Cyberbetrug im Unternehmen: Welche Ansprüche bestehen ohne Cyberversicherung?

 

Ein Cyberangriff kann auch ohne Verschlüsselung oder vollständigen Systemausfall einen erheblichen finanziellen Schaden verursachen.

 

Häufig manipulieren Täter geschäftliche E-Mails, tauschen Bankverbindungen auf Rechnungen aus oder geben sich gegenüber Mitarbeitern als Geschäftsführer, Lieferant oder Bankmitarbeiter aus. Das Unternehmen überweist anschließend auf ein Konto der Täter oder eines sogenannten Finanzagenten.

 

Besteht keine Cyberversicherung, muss das Unternehmen die entstandenen Kosten zunächst selbst tragen. Trotzdem können Erstattungs- und Schadensersatzansprüche gegen Banken, Zahlungsempfänger oder andere Beteiligte bestehen.

 

Typische Fälle in Unternehmen

 

Zu den häufigen Fallgestaltungen gehören:

  • gefälschte oder manipulierte Lieferantenrechnungen,

  • Änderung der Bankverbindung in einer echten E-Mail-Kommunikation,

  • CEO-Fraud oder Fake-President-Betrug,

  • Überweisungsanweisungen durch vermeintliche Geschäftsführer,

  • Übernahme eines geschäftlichen E-Mail-Kontos,

  • unbefugter Zugriff auf das Online-Banking,

  • Manipulation von EBICS- oder Freigabeprozessen,

  • Änderung von Empfängerdaten nach der internen Freigabe,

  • Zahlungen durch nicht berechtigte Mitarbeiter,

  • außergewöhnliche Echtzeitüberweisungen auf neue Empfängerkonten.

Ob die Bank den Schaden ersetzen muss, hängt insbesondere davon ab, ob die Zahlung autorisiert war, welche Zeichnungsrechte bestanden und wie der konkrete Zahlungsauftrag technisch ausgelöst wurde.

 

Sofortmaßnahmen nach einer betrügerischen Überweisung

 

Nach der Entdeckung sollte unverzüglich gehandelt werden.

 

Zunächst sollten:

  • die Bank informiert,

  • die Überweisung zurückgerufen,

  • das Empfängerkonto ermittelt,

  • kompromittierte Online-Banking-Zugänge gesperrt,

  • weitere Zahlungen kontrolliert,

  • E-Mails, Nachrichten und Systemprotokolle gesichert,

  • Strafverfolgungsbehörden eingeschaltet werden.

Je früher Hausbank und Empfängerbank informiert werden, desto größer ist die Möglichkeit, noch vorhandene Gelder zu sperren oder zurückzuerlangen.

 

Mein Vorgehen bei einem Cyber-Zahlungsschaden

 

1. Rückholung und Sicherung der Zahlung

 

Zu Beginn prüfe ich, welche Maßnahmen zur Sicherung des Geldes noch möglich sind.

 

Hierzu gehören insbesondere:

  • ein dokumentierter Überweisungsrückruf,

  • die Kontaktaufnahme mit der Hausbank,

  • die Weiterleitung eines Sperrverlangens an die Empfängerbank,

  • die Prüfung zivilrechtlicher Sicherungsmaßnahmen,

  • die Koordination mit den Ermittlungsbehörden,

  • die Sicherung der Kommunikation mit Banken und Zahlungsempfängern.

In dieser Phase steht die schnelle Schadenbegrenzung im Vordergrund.

 

2. Autorisierung und Zeichnungsrechte untersuchen

 

Anschließend wird geklärt, ob das Unternehmen dem konkreten Zahlungsvorgang wirksam zugestimmt hat.

 

Dabei prüfe ich:

  • wer die Zahlung erstellt und freigegeben hat,

  • welche Vollmachten und Bankberechtigungen bestanden,

  • ob Einzel- oder Gesamtfreigabe vereinbart war,

  • welche Daten bei der Autorisierung angezeigt wurden,

  • ob Betrag oder IBAN nachträglich verändert wurden,

  • welches Authentifizierungsverfahren verwendet wurde,

  • ob ein Täter den Zahlungsauftrag vollständig selbst ausgelöst hat.

Nicht jede technisch korrekt ausgeführte Zahlung ist automatisch vom Unternehmen autorisiert.

 

3. Kontovertrag und Bankbedingungen auswerten

 

Bei Geschäftskonten sind neben den gesetzlichen Vorschriften die vereinbarten Bankbedingungen entscheidend.

 

Ich prüfe insbesondere:

  • den Zahlungsdiensterahmenvertrag,

  • die Bedingungen für das Online-Banking,

  • EBICS- und Corporate-Banking-Vereinbarungen,

  • Vollmachten und Zeichnungsberechtigungen,

  • Nutzer- und Teilnehmerrechte,

  • vereinbarte Betragsgrenzen,

  • Reklamations- und Ausschlussfristen,

  • Haftungsregelungen für Geschäftskunden.

Unternehmen werden im Zahlungsdiensterecht teilweise anders behandelt als Verbraucher. Deshalb muss die konkrete vertragliche Regelung im Einzelfall ausgewertet werden.

 

4. Erstattungsanspruch gegen die Bank prüfen

 

War die Überweisung nicht autorisiert, kann ein Anspruch auf Erstattung und Berichtigung des Kontos bestehen.

 

Die Bank muss in einem solchen Fall darlegen, wie der Zahlungsvorgang authentifiziert, aufgezeichnet und ausgeführt wurde. Technische Protokolle sind auszuwerten und mit den tatsächlichen Abläufen im Unternehmen abzugleichen.

 

Beruft sich die Bank auf ein Fehlverhalten des Unternehmens oder eines Mitarbeiters, ist zu prüfen:

  • welche konkrete Pflicht verletzt worden sein soll,

  • ob diese Pflicht wirksam vereinbart wurde,

  • ob einfache oder grobe Fahrlässigkeit vorliegt,

  • ob die behauptete Pflichtverletzung für den Schaden ursächlich war,

  • wer die erforderlichen Tatsachen beweisen muss.

Eine pauschale Ablehnung mit dem Hinweis, die Zahlung sei mit einer TAN oder elektronischen Unterschrift freigegeben worden, reicht nicht in jedem Fall aus.

 

5. Warn- und Schutzpflichten der Bank prüfen

 

Auch bei einer technisch freigegebenen Zahlung kann eine Haftung der Bank in Betracht kommen.

 

Zu untersuchen ist, ob der Vorgang so ungewöhnlich oder verdächtig war, dass die Bank vor der Ausführung hätte nachfragen oder warnen müssen.

 

Mögliche Anhaltspunkte sind:

  • außergewöhnlich hohe Zahlungen,

  • neue Empfänger in ungewöhnlichen Staaten,

  • mehrere schnell aufeinanderfolgende Überweisungen,

  • deutliche Abweichungen vom bisherigen Zahlungsverhalten,

  • interne Betrugswarnungen,

  • bekannte Auffälligkeiten beim Empfängerkonto,

  • widersprüchliche Angaben gegenüber einem Bankmitarbeiter.

Eine Warnpflicht besteht nicht bei jeder ungewöhnlichen Zahlung. Sie kann jedoch entstehen, wenn sich eine drohende Schädigung aufgrund massiver Anhaltspunkte objektiv aufdrängen musste.

 

6. Empfängerüberprüfung auswerten

 

Bei neueren SEPA-Überweisungen ist außerdem zu prüfen, ob die Bank den Namen des Zahlungsempfängers mit der angegebenen IBAN abgeglichen hat.

 

Dabei sind folgende Fragen wichtig:

  • Wurde eine Empfängerüberprüfung durchgeführt?

  • Welches Ergebnis wurde angezeigt?

  • Wurde vor einer Abweichung gewarnt?

  • Hat das Unternehmen auf die Überprüfung verzichtet?

  • War ein Verzicht für den konkreten Auftrag wirksam?

  • Wurde trotz einer erheblichen Abweichung überwiesen?

  • Hat die Bank den Vorgang technisch ordnungsgemäß verarbeitet?

Die Unterlagen zur Empfängerüberprüfung sollten frühzeitig bei der Bank angefordert und gesichert werden.

 

7. Ansprüche gegen Empfängerbank und Kontoinhaber

 

Neben der eigenen Bank können auch die Empfängerbank und der Inhaber des Empfängerkontos in die Prüfung einzubeziehen sein.

 

Mögliche Maßnahmen sind:

  • Rückforderung des erhaltenen Geldes,

  • Schadensersatzansprüche,

  • Sicherung noch vorhandenen Kontoguthabens,

  • zivilrechtlicher Arrest,

  • Pfändung gesicherter Beträge,

  • Prüfung von Warnpflichtverletzungen der Empfängerbank,

  • Anforderung oder Abtretung von Ansprüchen innerhalb der Bankenkette.

Ob eine wirtschaftlich sinnvolle Durchsetzung möglich ist, hängt insbesondere davon ab, ob Empfänger und Vermögen festgestellt werden können.

 

8. Weitere Verantwortliche prüfen

 

Je nach Angriff können außerdem Ansprüche bestehen gegen:

  • IT-Dienstleister,

  • Buchhaltungs- oder Zahlungsdienstleister,

  • den kompromittierten Geschäftspartner,

  • Plattformbetreiber,

  • sonstige vertraglich eingebundene Unternehmen.

Hierbei müssen die vereinbarten Sicherheits- und Kontrollpflichten, mögliche Haftungsbeschränkungen und die technische Ursache des Schadens untersucht werden.

 

Welche Unterlagen werden benötigt?

 

Für eine erste Prüfung sind insbesondere hilfreich:

  • Kontoauszüge,

  • Überweisungsbelege,

  • Online-Banking- und EBICS-Protokolle,

  • Freigabe- und Authentifizierungsdaten,

  • Konto- und Online-Banking-Verträge,

  • Vollmachten und Zeichnungsregelungen,

  • manipulierte und echte Rechnungen,

  • vollständige E-Mail-Kommunikation,

  • Screenshots und Telefonnotizen,

  • Schreiben der Hausbank,

  • Angaben zum Empfängerkonto,

  • Strafanzeige und polizeiliches Aktenzeichen,

  • vorhandene IT-forensische Berichte.

E-Mails sollten möglichst im Originalformat und nicht nur als Ausdruck oder PDF gesichert werden. Nur so lassen sich technische Absender- und Weiterleitungsdaten später zuverlässig untersuchen.

 

Beratung durch einen Fachanwalt für Bank- und Kapitalmarktrecht

 

Als Fachanwalt für Bank- und Kapitalmarktrecht prüfe ich nach einem Cyber-Zahlungsschaden:

  • die Möglichkeiten einer sofortigen Rückholung,

  • die Autorisierung der Zahlung,

  • die Bank- und Online-Banking-Verträge,

  • die Zeichnungs- und Vollmachtsverhältnisse,

  • Erstattungsansprüche gegen die Hausbank,

  • mögliche Warnpflichtverletzungen,

  • Ansprüche gegen Empfängerbank und Zahlungsempfänger,

  • die außergerichtliche und gerichtliche Durchsetzung.

In einem ersten Gespräch klären wir, was geschehen ist, welche Zahlungen betroffen sind, welche Sofortmaßnahmen bereits veranlasst wurden und welche Unterlagen kurzfristig gesichert werden müssen.

 

Betrügerische Überweisung fachanwaltlich prüfen lassen

 

Ihr Unternehmen hat aufgrund einer gefälschten Rechnung, eines gehackten E-Mail-Kontos oder einer manipulierten Zahlungsanweisung Geld überwiesen?

 

Nehmen Sie möglichst frühzeitig Kontakt auf. Übersenden Sie nach Möglichkeit die Kontoauszüge, die Kommunikation mit der Bank, die Zahlungsunterlagen und die betreffenden E-Mails.

 

[Mehr zum Bankrecht]

[Haben Sie eine Cyberversicherung?]