AssCompact suche
Home
Assekuranz
25. März 2019
D&O als Rettungsanker bei CEO-Fraud

D&O als Rettungsanker bei CEO-Fraud

Die Internetkriminalität gewinnt täglich an Bedeutung. Dazu zählt auch der sogenannte CEO-Fraud, teils Fake-President-Fraud genannt. Nach wie vor herrscht Unsicherheit, welche Versicherung in einem solchen Betrugsfall überhaupt zum Tragen kommt. Rechtsanwältin Karin Baumeier von der Kanzlei Baumeier sorgt für Klarheit.

Laut Landeskriminalamt Nordrhein-Westfalen werden seit Mitte 2017 immer mehr umsatzstarke Kleinunternehmen vom CEO-Fraud angegriffen. Und das ist mit über 99% die Mehrheit aller Unternehmen in Deutschland. Doch welche Versicherung hilft eigentlich beim CEO-Fraud-Schaden?

Cyberversicherung deckt nicht Schwachstelle Mensch

Grundsätzlich besteht beim CEO-Fraud kein Versicherungsschutz über eine Cyberversicherung. Kurz und laienhaft ausgedrückt liegt der Grund darin, dass nicht die Unternehmens-IT selbst angegriffen und beschädigt wird.

Beim CEO-Fraud handelt es sich um einen Cybertrickbetrug. Die Schwachstelle „Mensch“ wird ausgenutzt (= social engineering). Die Täter versuchen, Mitarbeiter mit Entscheidungsbefugnissen vor allem aus der Buchhaltung oder dem Rechnungswesen so zu manipulieren, dass diese vermeintlich im Auftrag des Unternehmensleiters Überweisungen von hohen Geldbeträgen veranlassen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens selbst.

Die Täter arbeiten inzwischen höchst professionell. Vor der ersten Kontaktaufnahme verschaffen sie sich umfassende Informationen über das ganze Unternehmen und seine Strukturen. Sie informieren sich über die Geschäftspartner, über künftige geplante Investments, E-Mail-Adressen etc. Sogar Mitarbeiter des Unternehmens werden in sozialen Netzwerken ausspioniert. Die Täter nutzen das erlangte Wissen, um den Inhalt der von ihnen verfassten E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen. Es gelingt ihnen inzwischen immer häufiger, überzeugend als Chef des Unternehmens aufzutreten. Hinzu kommt, dass den kontaktierten Mitarbeitern durch mehr­fache E-Mails und Anrufe vorgespielt wird, sie müssten eine Geldüberweisung eilig durchführen, um das Projekt nicht zu gefährden. Die Täter üben großen psychischen Druck beim jeweiligen Mitarbeiter aus. Sogar erfahrene Mitarbeiter werden so regelmäßig Opfer dieser Masche.

D&O-Versicherung deckt Cybertrickbetrug

CEO-Fraud-Schadenfälle sind grundsätzlich über eine Vertrauensschadenversicherung (VSV) sowie über eine D&O-Versicherung gedeckt. Zwischen diesen beiden Versicherungen sind die Regelungen zur Subsidiarität zu beachten. Sollte keine VSV bestehen oder die Deckung bereits abgelehnt worden sein, kann die D&O-Versicherung weiterhelfen.

Bei der D&O-Versicherung liegt eine Pflichtverletzung durch zwei Personenkreise nahe: den getäuschten Mitarbeiter sowie den Unternehmensleiter. Eine tatsächliche Inanspruchnahme auf Schadensersatz ist generell Voraussetzung, um in die D&O- Prüfung einzusteigen.

Getäuschter Mitarbeiter

Wie anfangs beschrieben, werden häufig Angestellte mit Handlungsvollmacht von den Tätern kontaktiert. Sie unterliegen der Täuschung und überweisen entweder selbst den geforderten Betrag auf das von den Tätern angegebene Bankkonto oder weisen die Zahlung als Vorgesetzte an. Mitarbeiter mit Handlungsvollmacht können leitende Angestellte im Sinne der D&O-Versicherung sein und gehören dann zum versicherten Personenkreis.

Da das überwiesene Geld in den meisten Fällen nach Aufdeckung des Irrtums von der Bank nicht mehr oder nur teilweise zurücktransferiert werden kann, bleibt das Unternehmen auf dem entstandenen finanziellen Schaden sitzen. Dies stellt den erforderlichen Vermögensschaden dar.

Eine Pflichtverletzung ist in der Überweisung eines Geldbetrages ohne Anweisung der „echten“ Geschäftsleitung zu sehen. Das Sächsisches Landes­arbeitsgericht hat in seinem Urteil vom 13.06.2017 (Az.: 3 SA 556/16, BeckRS 2017, 127707) entschieden, dass auch die Vornahme einer Überweisung trotz Täuschung durch CEO-Frauds eine betriebliche Tätigkeit für das Unternehmen sei. Das Gericht führt richtig aus, dass diese Mitarbeiter arbeitsvertraglich für den Geldtransfer verantwortlich sind, der ihnen von der Geschäftsleitung aufgetragen werde. Entscheidend sei, dass der ausführende Mitarbeiter glaubt, im betrieblichen Interesse handeln zu müssen. Gegen das Urteil wurde Revision eingelegt. Es ist derzeit beim Bundesarbeitsgericht (BAG) anhängig (Az.: 8 AZR 379/17).

Folgerichtig sind für die Pflichtverletzung des getäuschten Mitarbeiters die vom BAG entwickelten Grundsätze der beschränkten Arbeitnehmerhaftung zu beachten.

Zusammengefasst wird bei Vorliegen leichtester Fahrlässigkeit eine Haftung des Mitarbeiters ausgeschlossen. Bei Vorsatz und gröbster Fahrlässigkeit haftet der Mitarbeiter für den gesamten Schaden. Bei leichter bis mittlerer Fahrlässigkeit kommt eine Haftung zwischen einem und bis zu drei Bruttomonatsgehältern in Betracht. Bei grober Fahrlässigkeit kann eine vollumfängliche Haftung angemessen sein. Es sind jeweils die Gesamtumstände des Einzelfalls zu beachten.

Vorbehaltlich einer Einzelfallbetrachtung wird beim CEO-Fraud in der Regel leichte bis schwere Fahrlässigkeit anzunehmen sein. In vielen Fällen könnte der Irrtum aufgedeckt werden, wenn der Mitarbeiter zuvor jemanden zum Beispiel aus der Geschäftsleitung persönlich ansprechen und in das „geheime Projekt“ einweihen würde.

Da die verursachten Schäden durch CEO-Frauds sehr hoch ausfallen können, wird die beschränkte Haftung des verantwortlichen Mitarbeiters für einen vollständigen Schadenausgleich regelmäßig nicht ausreichen. In so einem Fall kann die sogenannte Eigenschadendeckungsklausel helfen, soweit diese im Rahmen der D&O-Versicherung vereinbart ist. Der Grundsatz „Deckung folgt der Haftung“ wird durch diese Klausel durchbrochen. Sie regelt, dass bei Anwendung der Grundsätze der beschränkten Arbeitnehmerhaftung über die Haftungsbegrenzung hinaus eine zusätzliche weitere Deckung bis zur Höhe eines Sublimits gewährt wird. Oftmals gilt innerhalb der Klausel ein Selbstbehalt, sodass erst ab einer gewissen Schadenhöhe die Eigenschadenklausel zum Tragen kommt.

Unternehmensleiter

Werden die Voraussetzungen der D&O-Versicherung über den getäuschten Mitarbeiter nicht erfüllt oder verbleibt ein über das Sublimit der Eigenschadendeckung hinausgehender Teil des Schadens, ist eine Pflichtverletzung des Unternehmensleiters zu prüfen. Eventuell liegt ein (Mit-)Verschulden in Form eines Organisationsfehlers vor.

Der Unternehmensleiter ist in aller Regel versicherte Person. Die Pflichtverletzung kann in der unterlassenen Integrierung von Schutzmaßnahmen in den Betriebsablauf gegen CEO-Frauds liegen. Keine ausreichende Aufklärung des Personals, kein Vorhandensein eines internen Verhaltensprotokolls, fehlende bzw. mangelhafte Einrichtung technischer Möglichkeiten etc. kommen in Betracht.

Fazit

Hauptsächlich Kleinunternehmen werden aktuell von CEO-Frauds angegriffen. Die Cyberversicherung hilft gerade nicht beim Cybertrickbetrug. Bei ausreichender Versicherungssumme kann aber ein entstandener Schaden über eine D&O-Versicherung abgedeckt sein. Für Versicherungsmakler, die das Unternehmen hierzu falsch beraten bzw. kein Angebot zum Abschluss einer VSV und D&O-Versicherung unterbreiten, kann dieser Fehler teuer werden.

Den Text lesen Sie auch in der AssCompact 03/2019, Seite 28 f. und in unserem ePaper.

 
 
Ein Artikel von
Karin Baumeier

Leserkommentare

Comments

Gespeichert von Stephan Lindner am 28. März 2019 - 11:34

Nachdem wir viele Zusendungen von verunsicherten Verischerungsmaklern und -pools zu diesem Artikel bekommen, möchten wir klar stellen, das bei Markel der CEO Fraud / Fake President Schaden bei unsere Cyber-Versicherung "Markel Pro Cyber" im Rahmen des Bausteins "Cyber-Vertrauensschäden" umfänglich mitversichert gilt.

Gespeichert von Michael Steimer am 24. April 2019 - 13:11

Vielen Dank für die guten Gedanken zur Abgrenzung D&O / Cyber. Der Artikel zeigt die unglaubliche Dynamik im Cyber - Markt, da er im Hinblick auf die Cyberversicherung die Situation ca. zu Beginn 2018 wiederspiegelt. Während CEO Fraud bislang nur von wenigen Cyberversicherern angeboten wurde, ist dies innerhalb weniger Monate fast Standard geworden. Viele (z.B. von Franke&Bornberg gut beurteilte) Produkte (die Zahl der Anbieter hat sich von 2017 auf heute auf ca. 40 verdoppelt) bieten mittlerweile diesen wichtigen Einschluss, teilweise etwas versteckt unter anderen Bezeichnungen wie z.B. Cyber-Betrug. Es kommen quasi monatlich neue, teilweise exzellente Produkte oder Leistungs-updates zu bestehenden Produkten auf den Markt, die es dem Makler, der sich ja nicht ausschließlich mit Cyber beschäftigen kann, schwer machen, den Überblick zu behalten. Abhilfe schaffen etablierte Ratingfirmen wie F&B (weitere werden wohl rechtzeitig vor der DKM folgen) oder auch spezialisierte Vergleichsplattformen, die als added value die Zusammenhänge - für Kunden... und Makler!... verständlich erklären und komfortable Antragsmodelle integriert haben.

Gespeichert von Michael Steimer am 24. April 2019 - 13:12

Vielen Dank für die guten Gedanken zur Abgrenzung D&O / Cyber. Der Artikel zeigt die unglaubliche Dynamik im Cyber - Markt, da er im Hinblick auf die Cyberversicherung die Situation ca. zu Beginn 2018 wiederspiegelt. Während CEO Fraud bislang nur von wenigen Cyberversicherern angeboten wurde, ist dies innerhalb weniger Monate fast Standard geworden. Viele (z.B. von Franke&Bornberg gut beurteilte) Produkte (die Zahl der Anbieter hat sich von 2017 auf heute auf ca. 40 verdoppelt) bieten mittlerweile diesen wichtigen Einschluss, teilweise etwas versteckt unter anderen Bezeichnungen wie z.B. Cyber-Betrug. Es kommen quasi monatlich neue, teilweise exzellente Produkte oder Leistungs-updates zu bestehenden Produkten auf den Markt, die es dem Makler, der sich ja nicht ausschließlich mit Cyber beschäftigen kann, schwer machen, den Überblick zu behalten. Abhilfe schaffen etablierte Ratingfirmen wie F&B (weitere werden wohl rechtzeitig vor der DKM folgen) oder auch spezialisierte Vergleichsplattformen, die als added value die Zusammenhänge - für Kunden... und Makler!... verständlich erklären und komfortable Antragsmodelle integriert haben.

Gespeichert von Michael Steimer am 24. April 2019 - 13:12

Vielen Dank für die guten Gedanken zur Abgrenzung D&O / Cyber. Der Artikel zeigt die unglaubliche Dynamik im Cyber - Markt, da er im Hinblick auf die Cyberversicherung die Situation ca. zu Beginn 2018 wiederspiegelt. Während CEO Fraud bislang nur von wenigen Cyberversicherern angeboten wurde, ist dies innerhalb weniger Monate fast Standard geworden. Viele (z.B. von Franke&Bornberg gut beurteilte) Produkte (die Zahl der Anbieter hat sich von 2017 auf heute auf ca. 40 verdoppelt) bieten mittlerweile diesen wichtigen Einschluss, teilweise etwas versteckt unter anderen Bezeichnungen wie z.B. Cyber-Betrug. Es kommen quasi monatlich neue, teilweise exzellente Produkte oder Leistungs-updates zu bestehenden Produkten auf den Markt, die es dem Makler, der sich ja nicht ausschließlich mit Cyber beschäftigen kann, schwer machen, den Überblick zu behalten. Abhilfe schaffen etablierte Ratingfirmen wie F&B (weitere werden wohl rechtzeitig vor der DKM folgen) oder auch spezialisierte Vergleichsplattformen, die als added value die Zusammenhänge - für Kunden... und Makler!... verständlich erklären und komfortable Antragsmodelle integriert haben.