Die Masche des Fake President, bei der sich Betrügern als Chef ausgeben und Zahlungen anweisen, zieht immer weitere Kreise: Seit 2013 erbeuteten die Kriminellen in Deutschland auf diese Weise 110 Millionen Euro, schätzt das Bundeskriminalamt.
Der Lichtblick: Unternehmen, die eine so genannte Vertrauensschadenversicherung abgeschlossen haben, können darauf hoffen, zumindest einen Teil der gestohlenen Summe erstattet zu bekommen. „Die Versicherer haben auf die Häufung der Vorfälle reagiert und decken Fake-President-Schäden inzwischen standardmäßig mit dieser Police ab“, sagt Gunbritt Kammerer-Galahn, Partnerin bei der Wirtschaftskanzlei Taylor Wessing.
Das Problem liegt im Detail: Zwar haben viele Unternehmen eine solche Versicherung abgeschlossen. Allerdings sind die Versicherungssummen oftmals gering und die Vertragsbedingungen veraltet. „CFOs, die eine Vertrauensschadenversicherung abgeschlossen haben, sollten deshalb dringend prüfen, ob sie bereits die neuen Verträge haben“, rät Juristin Kammerer-Galahn, die Unternehmen in Streitfällen mit Versicherungen vertritt.
Vertrauensschadenversicherung deckte Fake President nicht ab
Die Vertrauensschadenversicherung wurde ursprünglich entwickelt, um Unternehmen vor finanziellen Schäden durch Betrüger innerhalb der Firma zu schützen. Sie greift, wenn eigene Mitarbeiter in die Kasse greifen oder falsch abrechnen. Schon vor einigen Jahren wurde die Police um externe Betrüger erweitert, allerdings nur unter einer Bedingung: „Der Mitarbeiter, der auf den Betrüger hereingefallen ist, durfte nicht grob fahrlässig gehandelt haben“, sagt Kammerer-Galahn.
Der Fake-President-Fall war damit in der Regel nicht abdeckt. Denn hier missachtet der vom vermeintlichen Chef kontaktierte Mitarbeiter oft die vorgeschriebenen Praktiken: Die Betrüger manipulieren ihn so geschickt, dass er die üblichen Freigabeprozesse umgeht oder sich nicht traut, sich beim Chef noch einmal über die Richtigkeit der Zahlung zu erkundigen. In anderen Fällen übersieht er schlicht, dass die E-Mail von einem falschen Account geschickt wurde.
Im vergangenen Jahr haben die Versicherer ihre Policen laut der Taylor-Wessing-Anwältin erneut angepasst: „Seither zahlt die Versicherung auch, wenn der Mitarbeiter grob fahrlässig gehandelt hat.“ Zugleich senkten sie auch die Deckelung der Versicherungssumme beim Betrug durch Externe: „Früher wurde in diesem Fall meist nur 20 Prozent der Versicherungssumme gezahlt, heute sind es durchaus 50 Prozent“, so Kammerer-Galahn Die Versicherten sind also gleich doppelt besser gestellt.
Fake-President-Attacke berührt auch D&O-Versicherungen
Doch auch Unternehmen, die über einen dieser neuen Verträge verfügen, sollten über Änderungen nachdenken. „In vielen Fällen liegt die Versicherungssumme bei Vertrauensschadenversicherungen gerade einmal bei 1 Million Euro“, beobachtet Kammerer-Galahn. Bei den jüngsten Fake-President-Opfern sind die Dimensionen allerdings ganz andere: Beim Automobilzulieferer Leoni erbeuteten die Kriminellen 40 Millionen Euro, den österreichischen Flugzeuglieferanten FACC erleichterten Betrüger um 50 Millionen Euro.
Bei den Österreichern kostet die Fake-President-Attacke auch Konzernchef Walter Stephan und CFO Minfen Gu den Job. Dem CEO wirft das Unternehmen „Pflichtverletzung“ vor – ein Terminus, der erahnen lässt, dass es bei Fake-President-Attacken auch um Haftungsfragen im Top-Management geht: Hat der Vorstand die notwendigen Prozesse aufgebaut, um eine sichere Zahlungsfreigabe zu gewährleisten? Ist er seiner Aufsichtspflicht ausreichend nachgekommen?
Damit läuft Fake President auch in den Deckungsbereich der D&O-Versicherungen hinein. „Es ist allerdings deutlich schwieriger, dem Vorstand Pflichtverletzung nachzuweisen, als dem Mitarbeiter in der Finanzabteilung, der die Zahlung freigegeben hat“, so Kammerer-Galahn. In Einzelfällen sei dies allerdings bereits gelungen – ein weiterer Grund für CFOs, bei dem Thema Fake President die entsprechende Vorsorge zu treffen.
Info
Welche Angriffsvarianten es gibt und wie Unternehmen sich schützen können, das lesen Sie auf unserer Themenseite zum Fake President.
