn der Bekl seine TAN-Karte sorglos weitergegeben haben mag, betraf dessen TAN-Karte gar nicht die Konten der Kl, und die Kl führt auch nicht weiter aus, inwieweit das Verhalten des Bekl insoweit kausal für den eingetretenen Schaden war. Ihre Ausführungen zu den fehlenden Überweisungslimits bzw -beschränkungen stellen keinen allgemeinen Standard dar, von dem im Verantwortungsbereich des Bekl abgewichen wurde.
Es steht fest, dass die Nebenintervenientin als Ressortzuständige für die Finanzbuchhaltung dem Geschäftsführergremium über die Zahlungsabläufe und die Etablierung des Vier-Augen-Prinzips berichtet hat. Mangelndes “ressortübergreifendes Interesse“ kann dem Bekl nicht vorgeworfen werden; eine Verpflichtung zur Nachfrage hätte ihn nur dann treffen können, wenn die Nebenintervenientin diese Informationen nicht von sich aus an die Kollegen herangetragen hätte, oder wenn konkrete Bedenken gegen die Richtigkeit und Vollständigkeit ihrer Auskünfte aufgetreten wären. Die Rechtsansicht des BerufungsG, dass eine anlasslose, lediglich auf prinzipiellem Misstrauen beruhende Obliegenheit, die anderen Ressorts noch weiter zu prüfen, eine Überspannung der Sorgfaltspflicht eines Geschäftsführers bedeuten würde, ist nicht korrekturbedürftig.
Nach den Feststellungen gab es vor dem Schadensfall für den Bekl keinen Anhaltspunkt für eine regelwidrige Praxis bei den Banküberweisungen, den er als sorgfältiger Geschäftsführer zum Anlass für Maßnahmen nehmen hätte müssen.
Fake President Fraud (FPF)
Es ist weder den Feststellungen zu entnehmen, noch allgemein notorisches Wissen, dass die Angriffsmethode, die zum Schadensfall geführt hat, vor Ende 2015 im deutschsprachigen Raum bereits bekannt war; sie war höchst professionell organisiert, mit offenkundig erheblichem Rechercheaufwand ausgeklügelt und wurde auf mehreren kommunikativen Ebenen ausgeführt. Die angewandte Methode geht über die herkömmlichen E-Mails erheblich hinaus, die die Nebenintervenientin im Herbst 2015 erhalten hatte und die durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbar waren.
Die Strategie dieser speziellen Form des FPF ist nicht auf eine Täuschung entscheidungsbefugter Personen ausgelegt, sondern auf die Umgehung oder unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Manipulation und Täuschung eines weisungsabhängigen Mitarbeiters der Abteilung Finanzen oder der Buchhaltung. Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt, alles mit dem Ziel, dass der Mitarbeiter bereit ist, die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens ausnahmsweise zu umgehen.
Schulung der Mitarbeiter
Aufgrund welcher Anhaltspunkte der Bekl damit rechnen hätte müssen, dass nach einem Vorstandsmitglied, das die an sie gerichteten E-Mails sofort als Betrugsversuch erkannte und reagierte, eine hierarchisch zwei Ebenen darunter rangierende Angestellte der Finanzbuchhaltung Ziel eines ungleich komplexer angelegten Fake President Fraud werden könnte, vermag die Revision nicht zu begründen.
Es trifft nach den Feststellungen auch nicht zu, dass aus den an die IT-Abteilung weitergeleiteten E-Mails keine Konsequenzen gezogen wurden: Alle Mitarbeiter wurden auf mehreren Informationswegen – und daher auch mit Kenntnis des Bekl – vor erkannten Gefahren gewarnt. Auch ein Social Engineering-Test wurde durchgeführt, um vorhandene Schwachstellen beim Sicherheitsbewusstsein der Mitarbeiter zu entdecken und zu entschärfen.
Wenngleich die Anweisung, bei verdächtigen E-Mails auf allenfalls unterlegte Absenderadressen zu achten, richtigerweise nicht als Reaktion auf die E-Mails erfolgte, die im September und Oktober 2015 bei der Nebenintervenientin eingegangen waren, sondern aus Anlass einer Warnung vor Schadsoftware, ändert dies nichts an der maßgeblichen Tatsache, dass es diese Anweisung gegeben hat. Fest steht auch, dass die vom Fake President angesprochene Gruppenleiterin der Finanzbuchhaltung diese Anweisung tatsächlich befolgt und die E-Mailadresse kontrolliert hat. Ihre dabei aufgetretenen Bedenken wurden jedoch von den Tätern mittels vorgetäuschter Behördenadresse und geschickten Argumentierens zerstreut.
