CEO-Fraud und Business-E-Mail-Compromise – Unternehmensbetrug durch Täuschung

Einleitung

Der sogenannte CEO-Fraud – auch bekannt als Business-E-Mail-Compromise (BEC) – zählt zu den komplexesten und gefährlichsten Erscheinungsformen moderner Wirtschaftskriminalität.
Die Täter geben sich als Geschäftsführer, leitende Angestellte oder externe Geschäftspartner aus, um Mitarbeiter zu täuschen und zu unberechtigten Zahlungen zu veranlassen. Diese Angriffe sind technisch und psychologisch ausgefeilt: Gefälschte E-Mail-Domains, perfekt imitierte Kommunikationsmuster und gezielter Zeitdruck führen dazu, dass selbst erfahrene Mitarbeiter in Sekundenbruchteilen Fehlentscheidungen treffen.

Der wirtschaftliche Schaden ist erheblich: In Deutschland summieren sich die jährlichen Verluste durch BEC-Angriffe auf mehrere hundert Millionen Euro, häufig mit internationalem Bezug. Neben dem unmittelbaren Vermögensschaden entstehen Reputations- und Vertrauensverluste, interne Ermittlungsaufwände und Versicherungsstreitigkeiten.
Juristisch geht es dabei nicht nur um den Betrugstatbestand, sondern auch um Haftung, Organisationsverschulden und die Anforderungen an betriebliche Prävention.

1. Typische Vorgehensweise der Täter

1.1 Zielpersonen und Vorbereitung

Angreifer analysieren zunächst die Strukturen eines Unternehmens: Organigramme, Handelsregistereinträge, Pressemitteilungen oder Social-Media-Profile geben Aufschluss über Entscheidungswege. Besonders gefährdet sind Mitarbeitende im Zahlungsverkehr, in der Buchhaltung oder im Controlling.
Ziel der Täter ist es, die Vertrauensbeziehung innerhalb der Organisation auszunutzen. Sie beobachten den E-Mail-Verkehr, imitieren Schreibstile und warten auf den passenden Moment, um in einen laufenden Kommunikationsprozess einzusteigen.

1.2 Täuschungsmechanismus

Über gefälschte oder kompromittierte E-Mail-Adressen wird eine authentisch wirkende Kommunikation aufgebaut. Der vermeintliche „CEO“ fordert zu einer dringenden Überweisung, einem Akquisitionsprojekt oder einer angeblichen Sicherheitsmaßnahme auf.
Typische Merkmale sind:

• hohe Summen mit angeblicher strategischer Bedeutung,
• Druck durch angebliche Fristen oder Geheimhaltungspflichten,
• Kontoverbindungen im Ausland oder an unbekannte Empfänger.

Der psychologische Mechanismus basiert auf Autoritätsgläubigkeit und Stress – die Opfer handeln, ohne Rücksprache zu halten.

2. Strafrechtliche Bewertung

2.1 Betrug (§ 263 StGB)

In nahezu allen Fällen erfüllt der CEO-Fraud den Tatbestand des Betrugs. Der Täter täuscht über seine Identität oder Vertretungsbefugnis, löst eine irrtumsbedingte Vermögensverfügung aus und erlangt so fremdes Vermögen. Strafrechtlich handelt es sich um ein vorsätzliches Delikt mit regelmäßigem Schadensersatzanspruch nach § 823 Abs. 2 BGB i.V.m. § 263 StGB.

2.2 Computerbetrug (§ 263a StGB)

Werden IT-Systeme manipuliert, etwa durch Abfangen, Verfälschen oder Umleiten von E-Mails, greift der Tatbestand des Computerbetrugs. Hierbei steht der technische Eingriff in Datenverarbeitungssysteme im Vordergrund.
Digitale Spurensicherung, Protokollanalyse und forensische IT-Untersuchungen sind für die Strafverfolgung und spätere Rückforderung essenziell.

3. Haftung der Geschäftsführung

3.1 Organpflichten

Geschäftsführer und Vorstände trifft die Pflicht, betriebliche Vermögenswerte zu schützen und angemessene Sicherheitsstrukturen einzurichten. Diese Pflicht ergibt sich aus § 43 GmbHG bzw. § 93 AktG.
Wer vermeidbare Risiken ignoriert oder keine geeigneten Präventionsmechanismen schafft, kann persönlich haftbar gemacht werden – sowohl gegenüber der Gesellschaft als auch gegenüber Dritten.

3.2 Compliance- und Kontrollpflichten

Ein wirksames Kontrollsystem ist die wichtigste Verteidigung gegen CEO-Fraud.
Kernmaßnahmen:

• Vier-Augen-Prinzip bei allen Zahlungen,
• Domain- und Absenderprüfung bei Zahlungsanweisungen,
• mehrstufige Freigabeprozesse,
• regelmäßige Schulungen und Awareness-Kampagnen.

Unternehmen müssen außerdem sicherstellen, dass sicherheitsrelevante Vorfälle dokumentiert und ausgewertet werden. Unterbleibt dies, kann die Geschäftsleitung wegen Organisationsverschuldens regresspflichtig werden.

‍

4. Zivilrechtliche Haftung

4.1 Haftung gegenüber Geschäftspartnern

Wenn unzureichende Sicherheitsmaßnahmen dazu führen, dass Dritte geschädigt werden – etwa weil Überweisungen fehlerhaft ausgeführt oder vertrauliche Daten offengelegt werden –, haftet das Unternehmen auf Schadensersatz nach § 823 BGB.

4.2 Vertragliche Haftung

Auch externe Dienstleister, Softwareanbieter oder Cloud-Provider können in die Haftung geraten, wenn ihre Systeme Sicherheitslücken aufweisen, die einen Angriff ermöglichen. Entscheidend ist, ob der Anbieter die gebotene Sorgfalt nach anerkannten IT-Standards eingehalten hat.

4.3 Versicherungsrechtliche Aspekte

Viele Unternehmen verlassen sich auf Cyberversicherungen. Allerdings leisten Versicherer nur, wenn keine grobe Fahrlässigkeit vorliegt und die vertraglich vereinbarten Sicherheitsrichtlinien eingehalten wurden.
Fehlt eine ordnungsgemäße Risikoanalyse oder eine zeitnahe Schadensmeldung, kann die Leistung verweigert werden.

5. Prävention und Risikomanagement

5.1 Technische Sicherheitsstandards

IT-Sicherheit beginnt mit Struktur. Zu den Grundmaßnahmen gehören aktuelle Firewalls, Filtertechnologien, Verschlüsselungssysteme, sichere Authentifizierung (MFA) sowie Überwachung durch Security-Information-Management-Systeme.
E-Mail-Authentifizierungsverfahren wie DMARC, SPF und DKIM sollten verpflichtend eingerichtet sein, um Spoofing zu verhindern.

5.2 Mitarbeiterschulung und Awareness

Technik allein genügt nicht. Schulung und Sensibilisierung sind entscheidend:
Mitarbeitende müssen befugt sein, verdächtige Anweisungen kritisch zu hinterfragen. Jede ungewöhnliche Aufforderung, Zahlung oder Geheimhaltung ist mit der tatsächlichen Führungskraft zu verifizieren.

5.3 Compliance- und Auditverfahren

Regelmäßige Audits und Penetrationstests zeigen Schwachstellen auf. Ein dokumentiertes Compliance-System mit klaren Meldewegen wirkt haftungsmindernd und unterstützt die forensische Aufarbeitung im Schadensfall.

6. Vorgehen im Schadensfall

Wenn der Betrug entdeckt wird, zählt jede Minute:

1. Bank informieren: Sofortiger Zahlungsstopp oder Recall über das SWIFT-System beantragen.
2. Anzeige erstatten: Die zuständige Zentralstelle Cybercrime einschalten; internationale Zusammenarbeit ist meist erforderlich.
3. IT-Forensik beauftragen: Logdaten, E-Mail-Header, IP-Verläufe und Kommunikationsprotokolle sichern.
4. Interne Krisenkommunikation: Mitarbeitende und Geschäftspartner informieren, um Folgeangriffe zu verhindern.
5. Dokumentation: Alle Schritte für den Versicherer und mögliche Regressverfahren protokollieren.

7. Gerichtliche Praxis und Trends

Die Rechtsprechung verschärft kontinuierlich die Anforderungen an die Sorgfaltspflichten von Unternehmen.
Gerichte sehen fehlende Kontrollmechanismen zunehmend als Pflichtverletzung – selbst dann, wenn die Geschäftsleitung nicht unmittelbar beteiligt war.
In zivilrechtlicher Hinsicht gewinnt das Thema „Cyber-Compliance“ an Bedeutung: Unternehmen müssen beweisen können, dass sie den Stand der Technik umgesetzt haben.

Auch in der Strafverfolgung zeichnet sich ein Trend zur internationalen Kooperation ab. Europol, Interpol und nationale Zentralstellen bündeln ihre Ermittlungen, um grenzüberschreitende Tätergruppen schneller zu identifizieren.

Fazit

CEO-Fraud und Business-E-Mail-Compromise sind keine Einzelfälle mehr, sondern ein systemisches Risiko im digitalen Geschäftsverkehr.
Sie vereinen psychologische Täuschung, Social Engineering und technische Angriffe in einer hochgefährlichen Kombination.
Unternehmen, die keine klaren Sicherheits- und Kommunikationsrichtlinien einführen, setzen sich erheblichen Haftungsrisiken aus.

Ein belastbares Sicherheitskonzept umfasst technische Schutzmaßnahmen, verbindliche Freigabeprozesse, Mitarbeiterschulungen und eine transparente Meldekultur.
Im Ernstfall gilt: Transaktion sofort stoppen, Anzeige erstatten, IT-Forensik einschalten und rechtliche Beratung einholen.
Nur ein Zusammenspiel von Prävention, Reaktionsschnelligkeit und juristischer Aufarbeitung bietet nachhaltigen Schutz.

Kontakt:
Ihr Unternehmen wurde Ziel eines CEO-Fraud oder Business-E-Mail-Compromise?
Wir unterstützen Sie bei Schadensbegrenzung, Rückholung und der Absicherung Ihrer Compliance-Strukturen.
Telefon: 0160 9955 5525 · E-Mail: info@hortmannlaw.com

Cybercrime & Strafrecht

Digitale Straftaten wie Phishing, CEO-Fraud oder Identitätsdiebstahl nehmen rasant zu – ebenso wie die Komplexität strafrechtlicher Verfahren. Wir unterstützen Betroffene und Unternehmen dabei, Täter zur Verantwortung zu ziehen, Beweise zu sichern und zivil- wie strafrechtliche Ansprüche durchzusetzen.

1. Adhäsionsverfahren und Schadensersatz im Krypto-Betrugsfall
   https://www.hortmannlaw.com/articles/adhasionsverfahren-und-schadensersatz-im-krypto-betrugsfall              
2. Bedeutung von Haftsachen, Strafvollstreckung und Strafvollzug
   https://www.hortmannlaw.com/articles/bedeutung-von-haftsachen-strafvollstreckung-und-strafvollzug              
3. CEO-Fraud und Business-E-Mail-Compromise – Unternehmensbetrug durch Täuschung
   https://www.hortmannlaw.com/articles/ceo-fraud-business-email    
4. Geheimhaltungsvereinbarungen (NDAs): Schutz vor Industriespionage
   https://www.hortmannlaw.com/articles/geheimhaltungsvereinbarungen-ndas-schutz-industriespionage            
5. Industriespionage im internationalen Handel
   https://www.hortmannlaw.com/articles/industriespionage-im-internationalen-handel        
6. Industriespionage und Datenschutz
   https://www.hortmannlaw.com/articles/industriespionage-und-datenschutz              
7. Klage gegen Crypto.com & Co: Wie Opfer von Krypto-Betrug, Bitcoin- und Love-Scam-Fällen vor Gericht Erfolg haben
   https://www.hortmannlaw.com/articles/klage-gegen-crypto-com-plattform-betrug                
8. Kreditbetrug durch fingierte Anträge – Haftungs- und Strafrisiken
   https://www.hortmannlaw.com/articles/kreditbetrug-scheinantrag    
9. Kreditkartenbetrug – Haftung der Bank bei missbräuchlicher Nutzung
   https://www.hortmannlaw.com/articles/kreditkartenbetrug-bankhaftung      
10. Online-Betrug & Adhäsionsverfahren – Schadensersatz mit Anwalt durchsetzen
    https://www.hortmannlaw.com/articles/adhasionsverfahren-online-betrug-anwalt                
11. Phishing Betrug – Anwalt bei Fake-Support und Online-Täuschung
    https://www.hortmannlaw.com/articles/phishing-fake-support-anwalt            
12. Prävention von Industriespionage: technische Schutzmaßnahmen
    https://www.hortmannlaw.com/articles/pravention-industriespionage-technische-schutzmasnahmen
13. Recovery Scams nach Krypto-Betrug – Die zweite Täuschungswelle
    https://www.hortmannlaw.com/articles/recovery-scam-krypto-betrug              
14. Scamming: PayPal-Betrug und Dating-Scams
    https://www.hortmannlaw.com/articles/paypal-betrug-und-dating-scams    
15. Starting a GmbH in Germany
    https://www.hortmannlaw.com/articles/starting-a-gmbh            
16. Strafanzeige Krypto Betrug
    https://www.hortmannlaw.com/articles/strafanzeige-krypto-betrug  
17. Was sind Crypto Plattformen und wann haften sie?
    https://www.hortmannlaw.com/articles/was-sind-krypto-plattformen-und-wann-haften-sie                  

‍