Vorgehensweise

CEO Fraud – Phänomen und strafrechtliche Bewertung

CEO Fraud – Phänomen und strafrechtliche Bewertung

Als schwächstes Glied lässt sich in der Informations- und Kommunikationssicherheit wohl der Mensch ausmachen, dessen sind sich Cyberkriminelle bewusst. Durch psychologische Manipulation können Täter z.B. durch Fernkommunikationsmedien Mitarbeiter von Unternehmen gezielt zu Handlungen verleiten. Dazu geben sich die Täter beispielsweise als Geschäftsführer aus und veranlassen über ausgewählte Mitarbeiter Geldtransfers ins Ausland.[1] Der vorliegende Beitrag beschäftigt sich mit dieser Betrugsart, dem sog. CEO Fraud. Ziel ist es, eine umfassende Darstellung über die vielschichtigen Vorgehensweisen der Täter aufzuzeigen und die Handlungen der Täter im Lichte des deutschen Strafrechts zu würdigen. Dieser Untersuchung kommt auch in Hinblick auf die derzeitige Covid-19-Pandemie eine hohe Bedeutung in der Praxis zu, da das BDI im Zuge der Pandemie verschiedene Kampagnen beobachtet, die sich die komplexe Gesamtsituation um Covid-19 bei betrügerischen Vorgehensweisen zunutze machen.[2] Die bisherigen Behandlungen der Thematik in der Literatur beurteilten insbesondere die zivilrechtlichen Haftungsfragen zwischen Unternehmen und Kreditinstituten.[3] Eine strafrechtliche Beurteilung des Phänomens ist bisweilen nur im begrenzten Maße – in der Konstellation eines nicht erfolgreich durchgeführten CEO Frauds – geschehen.[4] Der Beitrag schließt diese Lücke und soll als Leitfaden für die strafrechtliche Beurteilung und Sanktionsmöglichkeiten der CEO Fraud-Fälle im Allgemeinen dienen. Insbesondere wird betrachtet werden, inwieweit die Strafbarkeit nach deutschem Recht beurteilt werden kann, wenn die Täter aus dem Ausland agieren.

Phänomen CEO Fraud – Die Vorgehensweisen der Täter

Es gibt eine Vielzahl an erprobten betrügerischen Vorgehensweisen, deren sich Täter immer wieder erfolgreich bedienen. Der Enkeltrick ist wohl eine der bekanntesten Betrugsarten. Hierbei missbraucht der Täter regelmäßig die Identität einer nahestehenden Person des Opfers, um dieses unter Vorspielen falscher Tatsachen zu einer Zahlung bzw. zu einer Vermögensdisposition zu verleiten. Dieses Konzept wird bei einem CEO Fraud gegenüber Unternehmen in modifizierter Art und Weise angewendet. Dabei fordert jedoch der „Geschäftsführer“ anstatt des „Enkels“ eine Überweisung oder Herausgabe von Informationen.[5] Das Grundprinzip bleibt jedoch gleich, sodass die Fälle auch als digitaler Enkeltrick bezeichnet werden.[6] Der typische Ablauf eines CEO Frauds zeichnet sich durch ein mehraktiges Tatgeschehen aus und soll folglich dargestellt werden.

Phase 1: Informationsgewinnung

Voraussetzung für die erfolgreiche und gezielte Manipulation ist eine fundierte Kenntnis über das Unternehmen und seine Mitarbeiter. Relevante Informationen sind beispielsweise die Kontaktdaten des CEO, dessen Unterschrift, Unternehmensstrukturen- und Prozesse, Angaben zu Geschäftspartnern, künftige Investments und Mitarbeiterbefugnisse.[7] In dieser Phase müssen insbesondere solche Mitarbeiter identifiziert werden, die Transaktionen eigenständig durchführen können, unter Umständen auch unter Umgehung von innerbetrieblichen Kontrollmechanismen.[8] Die Informationsgewinnung erfolgt über öffentlich zugängliche Websites, Geschäftsberichte und Presseerklärungen sowie durch die Auswertung von Social-Media-Kanälen des Unternehmens und seiner Mitarbeiter.[9] Zudem können relevante Informationen über das sog. Darknet[10], durch technische Maßnahmen, wie Schadsoftware oder durch belanglose, scheinbar gefahrlose Kommunikation mit den Mitarbeitern, durch sog. Social Engineering, beschafft werden.[11]

Phase 2: Planungsstadium

Unter der Würdigung aller relevanten gesammelten Informationen erstellen die Täter realistisch anmutende Szenarien. Die Szenarien spiegeln meist besonders dringliche und vertrauliche Geschäftsvorgänge wider, so z.B. ein Erwerb von Grundstücken, eine Unternehmenstransaktion oder Strafzahlungen.[12] Zudem wird die unternehmensinterne Autorität durch die Annahme der Identität einer Führungsperson ausgenutzt, um den Druck zu erhöhen.[13] Darüber hinaus wird für die Kontaktaufnahme ein Zeitpunkt identifiziert, in welchem die Arbeitsbelastung der Mitarbeiter besonders hoch und die Rückversicherungsmöglichkeiten entlang der bestehenden Kontrollprozesse möglichst gering ist.[14] Dies trifft gerade auf die aktuellen Umstände der Covid-19-Pandemie zu, in denen viele unternehmensinterne Prozesse aufgrund von Home Office und Kontaktbeschränkungen Änderungen unterworfen sind und die Interaktion nahezu ausschließlich auf Fernkommunikationsmedien wie E-Mail oder Telefon beschränkt ist. Es bleibt abzuwarten, ob sich die besonderen Umstände in höheren Fallzahlen von Cyberkriminalität widerspiegeln.

Phase 3: Vertrauensbildung

In dieser Phase erfolgt die erste Ansprache – in der Regel adressiert an einen Mitarbeiter mit operativer Tätigkeit in der Buchhaltung. Sie dient insbesondere der Vertrauensbildung und der Unterdrucksetzung. Dazu wird dem Mitarbeiter meist eine Mail mit einer kurzen Erläuterung des angeblichen Geschäftsvorgangs im Namen der Geschäftsleitung gesendet und zur Kooperation ermutigt. Mit der E-Mail wird der Mitarbeiter zudem zur Verschwiegenheit verpflichtet.[15] Dabei werden insbesondere die Angst, einen Fehler zu begehen, Erfolgsdruck, Stress, Unwissenheit sowie das vermeintlich empfangene besondere Vertrauen des Chefs und die damit empfundene Wertschätzung ausgenutzt.[16] Da die Täter auf das tatsächliche Mail-Konto des CEO in der Regel keinen Zugriff haben, nutzen diese eine ähnliche Adresse[17] unter Verwendung des richtigen Namens des CEO als Alias[18]. Zudem imitieren die Täter bei telefonischen Kontakt mit den Mitarbeitern mittlerweile Stimmen und Sprachmuster von CEOs unter Verwendung von Deep Fakes, um das Vertrauen in die Echtheit des Geschäftsvorgangs zu stärken.[19] Deep Fakes sind mittels Künstlicher Intelligenz (KI) generierte Foto-, Video- und Audioaufnahmen.[20] Dabei wird die KI mit Datensätzen von Reden, Interviews, Bildern etc. gespeist, um Gesichtsausdrücke, Bewegungen und Stimmen des CEOs zu reproduzieren.[21] Ziel ist es dabei, dem Mitarbeiter die Echtheit und Dringlichkeit des Geschäftsvorgangs zu verdeutlichen und jegliche Zweifel zu zerstreuen.

Phase 4: Durchführung

Glauben sich die Täter des Vertrauens des Mitarbeiters sicher, wird der Sachverhalt ausführlicher dargestellt und die Kommunikation konkretisiert. Zudem werden für den Fall der fehlenden weiteren Kooperation und einer nicht erfolgenden zügigen Durchführung der geforderten Transaktion mit Vertragsstrafen oder auch behördlichen Bußgeldern für das Unternehmen gedroht sowie auch persönliche berufliche Konsequenzen für den Mitarbeiter in Aussicht gestellt. Hinzu kommt unter Umständen noch weiterer Kontakt des Mitarbeiters zu angeblichen Anwälten und Mitarbeitern z.B. der Finanzaufsichtsbehörde (BaFin) sowie angeblichen externen Beratern und weiteren Dritten, die bereits in den Geschäftsvorgang involviert sind und auf die Vornahme weiterer Schritte warten.[22] Durch eine kontinuierliche Steigerung des Drucks und eine Intensivierung der Täuschung wird der betroffene Mitarbeiter in eine psychische Zwangslage versetzt, bis das Geld unter Einbeziehung der Bank überwiesen wird oder aber die Täter aufgeben.[23]

Phase 5: Verschleierung

Einhergehend mit der Überweisung verschleiern die Täter die Transaktionen meist über ein globales Geflecht aus Konten, sodass der originäre Zahlungsbetrag automatisch verteilt und das Rückverfolgungsrisiko verringert wird.[24] Zudem wird es das Ziel der Täter sein, die (rechtswidrig) erlangten Gelder zurück in den legalen Wirtschaftskreislauf zu schleusen. So wird es regelmäßig zu Geldwäscheaktivitäten kommen, die ihrerseits strafrechtlich sanktioniert werden können.[25]

Phase 6: Beendigung

Wurde das Geld überwiesen, so beglückwünscht der angebliche CEO den Mitarbeiter für seine Kooperation und Diskretion. Mit lobenden Worten für den bisherigen Umgang mit dem Geschäftsvorfall wird der Mitarbeiter ggf. zu weiteren Transaktionen in ähnlich gelagerten – aber ebenso dringlichen sowie diskreten – Angelegenheiten ermuntert.[26]

Rechtdogmatische Analyse und strafrechtliche Bewertung

In Hinblick auf die unterschiedlichen phasenspezifischen Vorgehensweisen der Täter bedarf es an dieser Stelle einer Schwerpunktsetzung für diesen Beitrag und einer Abgrenzung zu der Vielzahl an ggf. mitverwirklichten strafrechtlich relevanten Tätigkeiten. Nicht betrachtet werden sämtliche Delikte, die bereits im Zuge der Informationsbeschaffung in Phase 1 potentiell verwirklicht werden. Die Vielzahl an (technischen) Möglichkeiten wie z.B. Tätigkeiten im Darknet, das gezielte Hacking, der Einsatz von Malware, die Infizierung oder das Fernsteuern von Computern übersteigt aufgrund der Vielschichtigkeit den Rahmen dieses Beitrages. Ebenfalls nicht weiter betrachtet werden die strafrechtlichen Konsequenzen für die Täter bei der Verschleierung der Zahlungen. Zudem ist der CEO Fraud sowohl in der Vorgehensweise als auch in der rechtlichen Bewertung vom Phishing abzugrenzen. Unter Phishing lässt sich die illegale Beschaffung von Zugangsdaten u.a. zum Online Banking, zu Maildiensten und zu Cloud-Speichern unter Verwendung von beispielsweise gefälschten E-Mails oder gefälschten Internetseiten verstehen. Die Vorgehensweise unterscheidet sich jedoch zu der des CEO Frauds, da die gefälschten Mails unspezifisch und massenhaft versendet werden. Bei einem CEO Fraud findet dagegen ein gezieltes Vorgehen unter Verwendung der vorab gesammelten spezifischen Informationen statt.[27]

Anwendbarkeit des deutschen Strafrechts

Bei der bisherigen Darstellung des Ablaufes eines typischen CEO Frauds ist außer Acht geblieben, dass die Täter häufig aus dem Ausland agieren.[28] Dies wirft die Frage nach der Anwendbarkeit des deutschen Strafrechts auf. Die Anwendbarkeit richtet sich vorrangig nach dem völkerrechtlich anerkannten Territorialitätsprinzip. Gemäß § 3 StGB gilt deutsches Strafrecht für Taten, die im Inland begangen werden. Eine Tat ist nach § 9 Abs. 1 Var. 3 StGB nicht nur an dem Ort begangen, an dem der Täter gehandelt hat (§ 9 Abs. 1 Var. 1 StGB), sondern auch an dem Ort, an dem der zum Tatbestand gehörende Erfolg eingetreten ist, sog. Ubiquitätsprinzip.[29] Insoweit der Taterfolg in Deutschland erfolgt, ist unproblematisch von der Anwendbarkeit des deutschen Strafrechts auszugehen.[30] Schwieriger beurteilt sich die Lage bei betroffenen deutschen Unternehmen mit Sitz im Ausland. So könnte der Versuch unternommen werden, die Anwendbarkeit des deutschen Strafrechts unter Anwendung des passiven Personalitätsprinzips nach § 7 Abs. 1 StGB zu begründen. Hiernach gilt deutsches Strafrecht für Taten, die im Ausland gegen einen Deutschen begangen wurden, wenn die Tat am Tatort mit Strafe bedroht ist oder der Tatort keiner Strafgewalt unterliegt. Ob auch ein Unternehmen, d.h. eine juristische Person als Deutscher zu verstehen ist, wurde von einigen Stimmen in der Literatur bejaht[31] – mittlerweile herrscht allerdings weitgehend Einigkeit darüber, dass die Annahme einer derartigen extensiven Auslegung von Deutscher gegen den Wortlaut verstößt sowie der historischen, systematischen und teleologischen Auslegung zuwiderläuft.[32] Für den Fortgang der Ausführungen soll deshalb unterstellt werden, dass es sich bei dem betroffenen Unternehmen um eines mit Sitz in Deutschland handelt, sodass deutsches Strafrecht grundsätzlich anwendbar ist.

Anwendbarkeit bei Jurisdiktionskonkurrenzen

Jedoch kann es in diesen internationalen Konstellationen zu Jurisdiktionskonkurrenzen kommen. Das Territorialitätsprinzip gilt nicht nur für das deutsche Recht, sondern ist völkerrechtlicher Ausdruck von Gebietshoheit, Unabhängigkeit und Gleichheit im Verhältnis zu anderen Staaten.[33] Demnach wird regelmäßig auch das Recht des Landes Anwendung finden, aus welchem die Täter heraus agieren. Prozessual ergeben sich dann gerade aufgrund des Legalitätsprinzips[34] nach § 152 Abs. 2 StPO parallele Strafverfahren. Aufgrund der divergierenden nationalen Rechtsvorschriften wäre dann für dieselbe Tat eine unterschiedliche rechtliche Beurteilung in den Ländern die Folge. Der Umstand einer drohenden Urteilsmehrheit bedarf jedoch der Auflösung.[35] Dem Grundsatz ne bis in idem zufolge darf über eine Tat nur einmal geurteilt werden.[36] Demnach ergibt sich ein Verfahrens- und Urteilshindernis, sobald eines der Verfahren mit einem rechtskräftigen Urteil endet. Dieser Grundsatz gilt nach Art. 103 Abs. 3 GG jedoch nur für Entscheidungen deutscher Gerichte, d.h. Entscheidungen ausländischer Gerichte entfalten diese Wirkung grundsätzlich nicht.[37] Auf inter- und supranationaler Ebene kann sich jedoch eine Durchsetzung des Grundsatzes auf Basis völkerrechtlicher Verträge ergeben. Im Verhältnis zu anderen europäischen Staaten stellt dies Art. 54 SDÜ dar. Aus Sicht der Strafverteidigung eröffnen sich daher Möglichkeiten, eine zügige Verurteilung in der Jurisdiktion anzustreben, in welcher mildere Sanktionen für den Täter drohen und das Verfahren in dem anderen Land zu verzögern. Aus prozessökonomischen Gründen können daher zwischen den beteiligten Staaten Zuständigkeitsvereinbarungen getroffen werden.[38] In § 153c StPO wird dafür eine Ausnahme vom Legalitätsprinzip normiert, sodass es im Ermessen deutscher Strafverfolgungsbehörden liegt, auf die Strafverfolgung ggf. zugunsten anderer Staaten zu verzichten.

CEO Fraud – Strafbarkeit wegen Betrugs nach § 263 StGB

Da der Betrug ein Erfolgsdelikt ist, ist unter Anwendung der soeben dargelegten Grundsätze nach Maßgabe des Ubiquitätsprinzips gem. § 9 Abs. 1 Var. 3 StGB deutsches Strafrecht anwendbar, auch wenn die Täter aus dem Ausland agieren. Sodann gilt es nun den Tatbestand der Betrugsstrafbarkeit zu klären.

Identitätstäuschung und Vorspiegelung eines Geschäftsvorfalls durch den Täter

Unter einer Täuschung wird das Einwirken auf das intellektuelle Vorstellungsbild einer anderen natürlichen Person verstanden, durch welche eine Fehlvorstellung über Tatsachen[39] erzeugt wird.[40] Mit der Versendung der E-Mails (oder auch durch das Telefonieren) im Namen des CEO wird dem Mitarbeiter einerseits wahrheitswidrig eine falsche Identität vorgespielt, andererseits wird mit dem konstruierten unwahren Zahlungsverlangen ein angeblicher Geschäftsvorfall vorgegeben. Jedenfalls mit Zugang bzw. Kenntnisnahme dieser Erklärungen wird eine Täuschung verwirklicht.

Fehlvorstellung über die Identität und das Bestehen von Verbindlichkeiten beim Opfer

Der Mitarbeiter unterliegt somit einer Fehlvorstellung über die Identität des Absenders sowie über das angebliche Bestehen von Verbindlichkeiten. Auch wenn der Mitarbeiter überrascht ob des ungewöhnlichen Vorgangs ist und Zweifel hegt, steht dies – entgegen den viktimodogmatischen Auffassungen – der Annahme eines Irrtums nach herrschender Meinung nicht entgegen.[41]

Vermögensverfügung durch Zahlungsanweisung an die Bank

In der Zahlungsanweisung an die Bank aus Phase 4 (s.o.) kann eine Vermögensverfügung, d.h. ein unmittelbar vermögenminderndes Verhalten gesehen werden.[42] Jedoch wird der Mitarbeiter in der Regel nicht sein eigenes Vermögen mindern, sondern eine Überweisung mit Wirkung für und gegen das Unternehmen vornehmen bzw. veranlassen. Darin liegt gerade das Wesen des CEO Betrugs. Technische Limitierung, wie eine Tageshöchstgrenze bei Überweisungsbeträgen nach § 675k BGB, existieren bei großen Unternehmen im Gegensatz zu Privaten in der Regel nicht, sodass ungleich höhere Summen erlangt werden können.[43] Somit sind der Verfügende und der Geschädigte jedoch nicht identisch. Rechtlich erforderlich für die Annahme eines derartigen Dreieckbetruges zulasten des Unternehmens ist die dem Vermögensinhaber (Unternehmen) zurechenbare Verfügung durch den Mitarbeiter. Dies ist Ausdruck des Selbstschädigungscharakters beim Betrug.[44] Für die Zurechnung ist daher ein Näheverhältnis zwischen dem Verfügenden und Vermögensinhaber erforderlich. Auf Basis der Ermächtigungstheorie[45] oder auch der Lagertheorie[46] ist dieses bei Mitarbeitern aus der Buchhaltung auf Grundlage des Arbeitsverhältnisses wohl in der Regel anzunehmen. Unter Umständen kann es jedoch vorkommen, dass der Buchhalter seine objektiv tatsächlich eingeräumte Verfügungsbefugnis bei den geforderten Transaktionen in der Höhe oder auch in der Art und Weise z.B. bei der Umgehung von innerbetrieblichen Kontrollmechanismen überschreitet. Subjektiv wähnt sich der Mitarbeiter jedoch im Rahmen einer einmalig für die Transaktion erteilten Ermächtigung. Ob dies für eine Zurechnung im Sinne der Ermächtigungstheorie ausreichend ist, wird unterschiedlich beurteilt.[47] Für diese Fälle ließe sich die Zurechnung zumindest auf die von der herrschenden Meinung angenommenen Lagertheorie stützen. Nach nicht unumstrittener Ansicht ist jedoch auch an dieser Stelle eine Einschränkung vorzunehmen, wenn sich der Getäuschte bewusst in Widerspruch zum Willen des Vermögensinhabers verhält.[48] Da jedoch der Mitarbeiter in dem Bewusstsein handeln wird, zur Verfügung legitimiert zu sein, ist eine Zurechnung nach der Lagertheorie in der Regel anzunehmen. Gleiches gilt auch für einen Mitarbeiter, welcher grundsätzlich gar keine Verfügungsberechtigung über das Konto besitzt und deshalb nur als Bote den vom vermeintlichen CEO ausgestellten Überweisungsauftrag an die Bank übermittelt.

Vermögensschaden beim Unternehmen

Indem mangels tatsächlicher Leistungsverpflichtung jedoch irrtumsbedingter Vermögensverfügung ein Vermögensabfluss ohne äquivalenter, ausgleichender Gegenleistung stattfindet,[49] ist grundsätzlich von einem Schaden auszugehen. Jedoch bedarf es an dieser Stelle einer genaueren Darstellung des zahlungsdienstevertraglichen Vorgehens bei Überweisungen im Unternehmenskontext. Voraussetzung für einen durchgeführten Geldtransfer ist ein ausgefüllter Zahlungsauftrag an die Bank (Phase 4, Vermögensverfügung). Dieser Auftrag kann beispielsweise online mittels Eingabe von PIN und TAN am Computer, mittels Telefonbanking oder unter Verwendung von Formularen bzw. Überweisungsbelegen erteilt werden.[50] Liegt ein autorisierter Zahlungsauftrag vor, so bewirkt das Kreditinstitut die Überweisung zunächst aus eigenem Vermögen. Jedoch steht dem Kreditinstitut dann ein Aufwendungsersatzanspruch gegenüber dem Unternehmen gem. §§ 675c Abs. 1, 670 BGB zu.[51] Handelt es sich jedoch um einen nicht autorisierten Zahlungsauftrag, darf das Konto des Unternehmens gem. § 675u Satz 1 BGB nicht belastet werden bzw. muss bei bereits erfolgter Belastung eine valutengerechte Korrektur nach § 675u Satz 2 BGB erfolgen.[52] Die entscheidende Frage ist damit, ob es sich im Einzelfall um einen autorisierten Zahlungsauftrag nach § 675j BGB handelt.[53] Sollte der Auftrag als nicht autorisiert angesehen werden, so muss die Bank aufgrund des § 675u Satz 2 BGB für die unautorisierte Überweisung selbst aufkommen. Diese hat dann ggf. wiederum Schadensersatzansprüche gegenüber dem Unternehmen nach § 675v Abs. 3 Nr. 2 BGB, nach § 280 Abs. 1 BGB bzw. nach den Regeln des Mitverschuldens gem. § 254 BGB.[54] Das Unternehmen kann seinerseits unter Umständen dann nach den Grundsätzen der Arbeitnehmerhaftung auch den handelnden Mitarbeiter in Verantwortung nehmen.[55] Jedenfalls zeigen diese Konstellationen, dass es je nach Einzelfall einer differenzierten Betrachtung bei der Haftungsfrage bedarf. Unter Beachtung der zivilrechtlichen Haftungsverteilung zwischen Unternehmen und Kreditinstitut stellt sich die Frage nach der strafrechtlichen Schadensfeststellung.

Mit der Belastung des Kontos durch die Bank (s.o.) findet ein Vermögensabfluss beim Unternehmen statt. Ein möglicherweise bestehender gesetzlicher Rückerstattungsanspruch nach § 675u Satz 2 BGB (falls es sich um einen nicht autorisierten Zahlungsauftrag handelt) kann jedoch grundsätzlich nicht als hinreichende Kompensation für diesen Abfluss angesehen werden.[56] Zwar wird das Vermögen des Unternehmens faktisch nicht verringert, da es einen wertgleichen Anspruch gegenüber der Bank eingeräumt bekäme,[57] jedoch weist das Konto einen bonitätsberührenden verminderten Stand auf.[58] Das Unternehmen ist faktisch daran gehindert, über das in Rede stehende Vermögen tatsächlich zu disponieren.[59] Der Anspruch ist gegenüber der Bank zudem nur unter Einhaltung der Frist nach § 676b Abs. 2 BGB durchsetzbar, zumal dem Unternehmen das Risiko der Feststellung dieser fehlerhaften Überweisung auferlegt ist. Hinzu kommt, dass nur solche Vermögensmehrungen im Zuge der Saldierung zu beachten sind, die sich unmittelbar aus der Vermögensverfügung selbst ergeben. Sind für die Vermögensmehrung andere rechtlich selbstständige Handlungen erforderlich, können diese keine Berücksichtigung finden.[60] Da es seitens des Unternehmens einer Anzeige des unautorisierten Zahlungsvorganges bei der Bank bedarf, um den Rückerstattungsanspruch zu verwirklichen, kann hier nur von einem mittelbaren Vermögenszufluss ausgegangen werden, zumal dieser mit etwaigen Gegenansprüchen der Bank (s.o.) ggf. wiederum verringert werden kann. Ein Vermögensschaden bei dem Unternehmen ist damit anzunehmen.

Fraglich ist jedoch, wie es um den strafrechtlichen Schutz von Kreditinstituten bei den CEO Fraud-Fällen steht. Es wurde gezeigt, dass die Bank unter Umständen für einen erheblichen Teil der überwiesenen Geldsumme selbst haftungsrechtlich einstehen muss. Die Täter täuschen jedoch ausschließlich den Mitarbeiter des Unternehmens unmittelbar, welcher sich in Folge als vorsatzloses[61] Werkzeug seinerseits mit dem vermeintlich echten bzw. vermeintlich begründeten Zahlungsauftrag an die Bank wendet. Für diese Konstellation wäre insoweit ein Betrug in mittelbarer Täterschaft gem. §§ 263 Abs. 1, 25 Abs. 1 Alt. 2 StGB gegenüber und zulasten der Bank in Betracht zu ziehen. Den Tätern kann dabei das Verhalten des Unternehmensmitarbeiters gem. § 25 Abs. 1 Alt. 2 StGB z.B. kraft überlegenen Wissens zugerechnet werden, da dieser den objektiven Tatbestand der Betrugsstrafbarkeit erfüllt, jedoch vorsatzlos handelt.[62] Denn: In dem Überweisungsantrag an die Bank durch den Mitarbeiter des Unternehmens liegt unter Umständen eine unzutreffende Erklärung über die Autorisierung der Überweisung. Davon hat der Mitarbeiter jedoch keine Kenntnis. Die Bank unterliegt jedoch einer Fehlvorstellung über die Überweisungsautorisierung und damit über einen potentiell auftretenden Rückerstattungsanspruch nach § 675u Satz 2 BGB. Indem die Bank die Überweisung aus eigenem Vermögen bewirkt (s.o.), kommt es zu einer Vermögensverfügung.[63] Da auch hier ggf. anzunehmende Schadensersatzansprüche der Bank gegen das Unternehmen (s.o.) den Vermögensabfluss nicht kompensieren können und kein Rückerstattungsanspruch gegenüber dem Unternehmen besteht, ist es wohl vertretbar, zunächst (auch)[64] bei der Bank einen strafrechtlich relevanten Vermögensschaden anzunehmen, wenn es sich um einen nicht autorisierten Zahlungsauftrag handelt.[65]

Vorsatz der Täter

Soweit problemlos ist der Vorsatz der Täter zu beurteilen. Bei der Konstellation der mittelbaren Täterschaft gilt es allerdings festzustellen, dass es die Täter bewusst billigend in Kauf genommen haben müssen, durch die Nutzung eines unwahrheitsgemäßen Zahlungsauftrages unter Umständen auf Grundlage des Rückerstattungsanspruches nach § 675u Satz 2 BGB die Bank im Ergebnis den Schaden tragen zu lassen. Zumal dürften die Täter gerade erwarten, dass die Bank mit Kenntnis von dem vermeintlich wahrheitsgemäßen Zahlungsauftrag eine selbstschädigende Vermögensverfügung vornimmt, sodass auch hier der Vorsatz in der Regel anzunehmen sein wird. Die Vermögensminderung auf der einen Seite fließt den Tätern dann auf der anderen Seite als Vermögensmehrung zu. Insoweit ist die Vermögensminderung die Kehrseite des erstrebten Vermögensvorteils, sodass ein stoffgleicher Vermögensvorteil anzunehmen ist.[66] Von der Rechtswidrigkeit der Bereicherung ist auszugehen.

Zusammenfassung

Es wurde gezeigt, dass der Tatbestand des Betrugs in der Regel erfüllt sein wird. Die Betrugsstrafbarkeit in mittelbarer Täterschaft zulasten der Bank dürfte jedoch in kaum minder weniger Fällen einschlägig sein. Grund hierfür ist, dass die Rechtsprechung an das Kriterium der unautorisierten Zahlungsanweisung relativ geringe Anforderungen stellt.[67] Jedoch können sich Banken aufgrund der Disponibilität der zahlungsdiensterechtlichen Haftungsregeln im unternehmerischen Geschäftsverkehr schützen,[68] sodass es unter Umständen nicht zu einer Rückerstattungspflicht nach § 675u Satz 2 BGB und damit auch nicht zu einem Schaden kommen muss. Zudem dürfte eine Reihe von Regelbeispielen verwirklicht werden. So verschaffen sich die Täter in der Regel durch wiederholte Tatbegehungen eine fortlaufende Einnahmequelle,[69] sodass von einer gewerbsmäßigen Begehung nach § 263 Abs. 3 Satz 2 Nr. 1 Alt. 1 StGB auszugehen ist. Auch eine bandenmäßige Begehung nach § 263 Abs. 3 Satz 2 Nr. 1 Alt. 2 StGB steht bei einem Zusammenschluss von drei oder mehr Personen im Raum. Zudem dürfte in der Regel aufgrund einer Übersteigung der Schadenshöhe von 50.000 EUR[70] § 263 Abs. 3 Satz 2 Nr. 2 Alt. 1 StGB anzunehmen sein. Ob das Regelbeispiel des Herbeiführens einer Gefahr des Verlustes von Vermögenswerten einer großen Zahl von Menschen einschlägig sein könnte, scheint fraglich. Zwar sind die hier geschädigten juristischen Personen keine Menschen, sodass wohl die Wortlautschranke eine derartige Auslegung verbietet,[71] jedoch könnte eine mittelbare Betroffenheit dann angenommen werden, wenn z.B. einer Aktiengesellschaft durch den Betrug ein erheblicher Vermögensschaden entsteht und damit einhergehend auch der Wert der Aktien berührt wird.[72] Die Aktionäre hätten dann die Verluste anteilig als Schaden zu tragen. Auch die Qualifikation des § 263 Abs. 5 StGB gilt es zu beachten.

Strafbarkeit eines gescheiterten CEO Frauds als versuchter Betrug

Für den Fall, dass der Mitarbeiter trotz Einwirkung der Täter keine Überweisung vornimmt, stellt sich die Frage nach der Strafbarkeit wegen Versuchs. Für die Annahme des Versuchs genügt es, wenn der Täter ein Merkmal des gesetzlichen Tatbestandes verwirklicht oder hierzu unmittelbar ansetzt. Ist ein mehraktiges Handlungsgeschehen zu beurteilen, so ist erst jene Täuschungshandlung versuchsbegründend, die den Mitarbeiter unmittelbar zur irrtumsbedingten Vermögensverfügung veranlassen soll.[73] Damit ist die Anbahnung bis einschließlich Phase 3 nicht versuchsbegründend, sondern stellt eine straflose Vorbereitungshandlung dar. Selbst die detaillierte Darstellung des weiteren Vorgehens und ggf. das Anfügen von den vermeintlichen Zahlungsaufträgen stellen mitunter noch keinen Versuchsbeginn dar, wenn die Bankverbindungsdaten noch nicht mitgeteilt wurden. Erst mit Mitteilung der Bankdaten kann die Täuschung unmittelbar in eine Vermögensverfügung umschlagen. Zudem hat es Täter ab diesem Punkt nicht mehr ausschließlich selbst in der Hand, ob es zu einer Verfügung kommt, selbst wenn er sich als falscher CEO offenbaren würde.

CEO Fraud – Strafbarkeit wegen Urkundenfälschung nach § 267 StGB

Auch hier gilt es zunächst die Anwendbarkeit des deutschen Strafrechts zu klären, wenn die Täter die E-Mail im Ausland erstellen und von dort absenden. Dazu bedarf es der Einordnung der Urkundenfälschung in die Systematik verschiedener Deliktstypen. Es handelt sich bei der Urkundenfälschung um ein schlichtes Tätigkeitsdelikt, da mit der Vornahme der gesetzlich pönalisierten Handlung des Herstellens (§ 267 Abs. 1 Var. 1 StGB) oder des Gebrauchens (§ 267 Abs. 1 Var. 3 StGB) bereits das Unrecht verwirklicht wird und kein von der Handlung abgrenzbarer kausal verursachter Erfolg tatbestandlich erfüllt sein muss.[74] Zudem ist es für die Annahme der Strafbarkeit nicht erforderlich, dass das geschützte Schutzgut (Sicherheit und Zuverlässigkeit des Rechtsverkehrs)[75] tatsächlich verletzt wird. Es ist insoweit von einem Gefährdungsdelikt auszugehen. Beim Herstellen ist die für das Schutzgut gesetzte Gefahr abstrakt.[76] Bei dem Gebrauchen einer Urkunde geht Wittig[77] von einer konkreten Gefahr aus, da die Urkunde dem Rechtskreis in einer Art und Weise zugänglich gemacht wird, dass die Möglichkeit der Kenntnisnahme besteht. Für diese Sichtweise sprechen sicherlich einige Anhaltspunkte: Da die – zwar tatbestandlich nicht erforderliche – Verletzung des Schutzgutes möglich oder gar wahrscheinlich ist, konkretisiert sich die Gefahr bereits mit der Vornahme der Handlung, zumal das Ausbleiben einer tatsächlichen Verletzung (durch Kenntnisnahme) lediglich vom Zufall abhängt und nicht mehr im Einflussbereich des Täters liegt.[78] Auch ergibt ein Vergleich zwischen den beiden Tatbestandsvarianten, dass sich in dem Gebrauchen einer gefälschten Urkunde ein weitaus höherer Grad an Gefahr für das geschützte Rechtsgut realisiert, als wenn eine Urkunde lediglich hergestellt wird. Dennoch vermag die Ansicht nicht zu überzeugen, da es bei dem Gebrauchen gerade nicht darauf ankommt, dass eine wirkliche Gefahr für das Rechtsgut eintritt,[79] zumal der Tatbestand des § 267 Abs. 1 StGB das Merkmal der Gefahr oder der Gefährdung nicht ausdrücklich erwähnt, was untypisch für konkrete Gefährdungsdelikte wäre.[80]

Anwendung auf das Territorialitätsprinzip

Diese systematischen Vorkenntnisse gilt es nun anzuwenden: Es wurde bereits aufgezeigt, dass sich die Anwendbarkeit des deutschen Strafrechts im internationalen Kontext nach dem Territorialitätsprinzip richtet (s.o.). Da es sich bei den Urkundendelikten – im Gegensatz zum Betrug – wie gezeigt nicht um Erfolgsdelikte handelt, kann der Ansatz des Erfolgsorts zur Begründung der Jurisdiktion nach § 9 Abs. 1 Var. 3 StGB nicht unmittelbar die Anwendung deutschen Strafrechts begründen. Auch wenn sich konkrete Gefährdungsdelikte nach herrschender Meinung in ihrer rechtlichen Behandlung den Erfolgsdelikten zuordnen lassen,[81] ist nach der hier vertretenen Auffassung weder das Herstellen noch das Gebrauchen ein konkretes Gefährdungsdelikt, sodass sich die Frage nach der Behandlung der abstrakten Gefährdungsdelikte iRd § 9 Abs. 1 Var. 3 StGB stellt. Grundsätzlich müsste unter strenger Beachtung des Ubiquitätsprinzips zur Bestimmung der einschlägigen Jurisdiktion dann lediglich der Handlungsort ausschlaggebend sein.[82]

Anknüpfung an den Handlungsort

Nach traditionellem Verständnis begründet die körperliche Anwesenheit des Täters den Handlungsort im Sinne des § 9 Abs. 1 Var. 1 StGB. Bei Handlungen unter der Zuhilfenahme von Fernkommunikationsmedien und dem Internet wird jedoch deutlich, dass dem Ort der tatsächlichen physischen Anwesenheit eine gewisse Beliebigkeit zukommt. Nach Auffassung von Cornils und Eser handelt es sich bei zielgerichteten internetbasierten Handlungen um ein handlungsrelevantes Tatortselement,[83] weshalb es eine (fingierte) virtuelle Anwesenheit dort geben soll, wo die Daten abgerufen werden können.[84] Dem Zugangsserver kommt dabei eine zentrale Stellung zu, da der Täter seine Daten dort „ablegt“ und sein Handeln erst mit dem „Ablegen“ endet. Der Handlungsbegriff wird insoweit in Anlehnung an die analoge Welt – ähnlich dem persönlichen Zustellen eines Briefes – bestimmt und ausgeweitet. Es lassen sich unter Anwendung dieses Gedankens zwei Handlungsorte lokalisieren. Einerseits der Ort der physischen Anwesenheit, andererseits der mit diesem Ort über das Internet verbundene Server. Dieser Ansatz wurde speziell für im Internet begangene Äußerungsdelikte konzipiert, lässt sich aber auf den Mailtransfer wie folgt übertragen: Mit dem Versenden einer E-Mail transportiert der Client (Mail-Programm wie Outlook, Thunderbird, etc.) diese per simple mail transfer protocol (SMTP) zu dem SMTP-Server. Dieser übermittelt dann die Mail an den Mailserver des Empfängers, den sog. POP3- oder IMAP-Server. Der Client des Empfängers übernimmt dann je nach ausgewähltem Protokoll entweder das Abholen der Mail und die lokale Speicherung auf dem PC (POP3) oder dient, gleich einem Fernbedienungswerkzeug, der Bearbeitung und Betrachtung der auf dem Sever gespeicherten Mail (IMAP).[85] Eser möchte die Handlung der Täter über den gesamten Zustellungsprozess erstrecken,[86] demnach den Handlungsort wohl bei den POP3- oder IMAP-Servern sehen. Nach der hier vertretenen Ansicht kann sich die Handlung des Täters jedoch bis zu maximal dem Ort erstrecken, an dem die Mail zum ersten Mal zwischengespeichert bzw. abgelegt wird (SMTP-Server), weil lediglich bis dahin der vom Täter verwendete Client arbeitet. Dort wird die Mail „übergeben“. Gleich dem Aufgeben eines Briefes in die Post, sind die folgenden „Handlungen“ dann nicht mehr dem Versender, sondern einem Intermediär zuzuordnen, da es insoweit an Kontrolle und Einflussmöglichkeiten fehlt. Ungeachtet dessen, welcher Ansatz am Ende überzeugt, sind die Standorte der Server vom E-Mail-Provider abhängig und teils sogar unklar.[87] Verlässliche Aussagen über die einschlägige Jurisdiktion lassen sich auf Basis dieses Ansatzes nicht treffen. Ungeachtet dessen, ob der Ansatz grundsätzlich strafrechtlich überzeugen kann,[88] lässt sich somit jedenfalls nicht die Anwendbarkeit deutschen Rechts sicher bestimmen.

Anknüpfung an den Erfolgsort

Es werden trotz fehlendem Erfolg bei abstrakten Gefährdungsdelikten verschiedene Versuche unternommen, die Anwendung von deutschem Strafrecht auf den Erfolgsort zu gründen. Der BGH hat zunächst in seiner Entscheidung zum „Verbreiten der Auschwitz-Lüge im Internet“ bewusst offengelassen, ob auch bei abstrakten Gefährdungsdelikten ein Erfolgsort angenommen werden kann, wenn sich die Gefahr realisiert.[89] Der vom BGH gewählte Ansatz, die abstrakten Gefährdungsdelikte nochmals in abstrakt-konkrete Gefährdungsdelikte zu untergliedern, wenn die konkrete Tat ihre Gefährlichkeit im Hinblick auf das im Tatbestand umschriebene Rechtsgut entfalten kann,[90] vermag nicht auf die Urkundendelikte übertragen werden. Da der Schutzbereich nicht auf die BRD beschränkt ist[91] und damit auch der ausländische Rechtsverkehr als grundsätzlich schützenswert angesehen wird, fehlt gerade ein spezifischer Inlandsbezug tatbestandsmäßig. Jedoch könnte unter Umständen ein tatortsbegründender Inlandsbezug aus dem Umstand konstruiert werden, dass die Täter die Mail gezielt an eine Person im Inland übermittelt haben und sich die tatbestandliche Handlung im Inland realisiert (sog. Tathandlungserfolg).[92] Auch auf subjektiver Ebene könnte im Zuge einer teleologischen Reduktion des Tatbestandes des § 9 Abs. 1 Var. 3 StGB ein Anknüpfungspunkt gesehen werden, wenn es dem finalen Interesse des Täters entsprochen haben dürfte, Daten im Inland zugänglich zu machen.[93] Die Begründungsansätze zeigen bereits, dass der erforderliche Inlandsbezug – wenn überhaupt – wohl nur bei der Tatbestandsvariante des Gebrauchens konstruiert werden kann. Das bloße Herstellen von unechten Urkunden im Ausland ist damit nicht strafrechtlich vom deutschen Recht erfasst. Aber auch die Begründungsansätze, die den Erfolgsort mit einem Tathandlungserfolg gleichsetzen bzw. an subjektiven Kriterien messen wollen, vermögen nicht zu überzeugen. Es zählt gerade nicht auch jener Ort zum Tatort, an dem die zunächst abstrakte Gefahr in eine (tatbestandlich irrelevante) konkrete Gefahr umschlagen kann, da die Gefahr kein Tatbestandsmerkmal, sondern das gesetzgeberische Motiv ist.[94] Insoweit widerspricht es dem Wortlaut des § 9 Abs. 1 Var. 3 StGB, wenn das bloße gesetzgeberische Motiv anstatt des tatbestandsmäßigen Erfolgs die Anwendbarkeit begründen soll. Zudem soll gerade das Ubiquitätsprinzip eine faktisch universelle Geltung deutschen Strafrechts (Allzuständigkeit) verhindern, um völkerrechtlichen Bedenken zu begegnen.[95] Nach der hier vertretenen Auffassung ist deshalb – auch unter der systematischen Erwägung zu § 5 Nr. 10 StGB – nicht von der Anwendbarkeit deutschen Strafrechts auszugehen, wenn die Täter aus dem Ausland Mails nach Deutschland schicken.[96] Für die folgenden Ausführungen soll deshalb unterstellt werden, dass die Täter die Mails aus Deutschland heraus versendet haben.

Keine Urkundenfälschung bei Verwendung digitaler Dokumente

Tatbestandlich erforderlich ist es, dass es sich bei den E-Mails im Namen des CEO bzw. bei den angehängten vermeintlichen Zahlungsaufträgen um verkörperte Gedankenerklärungen handelt, die zum Beweis im Rechtsverkehr geeignet und bestimmt sind sowie ihren Aussteller erkennen lassen.[97] Eine reine E-Mail ist jedoch stofflich nicht fixiert, es fehlt gerade an der Körperlichkeit der Erklärung, denn der Text der Mail ist lediglich als Code bzw. in Datenform gespeichert und wird nur durch elektronische Datenverarbeitung in Schriftzeichen umgesetzt und damit visuell wahrnehmbar.[98] Zwar lässt sich eine Mail ausdrucken, jedoch handelt es sich dann nicht um eine Primärverkörperung der Erklärung, sondern um eine bloße Kopie visualisierter digitaler Daten, sodass es an der Körperlichkeit fehlt solange der Ausdruck nicht automatisch oder auf Veranlassung des Erklärenden erfolgt.[99] Gleiches gilt für den Anhang einer Mail, wie beispielsweise vermeintliche Zahlungsaufträge.[100] Lediglich wenn die Erklärung per Fax gesendet werden sollte, lässt sich eine Urkunde annehmen, da dort ein Ausdruck in der Regel automatisch erfolgt.[101] Das Versenden der vermeintlichen Zahlungsaufträge könnte jedoch als ein strafbares Gebrauchen von zuvor hergestellten unechten Urkunden gesehen werden. Eine Urkunde ist dann unecht, wenn der scheinbare Aussteller nicht personenidentisch mit dem tatsächlichen Hersteller ist.[102] Bei Zahlungsaufträgen wird dies der Fall sein, so sind diese beispielsweise vermeintlich im Namen des CEOs gefasst, stammen angeblich von der BaFin, von anderen Behörden oder von anderen Unternehmen. Diese Aufträge stellen jedoch nur Kopien dar. Zwar kann auch die Verwendung der Fotokopie einer unechten Originalurkunde unter den Tatbestand fallen, wenn die Kopie als solche erscheinen soll.[103] In der Praxis dürften die Täter jedoch die Zahlungsaufträge in der Regel am Computer unter Verwendung von Bildbearbeitungsprogrammen erstellen, sodass die Dokumente lediglich in digitaler Form vorliegen.[104] Dann mangelt es jedoch an der Körperlichkeit, sodass auch die angehängten Dateien nicht als Urkunden einzustufen sind.

CEO Fraud – Strafbarkeit wegen Fälschung beweiserheblicher Daten nach § 269 StGB

Indem § 269 StGB an die Urkundenfälschung tatbestandlich angelehnt worden ist und ebenso abstrakt die Zuverlässigkeit des Rechts- und Beweisverkehres schützen soll,[105] kann insoweit auf die obigen Ausführungen zur Urkundenfälschung verwiesen werden. Nach der hier vertretenen Auffassung kommt eine Strafbarkeit nach § 269 StGB somit nur dann in Betracht, wenn die Täter aus dem Inland heraus agieren.

Fälschung von Informationen durch Gebrauch manipulierter E-Mail-Adressen

Es wurde bei der Vorgehensweise beim CEO Fraud in Phase 3 dargestellt, dass die Täter ähnliche Mailadressen wie die des CEO verwenden, um die Illusion eines ordnungsgemäßen Geschäftsvorgangs zu erzeugen und später diese Adresse in Phase 4 für die Übermittlung der Zahlungsaufträge nutzen. Bereits in der Verwendung dieser E-Mail-Adressen kann unter Umständen eine nach § 269 Abs. 1 Alt. 2 StGB strafbare Handlung gesehen werden.

Bei den absenderbezogenen Informationen, die sich in der Mailadresse[106] widerspiegeln, handelt es sich mittels Datenverarbeitungsvorgang um wahrnehmbare Informationen, mithin um Daten. Diese Daten müssen darüber hinaus geeignet und bestimmt sein, als Beweis für rechtlich relevante Handlungen zu dienen.[107] Insbesondere bei unternehmensinterner Korrespondenz ist es im Einzelfall bedeutsam, von welcher Person eine Mail stammt, da (arbeits-)vertragliche Pflichten bestehen und tangiert werden sowie ggf. Transaktionen autorisiert werden können. Anders würde sich die Lage nur darstellen, wenn der E-Mail-Account nicht zur Benutzung im Rechtsverkehr bestimmt ist, d.h. nur für den privaten Gebrauch mit eingeweihten Dritten verwendet werden soll. Zudem wird teilweise angemerkt, dass die Manipulationsanfälligkeit von E-Mails besonders hoch ist und deshalb grundsätzlich eine Beweiseignung in Frage gestellt werden müsste.[108] So kann jedoch in Anlehnung an die freie richterliche Beweiswürdigung im Zivilprozess im Sinne des § 286 ZPO erkannt werden, dass E-Mails als Beweismittel nicht grundsätzlich unzulässig sind. Dies kann wiederum als Indiz gesehen werden, dass die Beweiseignung nicht grundsätzlich anzuzweifeln ist. [109] Es handelt sich somit bei E-Mails um beweiserhebliche Daten, die mit der Einrichtung der Mailadresse auf einem Server gespeichert werden.

Diese Daten sind zudem in einer Gesamtschau mit einer unechten Urkunde vergleichbar, da mit der Verwendung der Adresse eine Aussage gegenüber dem Rechtsverkehr getroffen wird, dass es sich bei dem Account-Inhaber um den CEO handelt. Die Adresse wird unter Einbeziehung des jeweiligen Mailinhaltes Bestandteil einer Gedankenerklärung, soweit es sich um rechtlich relevante Erklärungen handelt.[110] Somit handelt es sich um eine hypothetische Urkunde, d.h. um eine Gedankenerklärung, die dazu geeignet und bestimmt ist, im Rechtsverkehr einen Beweis zu erbringen und den Aussteller erkennen lässt. Da der Name des CEO als Alias (auch in Verbindung mit dem Unternehmen in der Mailadresse) als entscheidendes Identifizierungsmerkmal beim Empfänger erscheint, jedoch der Täter der wahre Aussteller ist, ist die Urkunde zudem unecht, sodass der objektive Tatbestand gem. § 269 Abs. 1 Alt. 2 StGB allein bei der Verwendung falscher Mailadressen regelmäßig erfüllt sein dürfte.

Erstellen sowie Versenden von gefälschten E-Mails und Dokumenten

Unter Anwendung der bereits aufgezeigten Grundsätze gilt es nun zu zeigen, dass auch die geschriebenen Mails und die angehängten vermeintlichen Zahlungsaufträge ebenfalls dem Tatbestand des § 269 StGB unterfallen. Jedenfalls sind Mails und digital erstellte Zahlungsaufträge Daten.[111] Zu klären ist, ob es sich dabei ebenfalls um eine hypothetische Urkunde handelt. In der (ersten) Mail an den Mitarbeiter ist bereits eine Gedankenerklärung des Absenders hinsichtlich einer unmittelbar bevorstehenden finanziellen Angelegenheit zu sehen, die äußerst wichtig sei und höchste Diskretion verlange. Die mit der Mail vermittelten Daten sind dazu bestimmt und geeignet, als rechtlich relevante Tatsache benutzt zu werden und somit einen Beweis zu erbringen. Als Aussteller der Mail ist der CEO genannt, sowohl als Alias sowie in der Mailadresse als auch in der Mail selbst. Wären die Daten verkörpert, läge daher eine Urkunde vor. Auch an dieser Stelle sind scheinbarer und tatsächlicher Aussteller nicht identisch, sodass die hypothetische Urkunde unecht ist.[112] Gleiches lässt sich für die vermeintlichen Zahlungsaufträge bestimmen. Diese werden nicht notwendigerweise im Namen des CEO erstellt, sondern z.B. im Namen der BaFin oder eines anderen Unternehmens (s.o.). Auch hier stimmen tatsächlicher und scheinbarer Aussteller nicht überein, sodass eine unechte hypothetische Urkunde vorliegt. Insoweit ein Verwendungswille besteht, ist bereits im Prozess des Erstellens eines solchen vermeintlichen Zahlungsauftrages der objektive Tatbestand des § 269 Abs. 1 Alt. 1 StGB erfüllt.

Zusätzlich zum Vorsatz müssen die Täter zur Täuschung im Rechtsverkehr handeln, d.h. mit sicherem Wissen eine andere Person aufgrund eines Irrtums zu rechtserheblichen Verhalten veranlassen.[113]

Besonders schwerer Fall der Fälschung beweiserheblicher Daten

269 Abs. 3 StGB verweist auf § 267 Abs. 3 und Abs. 4 StGB und normiert Regelbeispiele bei der Begehung der Fälschung beweiserheblicher Daten. Da in der Regel die Fälschung der beweiserheblichen Daten dazu dienen soll, durch andere Delikte, insbesondere durch Betrug (s.o.), Gewinne zu erzielen, um eine Einnahmequelle von einiger Dauer und Umfang zu generieren, ist in der Regel von einer gewerbsmäßigen Begehung im Sinne des § 267 Abs. 3 Nr. 1 Alt. 1 StGB auszugehen. Auch eine bandenmäßige Begehung nach § 267 Abs. 3 Nr. 1 Alt. 1 StGB kann bei der Begehung der Tat von mehr als 3 Personen angenommen werden. Zudem dürfte aufgrund einer Übersteigung der Schadenshöhe von 50.000 EUR (wie beim Betrug) das Regelbeispiel des Vermögensverlustes großen Ausmaßes einschlägig sein, insoweit der Verlust den Tätern durch die Fälschung der Daten zugerechnet werden kann. Ob durch die Tat auch eine große Zahl von unechten (hypothetischen) Urkunden die Sicherheit des Rechtsverkehrs erheblich gefährdet, hängt vom Einzelfall ab. Da es jedoch häufig zu einem regelmäßigen Austausch zwischen dem Mitarbeiter und den Tätern gibt, kann unter Umständen auch das Regelbeispiel nach § 267 Abs. 3 Nr. 3 StGB einschlägig sein. Während Fischer[114] die große Zahl bei 20 erreicht sieht, hält der BGH[115] 25 für erforderlich. Auf die dazu zwingend kumulativ erforderliche erhebliche Gefahr darf nicht automatisch aufgrund der großen Anzahl geschlossen werden.[116] Auch die Qualifikation des § 267 Abs. 4 StGB gilt es zu beachten.

Eine Strafbarkeit nach § 269 Abs. 1, 3 StGB iVm § 267 Abs. 3, 4 StGB ist mit Ausnahme des § 267 Abs. 3 Nr. 2 StGB auch dann anzunehmen, wenn der Mitarbeiter am Ende keine Überweisung vornimmt, d.h. der Betrug aus Sicht der Täter gescheitert ist, da die Vermögensschädigung tatbestandlich nicht erforderlich ist.

Sonstige Straftatbestände

Zudem sollen hier kurz weitere mögliche Strafbarkeiten dargestellt werden, die je nach Fallkonstellation einschlägig sein können. So kommt eine Nötigung zu Lasten des Unternehmensmitarbeiters nach § 240 Abs. 1 StGB in der Tatbestandsalternative der Drohung mit einem empfindlichen Übel in Betracht, wenn diesem gegenüber Konsequenzen für das Unternehmen oder die berufliche Perspektive im Falle einer unzureichenden Kooperation in Aussicht gestellt werden. Unternimmt der Mitarbeiter folglich die Überweisungsanweisung, um das Übel abzuwenden, dann kommt es zu einem rechtswidrigen und kausalem Nötigungserfolg. Zudem steht eine Strafbarkeit gem. § 42 Abs. 2 Nr. 1 BDSG im Raum. Hierdurch sanktioniert werden soll die unbefugte Verarbeitung von personenbezogenen Daten, die nicht allgemein zugänglich sind. So handelt es sich zunächst bei der E-Mail-Adresse des CEO um ein Datum, welches sich auf eine identifizierte oder identifizierbare natürliche Person bezieht und damit um ein personenbezogenes Datum.[117] Ob diese Mail-Adresse öffentlich zugänglich ist, hängt vom Einzelfall ab. In der Regel dürften sich die Adressen über die Unternehmenswebsites oder speziellen Suchmaschinen wie Hunter[118] finden lassen, sodass eine Strafbarkeit wohl in den meisten Fällen ausscheidet.[119] Zudem ist die Strafbarkeit nach § 106 Abs. 1 UrhG in den Konstellationen zu beachten, in denen Mails oder offiziell anmutende Schreiben mit typischen Designs und Stilen von Banken, Geschäftspartnern oder Behörden nachgeahmt werden. Dafür müssten die Mails bzw. die Rechnungen oder Schreiben ein Werk im Sinne des § 2 UrhG darstellen. Jedoch dürfte hier zu erkennen sein, dass z.B. das Verwenden eines Logos nicht als Werk im Sinne des § 2 Abs. 1 Nr. 4 UrhG zu qualifizieren ist, da ein hinreichendes Maß an schöpferischer Eigentümlichkeit, Originalität und Individualität in der Regel nicht erreicht sein wird.[120] Auch hier ist im Einzelfall zu prüfen, ob einzelne Elemente der Mails oder eines versendeten Schreibens dem Werkbegriff des § 2 UrhG unterfallen, jedenfalls wäre im Falle eines tauglichen Tatobjektes die Tatbestandsvariante der Vervielfältigung bei der Speicherung auf der Festplatte oder auch einem internetzugänglichen Server eines Providers in der Regel anzunehmen.[121] Jedoch könnte durch die Nachahmung des Designs bei Mails oder anderweitigen Schreiben eine strafbare Kennzeichenverletzung nach § 143 Abs. 1 Nr. 1, 4 iVm § 14 Abs. 2 Nr. 1-3 sowie § 15 Abs. 2 MarkenG anzunehmen sein. Dafür müsste es sich bei den verwendeten Designs oder Logos um eine geschützte Marke im Sinne des MarkenG handeln. Eine Marke ist ein Zeichen, welches geeignet ist, Waren oder Dienstleistungen eines Unternehmens von denen anderer Unternehmen zu unterscheiden, vgl. § 3 Abs. 1 MarkenG – mithin Logos oder unternehmensindividuelle Designs. Nach §§ 5, 15 MarkenG ist bereits der Name eines Unternehmens als geschäftliche Bezeichnung geschützt, sodass es einer Eintragung ins Markenregister nach § 4 Nr. 1 MarkenG nicht bedarf.[122] Die Marken oder das geschäftliche Zeichen müssten zudem im geschäftlichen Verkehr genutzt werden, d.h. im Zusammenhang mit einer auf einen wirtschaftlichen Vorteil gerichteten kommerziellen Tätigkeit und nicht lediglich im privaten Bereich.[123] In der Regel wird sich das Tatbestandsmerkmal in den typischen Konstellation des CEO Frauds bejahen lassen – es bedarf hier jedoch jeweils einer Einzelfallbetrachtung sowie der Feststellung einer widerrechtlichen Nutzung, sodass im Ergebnis eine Strafbarkeit nach § 143 Abs. 1 Nr. 1, 4 MarkenG wohl einschlägig sein wird. Zudem ist die Qualifikation des § 143 Abs. 2 MarkenG zu beachten.

Schlussbetrachtung

Es wurde gezeigt, dass bei einem CEO Fraud die Betrugsstrafbarkeit und die Strafbarkeit wegen Fälschung beweiserheblicher Daten den Schwerpunkt der strafrechtlichen Würdigung ausmachen. Je nach individueller Fallgestaltung können auch weitere Strafbarkeiten insbesondere aus dem Nebenstrafrecht in Betracht kommen. Eine pauschalisierende Aussage über alle potentiell einschlägigen Strafbarkeitsvorschriften lässt sich in Anbetracht der Vielzahl an verschiedenen möglichen Begehungsweisen kaum treffen. Zudem scheint nach wie vor ungeklärt, inwieweit das deutsche Strafrecht Geltung in grenzüberschreitenden Konstellationen beanspruchen kann. Nach der hier vertretenen Ansicht ist unter dogmatischen Gesichtspunkten bei aus dem Ausland begangenen abstrakten Gefährdungsdelikten die Anwendbarkeit deutschen Strafrechts problematisch.

Fußnoten

[1] Siehe beispielhafte Darstellung bei Thurau, S. 3.

[2] Bundesamt für Sicherheit in der Informationstechnik, S. 33.

[3] So beispielsweise Zahrte, BKR 2019, 126.

[4] Vgl. dazu CR 2017, 410.

[5] Zu den Parallelen zum Enkeltrick: Dörsam, S. 4f.

[6] Buss, CR 2017, 410.

[7] Warnhinweise des Bundeskriminalamts zum CEO Fraud, Seite 2.

[8] Buss, CR 2017, 410.

[9] Aufderheide/Fischer, CCZ 2017, 138 (138).

[10] Das Darknet umfasst einen abgeschotteten Bereich des Internets, welcher nur mit spezieller Software zugänglich ist. Unter anderem lassen sich im Darknet anonymisiert illegale Waren, Dienstleistungen und Informationen beschaffen, vgl. Krause, NJW 2018, 678 (678); Marcum, S. 134.

[11] Buss, CR 2017, 410.

[12] Aufderheide/Fischer, CCZ 2017, 138 (138).

[13] Zu den wesentlichen Elementen eines CEO Frauds: Dörsam, S. 4f.

[14] Aufderheide/Fischer, CCZ 2017, 138 (138).

[15] Buss, CR 2017, 410 (411).

[16] Zahrte, BKR 2019, 126 (127).

[17] Zum Beispiel anstatt vorname-nachname@firma.de lautet die Mailadresse vorname-nachname@firma.com.de; vgl. Buss, CR 2017, 410 (411).

[18] Anzeigename. In gängigen Mailprogrammen erscheint im Posteingang nur der Alias und nicht die eigentliche Mailadresse, sodass die Mail authentisch erscheint, vgl. Buss, CR 2017, 410 (411).

[19] Lantwin, MMR 2020, 78 (79).

[20] Stosz, zuletzt abgerufen: 07.11.2020.

[21] Grossenbacher/Zehr, zuletzt abgerufen: 07.11.2020.

[22] Buss, CR 2017, 410 (411); Aufderheide/Fischer, CCZ 2017, 138 (139); Nagel/Votsmeier, Handelsblatt vom 15.06.2019.

[23] Aufderheide/Fischer, CCZ 2017, 138 (139).

[24] Aufderheide/Fischer, CCZ 2017, 138 (139).

[25] Raue/Roegele, ZRP 2019, 196 (196).

[26] Buss, CR 2017, 410 (411); weitere Zahlungsvorgänge erhöhen jedoch das Aufdeckungsrisiko und die Rückverfolgungswahrscheinlichkeit, vgl. Aufderheide/Fischer, CCZ 2017, 138 (139).

[27] Vgl. CR 2017, 410 (410).

[28] So bei den beschriebenen von Nagel/Votsmeier, Handelsblatt vom 15.06.2019; Buss, CR 2017, 410 (411).

[29] Kudlich/Berberich, NStZ 2019, 633 (633); Sieber, NJW 1999, 1665 (1666).

[30] So bei Erfolgsdelikten sowie konkreten Gefährdungsdelikten, vgl. Sieber, NJW 1999, 1665 (1666).

[31] Weißer, in: S/S-StGB (27. Auflage) § 7 Rn. 6; Tröndle/Fischer, (52. Auflage) § 7 Rn. 4.

[32] Ausführlich und teils kritisch dazu Ensenbach, wista 2011, 4 (8f.) hier wird lediglich ein Verstoß gegen den Telos gesehen; auch Walter, JuS 2006, 967 (968); Fischer, § 7 Rn. 4; Basak, in: M/R-StGB, § 7 Rn. 11.

[33] Knittel, JURA 1989, 581 (582).

[34] Pflicht der StA Sachverhalt zu erforschen und bei zureichenden Anhaltspunkten für das Vorliegen einer Straftat Anklage zu erheben, vgl. Schulenburg, JuS 2004, 765 (765).

[35] Mitsch, JuS 2015, 884 (886).

[36] Schroeder, JuS 1997, 227 (227).

[37] Kment, in: Jarass/Pieroth-GG Art. 103 Rn. 102; Sodan, in: Sodan-GG Art. 103 Rn. 27; zur menschenrechtlichen Anerkennung des Grundsatzes, Schroeder, JuS 1997, 227 (230).

[38] Mitsch, JuS 2015, 884 (886).

[39] Umstand der Gegenwart oder Vergangenheit, die dem Beweis zugänglich ist, vgl. Quelle

[40] Duttge, in: NK-StGB § 263 Rn. 8; Saliger, in: M/R-StGB § 263 Rn. 11.

[41] BGHSt 47, 83 (88); BGHSt 57, 95 (113); Perron, in: S/S-StGB § 263 Rn. 40; Saliger, in: M/R-StGB § 263 Rn. 92ff.; Idler, JuS 2004, 1037 (1038f.).

[42] Zum Begriff der Vermögensverfügung: Rengier, § 13 Rn. 63.

[43] Zahrte, BKR 2019, 126 (127).

[44] Saliger, in: M/R-StGB § 263 Rn. 138; Samson, JA 1978, 564 (566).

[45] Der Dritte ist zivilrechtlich zur Vornahme von Vermögensverfügungen grundsätzlich berechtigt, vgl. § 56 HGB.

[46] Der Dritte steht in einem faktischen Näheverhältnis; eine rechtliche Befugnis zur Vornahme von Verfügungen ist nicht erforderlich, vgl. Rengier, § 13 Rn. 100.

[47] Dafür: Küper/Zopfs, Rn. 682; dagegen: Kindhäuser, ZStW 1991, 398 (417), unter strenger Anwendung der Ermächtigungstheorie, wäre die Zurechnung wohl dann abzulehnen.

[48] So Rengier, FS, S. 825f.; Küper/Zopfs, Rn. 682.

[49] Zum Schadensbegriff: Kindhäuser, in: NK-StGB § 263 Rn. 226ff.

[50] Casper, in: MüKo-BGB § 675f Rn. 79.

[51] Da jedoch die Belastungsbuchung beim Unternehmen regelmäßig vor Eintritt des Überweisungserfolgs liegt, ist der Anspruch der Bank wohl auf einen Vorschuss nach § 669 BGB gerichtet, vgl. Casper, in: MüKo-BGB § 675f Rn. 81; bei institutinternen Überweisungen OLG Koblenz ZIP 2004, 353 (355); offengelassen BGH NJW 2005, 1771 (1772).

[52] Zahrte, BKR 2019, 126 (127).

[53] Zur zivilrechtlichen Haftungsverteilung ausführlich: Zahrte, BKR 2019, 126 (127ff.).

[54] Kritische Auseinandersetzung zu den Ansprüchen Edelmann, FCH.

[55] Raif/Swidersky, ArbRAktuell, 2018, 173 (174), zugleich Besprechung von LAG Sachsen, Urteil vom 13.06.2017 – 3 Sa 556/16.

[56] Schadensersatzansprüche sind bei der Saldierung nicht zu berücksichtigen, Fischer, § 263 Rn. 155; Hoyer, in: SK-StGB § 263 Rn. 196; Kühl/Heger, in: LK-StGB § 263 Rn. 36a; Kindhäuser/Nikolaus, JuS 2006, 293 (296).

[57] Jedoch nur, falls eine unautorisierte Überweisung bejaht wird, was häufig strittig ist.

[58] HRRS 2014 Nr. 504 Rn. 14 – BGH 3 StR 178/13, Urteil vom 20. Februar 2014

[59] BGH NJW 1994, 2357 (2359); NJW 2001, 3190 (3191).

[60] Saliger, in: M/R-StGB § 263 Rn. 200.

[61] Zahrte, vgl. Zahrte, BKR 2019, 126 (130) nimmt in diesem Fall die Konstellation des absichtslos-dolosen Werkzeuges an. Dies vermag jedoch nicht zu überzeugen, da der Mitarbeiter bereits nicht den Willen hat, die Bank zu täuschen und daher vorsatzlos handelt.

[62] Zur mittelbaren Täterschaft: Jäger, in: StKo-StGB § 25 Rn. 23ff.

[63] Auch hier kommt es zu einem Dreiecksbetrug, da nicht die Bank als Subjekt, sondern deren Mitarbeiter getäuscht werden, deren Verhalten der Bank zuzurechnen ist.

[64] Die Möglichkeit von mehreren Vermögensschäden nebeneinander durch eine Täuschung wurde bewusst offengelassen, HRRS 2014 Nr. 504 Rn. 14 – BGH 3 StR 178/13; dass bereits ein Vermögensschaden des Unternehmens angenommen wurde, steht der Annahme eines (weiteren) Schadens nicht entgegen, obwohl die Täter den Geldbetrag nur einmal erlangt haben, vgl. Jansen, ZJS 2019, 132 (140).

[65] So wohl auch Cornelius/Birner, ZJS 2018, 604 (606).

[66] Zum Erfordernis der Stoffgleichheit: BGH St 34, 379 (391); BGH NStZ 1998, 85.

[67] LG Düsseldorf, BKR 2019, 154 (155); LG Karlsruhe, BKR 2019, 151 (152); kritisch dazu: Zahrte, BKR 2019, 126 (128).

[68] So in einem Fall des LG Heilbronn BeckRS 2015, 17463.

[69] Zur Gewerbsmäßigen Begehung, Satzger, in: S/S/W-StGB § 263 Rn. 383.

[70] Lang/Eichhorn/Golombek/von Tippelskirch, NStZ 2004, 528 (530).

[71] BVerfGE 92, 1 (12).

[72] Dazu Peglau, wistra 2004, 7 (10).

[73] So Fischer, § 263 Rn. 196.

[74] Zur Unterscheidung der Deliktsarten: Rönnau, JuS 2010, 961 (961f.).

[75] BGHSt 2, 52; BGHSt 9, 45; Weidemann, in: H/H-StGB § 267 Rn. 2.

[76] Zustimmend Fischer, § 267 Rn. 1; Wittig, in: S/S/W-StGB § 267 Rn. 2.

[77] Wittig, in: S/S/W-StGB § 267 Rn. 2; nicht nach den Tatbestandsvarianten differenzierend Fischer, § 267 Rn. 1; auch Buss geht ohne weiteres von einem abstrakten Gefährdungsdelikt aus, vgl. Buss, CR 2017, 410 (413).

[78] Zu den Merkmalen eines konkreten Gefährdungsdeliktes Koriath, GA 2001, 51 (64).

[79] So jedoch: Kienle, S. 52; dass dies in den meisten Fällen bei dem Gebrauchen der Fall sein dürfte, ist jedoch bei der Beurteilung der Qualität des Tatbestandes nicht beachtlich.

[80] Vergleich insoweit z.B. §§ 306a Abs. 2, 315 Abs. 1, 319, 330 Abs. 1 Nr. 2 StGB.

[81] BGH NJW 1991, 2498; Fischer, § 9 Rn. 4; Satzger, in: S/S/W-StGB § 9 Rn. 6; Cornelius, in: Münchner Anwaltshandbuch, Teil 10 Rn. 57; Bär, in: Handbuch Wirtschaft- und Steuerstrafrecht, Kapitel 15 Rn. 207.

[82] Cornelius, in: Münchner Anwaltshandbuch, Teil 10 Rn. 57, 61.

[83] Eser, in: S/S-StGB § 9 Rn. 7a; Cornils, JZ 1999, 394 (396).

[84] Cornils, JZ 1999, 394 (396).

[85] Universität Bamberg.

[86] Eser, S/S-StGB § 9 Rn. 7b.

[87]  1&1 Ionos SE.

[88] Dazu kritisch: Fischer, §9 Rn. 6; grds. zustimmend Ambos, MüKo-StGB § 9 Rn. 29.

[89] BGH NJW 2001, 624 (627).

[90] BGH NJW 2001, 624 (627); im vorliegenden Fall war das Schutzgut auf die Bundesrepublik Deutschland konkretisiert – die Gefahr wurde somit örtlich konkretisiert.

[91] Zum Schutzbereich des § 276 StGB Heine/Schuster, in: S/S-StGB § 267 Rn. 1b.

[92] Sieber, NJW 1999, 2065 (2072).

[93] Collardin, CR 1995, 618 (621).

[94] Eser, in: S/S-StGB § 9 Rn. 6a; Böse, in: NK-StGB § 9 Rn. 12.

[95] Böse, in: NK-StGB § 9 Rn. 12.

[96] aA Buss, CR 2017, 410 (413) in seiner Darstellung zum CEO Fraud.

[97] Fischer, § 267 Rn. 2.

[98] Radtke, ZStW 2003, 26 (27).

[99] Erb, in: MüKo-StGB § 267 Rn. 89; Maier, in: M/R-StGB § 267 Rn. 52; Heine/Schuster, in: S/S-StGB § 267 Rn. 43a; Nestler, ZJS, 2010, 608 (612); Zielinski, CR 1995, 286, 292; aA Fischer, § 267 Rn. 21; Puppe/Schumann, in: NK-StGB § 267 Rn. 46.

[100] Heine/Schuster, in: S/S-StGB § 267 Rn. 43a; Buss, CR 2017, 410 (413).

[101] Erb, in: MüKo-StGB § 267 Rn. 106.

[102] Heinrich, in: Arzt/Weber/Heinrich/Hilgendorf § 31 Rn. 29.

[103] Fischer, § 267 Rn. 37; Böse, NStZ 2005, 370 (370).

[104] So argumentierend auch Buss, CR 2017, 410 (413).

[105] Fischer, § 269 Rn. 2, Weitergehend Maier, in: M/R-StGB § 269 Rn. 1.

[106] Wohl auch bei der Einrichtung der Mailadressen müssen weitere persönliche Informationen angegeben werden.

[107] Buggisch, NJW 2004, 3519 (3520).

[108] Manipulationsmöglichkeiten bestehen insbesondere bei der Vortäuschung eines Absenders, einer nachträglichen Veränderung der Nachricht, vgl. Knasmüller, S. 4.

[109] so Gercke, CR 2005, 606 (609), der mit Bezug auf ein Urteil des AG Bonn vom 25.10.2001 – 3 C 193/01 die Beweiskraft von Mails aufgrund einfacher Manipulationsmöglichkeiten in Rechtsstreitigkeiten gänzlich in Frage stellt, doch die freie richterliche Beweiswürdigung im Zivilprozess als Indiz sieht, die Beweiserheblichkeit von Mails zu bejahen.

[110] Maier, M/R-StGB § 269 Rn. 14; Buggisch, NJW 2004, 3519 (3521).

[111] Fischer, § 269 Rn. 4.

[112] So in einem ähnlichen Fall auch Buss, CR 2017, 410 (414f.).

[113] Fischer, § 269 Rn. 9 iVm § 267 Rn. 43.

[114] Fischer, § 267 Rn. 54.

[115] BGH NStZ-RR 2019, 11 (13).

[116] Maier, M/R-StGB § 267 Rn. 125.

[117] Zur Definition BrodowskiNowak, BeckOK-Datenschutzrecht (BDSG) § 42 Rn. 22.

[118] Siehe dazu https://hunter.io; zuletzt abgerufen am 10.12.2020.

[119] aA Buss, CR 2017, 410 (416).

[120] LG Köln, Besch. v. 2.5.2005, Az. 28 O 184/06.

[121] Sternberg-Lieben, in: BeckOK-Urheberrecht § 106 Rn. 24.

[122] Brandt, S. 124.

[123] Mielke, in BeckOK-Markenrecht § 14 Rn. 57.

Posted by Johannes Kloth in Cybercrime, IT-Compliance, IT-Strafrecht