Urkundenfälschung

CEO Fraud – Phänomen und strafrechtliche Bewertung

CEO Fraud – Phänomen und strafrechtliche Bewertung

Als schwächstes Glied lässt sich in der Informations- und Kommunikationssicherheit wohl der Mensch ausmachen, dessen sind sich Cyberkriminelle bewusst. Durch psychologische Manipulation können Täter z.B. durch Fernkommunikationsmedien Mitarbeiter von Unternehmen gezielt zu Handlungen verleiten. Dazu geben sich die Täter beispielsweise als Geschäftsführer aus und veranlassen über ausgewählte Mitarbeiter Geldtransfers ins Ausland.[1] Der vorliegende Beitrag beschäftigt sich mit dieser Betrugsart, dem sog. CEO Fraud. Ziel ist es, eine umfassende Darstellung über die vielschichtigen Vorgehensweisen der Täter aufzuzeigen und die Handlungen der Täter im Lichte des deutschen Strafrechts zu würdigen. Dieser Untersuchung kommt auch in Hinblick auf die derzeitige Covid-19-Pandemie eine hohe Bedeutung in der Praxis zu, da das BDI im Zuge der Pandemie verschiedene Kampagnen beobachtet, die sich die komplexe Gesamtsituation um Covid-19 bei betrügerischen Vorgehensweisen zunutze machen.[2] Die bisherigen Behandlungen der Thematik in der Literatur beurteilten insbesondere die zivilrechtlichen Haftungsfragen zwischen Unternehmen und Kreditinstituten.[3] Eine strafrechtliche Beurteilung des Phänomens ist bisweilen nur im begrenzten Maße – in der Konstellation eines nicht erfolgreich durchgeführten CEO Frauds – geschehen.[4] Der Beitrag schließt diese Lücke und soll als Leitfaden für die strafrechtliche Beurteilung und Sanktionsmöglichkeiten der CEO Fraud-Fälle im Allgemeinen dienen. Insbesondere wird betrachtet werden, inwieweit die Strafbarkeit nach deutschem Recht beurteilt werden kann, wenn die Täter aus dem Ausland agieren.

Phänomen CEO Fraud – Die Vorgehensweisen der Täter

Es gibt eine Vielzahl an erprobten betrügerischen Vorgehensweisen, deren sich Täter immer wieder erfolgreich bedienen. Der Enkeltrick ist wohl eine der bekanntesten Betrugsarten. Hierbei missbraucht der Täter regelmäßig die Identität einer nahestehenden Person des Opfers, um dieses unter Vorspielen falscher Tatsachen zu einer Zahlung bzw. zu einer Vermögensdisposition zu verleiten. Dieses Konzept wird bei einem CEO Fraud gegenüber Unternehmen in modifizierter Art und Weise angewendet. Dabei fordert jedoch der „Geschäftsführer“ anstatt des „Enkels“ eine Überweisung oder Herausgabe von Informationen.[5] Das Grundprinzip bleibt jedoch gleich, sodass die Fälle auch als digitaler Enkeltrick bezeichnet werden.[6] Der typische Ablauf eines CEO Frauds zeichnet sich durch ein mehraktiges Tatgeschehen aus und soll folglich dargestellt werden.

Phase 1: Informationsgewinnung

Voraussetzung für die erfolgreiche und gezielte Manipulation ist eine fundierte Kenntnis über das Unternehmen und seine Mitarbeiter. Relevante Informationen sind beispielsweise die Kontaktdaten des CEO, dessen Unterschrift, Unternehmensstrukturen- und Prozesse, Angaben zu Geschäftspartnern, künftige Investments und Mitarbeiterbefugnisse.[7] In dieser Phase müssen insbesondere solche Mitarbeiter identifiziert werden, die Transaktionen eigenständig durchführen können, unter Umständen auch unter Umgehung von innerbetrieblichen Kontrollmechanismen.[8] Die Informationsgewinnung erfolgt über öffentlich zugängliche Websites, Geschäftsberichte und Presseerklärungen sowie durch die Auswertung von Social-Media-Kanälen des Unternehmens und seiner Mitarbeiter.[9] Zudem können relevante Informationen über das sog. Darknet[10], durch technische Maßnahmen, wie Schadsoftware oder durch belanglose, scheinbar gefahrlose Kommunikation mit den Mitarbeitern, durch sog. Social Engineering, beschafft werden.[11]

Phase 2: Planungsstadium

Unter der Würdigung aller relevanten gesammelten Informationen erstellen die Täter realistisch anmutende Szenarien. Die Szenarien spiegeln meist besonders dringliche und vertrauliche Geschäftsvorgänge wider, so z.B. ein Erwerb von Grundstücken, eine Unternehmenstransaktion oder Strafzahlungen.[12] Zudem wird die unternehmensinterne Autorität durch die Annahme der Identität einer Führungsperson ausgenutzt, um den Druck zu erhöhen.[13] Darüber hinaus wird für die Kontaktaufnahme ein Zeitpunkt identifiziert, in welchem die Arbeitsbelastung der Mitarbeiter besonders hoch und die Rückversicherungsmöglichkeiten entlang der bestehenden Kontrollprozesse möglichst gering ist.[14] Dies trifft gerade auf die aktuellen Umstände der Covid-19-Pandemie zu, in denen viele unternehmensinterne Prozesse aufgrund von Home Office und Kontaktbeschränkungen Änderungen unterworfen sind und die Interaktion nahezu ausschließlich auf Fernkommunikationsmedien wie E-Mail oder Telefon beschränkt ist. Es bleibt abzuwarten, ob sich die besonderen Umstände in höheren Fallzahlen von Cyberkriminalität widerspiegeln.

Phase 3: Vertrauensbildung

In dieser Phase erfolgt die erste Ansprache – in der Regel adressiert an einen Mitarbeiter mit operativer Tätigkeit in der Buchhaltung. Sie dient insbesondere der Vertrauensbildung und der Unterdrucksetzung. Dazu wird dem Mitarbeiter meist eine Mail mit einer kurzen Erläuterung des angeblichen Geschäftsvorgangs im Namen der Geschäftsleitung gesendet und zur Kooperation ermutigt. Mit der E-Mail wird der Mitarbeiter zudem zur Verschwiegenheit verpflichtet.[15] Dabei werden insbesondere die Angst, einen Fehler zu begehen, Erfolgsdruck, Stress, Unwissenheit sowie das vermeintlich empfangene besondere Vertrauen des Chefs und die damit empfundene Wertschätzung ausgenutzt.[16] Da die Täter auf das tatsächliche Mail-Konto des CEO in der Regel keinen Zugriff haben, nutzen diese eine ähnliche Adresse[17] unter Verwendung des richtigen Namens des CEO als Alias[18]. Zudem imitieren die Täter bei telefonischen Kontakt mit den Mitarbeitern mittlerweile Stimmen und Sprachmuster von CEOs unter Verwendung von Deep Fakes, um das Vertrauen in die Echtheit des Geschäftsvorgangs zu stärken.[19] Deep Fakes sind mittels Künstlicher Intelligenz (KI) generierte Foto-, Video- und Audioaufnahmen.[20] Dabei wird die KI mit Datensätzen von Reden, Interviews, Bildern etc. gespeist, um Gesichtsausdrücke, Bewegungen und Stimmen des CEOs zu reproduzieren.[21] Ziel ist es dabei, dem Mitarbeiter die Echtheit und Dringlichkeit des Geschäftsvorgangs zu verdeutlichen und jegliche Zweifel zu zerstreuen.

Phase 4: Durchführung

Glauben sich die Täter des Vertrauens des Mitarbeiters sicher, wird der Sachverhalt ausführlicher dargestellt und die Kommunikation konkretisiert. Zudem werden für den Fall der fehlenden weiteren Kooperation und einer nicht erfolgenden zügigen Durchführung der geforderten Transaktion mit Vertragsstrafen oder auch behördlichen Bußgeldern für das Unternehmen gedroht sowie auch persönliche berufliche Konsequenzen für den Mitarbeiter in Aussicht gestellt. Hinzu kommt unter Umständen noch weiterer Kontakt des Mitarbeiters zu angeblichen Anwälten und Mitarbeitern z.B. der Finanzaufsichtsbehörde (BaFin) sowie angeblichen externen Beratern und weiteren Dritten, die bereits in den Geschäftsvorgang involviert sind und auf die Vornahme weiterer Schritte warten.[22] Durch eine kontinuierliche Steigerung des Drucks und eine Intensivierung der Täuschung wird der betroffene Mitarbeiter in eine psychische Zwangslage versetzt, bis das Geld unter Einbeziehung der Bank überwiesen wird oder aber die Täter aufgeben.[23]

Phase 5: Verschleierung

Einhergehend mit der Überweisung verschleiern die Täter die Transaktionen meist über ein globales Geflecht aus Konten, sodass der originäre Zahlungsbetrag automatisch verteilt und das Rückverfolgungsrisiko verringert wird.[24] Zudem wird es das Ziel der Täter sein, die (rechtswidrig) erlangten Gelder zurück in den legalen Wirtschaftskreislauf zu schleusen. So wird es regelmäßig zu Geldwäscheaktivitäten kommen, die ihrerseits strafrechtlich sanktioniert werden können.[25]

Phase 6: Beendigung

Wurde das Geld überwiesen, so beglückwünscht der angebliche CEO den Mitarbeiter für seine Kooperation und Diskretion. Mit lobenden Worten für den bisherigen Umgang mit dem Geschäftsvorfall wird der Mitarbeiter ggf. zu weiteren Transaktionen in ähnlich gelagerten – aber ebenso dringlichen sowie diskreten – Angelegenheiten ermuntert.[26]

Weiterlesen →

Posted by Johannes Kloth in Cybercrime, IT-Compliance, IT-Strafrecht