Aufrufe
vor 7 Monaten

AssCompact 03/2019

AssCompact ist das führende Fachmagazin für Assekuranz, Kapitalanlagen, Finanzierung und Immobilien. Die Online-Ausgabe liefert tagesaktuelle Beiträge ...

ASSEKURANZ © tverdohlib

ASSEKURANZ © tverdohlib – Fotolia.com D&O als Rettungsanker bei CEO-Fraud Die Internetkriminalität gewinnt täglich an Bedeutung. Dazu zählt auch der sogenannte CEO-Fraud, teils Fake-President-Fraud genannt. Nach wie vor herrscht Unsicherheit, welche Versicherung in einem solchen Betrugsfall überhaupt zum Tragen kommt. Laut Landeskriminalamt Nordrhein-Westfalen werden seit Mitte 2017 immer mehr umsatzstarke Kleinunternehmen vom CEO-Fraud angegriffen. Und das ist mit über 99% die Mehrheit aller Unternehmen in Deutschland. Doch welche Versicherung hilft eigentlich beim CEO-Fraud-Schaden? Cyberversicherung deckt nicht Schwachstelle Mensch Grundsätzlich besteht beim CEO-Fraud kein Versicherungsschutz über eine Cyberversicherung. Kurz und laienhaft ausgedrückt liegt der Grund darin, dass nicht die Unternehmens-IT selbst angegriffen und beschädigt wird. Beim CEO-Fraud handelt es sich um einen Cybertrickbetrug. Die Schwachstelle „Mensch“ wird ausgenutzt (= social engineering). Die Täter versuchen, Mitarbeiter mit Entscheidungsbefugnissen vor allem aus der Buchhaltung oder dem Rechnungswesen so zu manipulieren, dass diese vermeintlich im Auftrag des Unternehmensleiters Überweisungen von hohen Geldbeträgen veranlassen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens selbst. Die Täter arbeiten inzwischen höchst professionell. Vor der ersten Kontaktaufnahme verschaffen sie sich umfassende Informationen über das ganze Unternehmen und seine Strukturen. Sie informieren sich über die Geschäftspartner, über künftige geplante Investments, E-Mail-Adressen etc. Sogar Mitarbeiter des Unternehmens werden in sozialen Netzwerken ausspioniert. Die Täter nutzen das erlangte Wissen, um den Inhalt der von ihnen verfassten E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen. Es gelingt ihnen inzwischen immer häufiger, überzeugend als Chef des Unternehmens aufzutreten. Hinzu kommt, dass den kontaktierten Mitarbeitern durch mehr - fache E-Mails und Anrufe vorgespielt wird, sie müssten eine Geldüberweisung eilig durchführen, um das Projekt nicht zu gefährden. Die Täter üben großen psychischen Druck beim jeweiligen Mitarbeiter aus. Sogar erfahrene Mitarbeiter werden so regelmäßig Opfer dieser Masche. D&O-Versicherung deckt Cybertrickbetrug CEO-Fraud-Schadenfälle sind grundsätzlich über eine Vertrauensschadenversicherung (VSV) sowie über eine D&O-Versicherung gedeckt. Zwischen diesen beiden Versicherungen sind die Regelungen zur Subsidiarität zu beachten. Sollte keine VSV bestehen oder die Deckung bereits abgelehnt worden sein, kann die D&O-Versicherung weiterhelfen. Bei der D&O-Versicherung liegt eine Pflichtverletzung durch zwei Personenkreise nahe: den getäuschten Mitarbeiter sowie den Unternehmensleiter. Eine tatsächliche Inanspruchnahme auf Schadensersatz ist generell Voraussetzung, um in die D&O- Prüfung einzusteigen. Getäuschter Mitarbeiter Wie anfangs beschrieben, werden häufig Angestellte mit Handlungsvollmacht von den Tätern kontaktiert. Sie unterliegen der Täuschung und überweisen entweder selbst den geforderten Betrag auf das von den Tätern angegebene Bankkonto oder weisen die Zahlung als Vorgesetzte an. Mitarbeiter mit Handlungsvollmacht können leitende Angestellte im Sinne der 28 März 2019

D&O-Versicherung sein und gehören dann zum versicherten Personenkreis. Da das überwiesene Geld in den meisten Fällen nach Aufdeckung des Irrtums von der Bank nicht mehr oder nur teilweise zurücktransferiert werden kann, bleibt das Unternehmen auf dem entstandenen finanziellen Schaden sitzen. Dies stellt den erforderlichen Vermögensschaden dar. Eine Pflichtverletzung ist in der Überweisung eines Geldbetrages ohne Anweisung der „echten“ Geschäftsleitung zu sehen. Das Sächsisches Landes - arbeitsgericht hat in seinem Urteil vom 13.06.2017 (Az.: 3 SA 556/16, BeckRS 2017, 127707) entschieden, dass auch die Vornahme einer Überweisung trotz Täuschung durch CEO-Frauds eine betriebliche Tätigkeit für das Unternehmen sei. Das Gericht führt richtig aus, dass diese Mitarbeiter arbeitsvertraglich für den Geldtransfer verantwortlich sind, der ihnen von der Geschäftsleitung aufgetragen werde. Entscheidend sei, dass der ausführende Mitarbeiter glaubt, im betrieblichen Interesse handeln zu müssen. Gegen das Urteil wurde Revision eingelegt. Es ist derzeit beim Bundesarbeitsgericht (BAG) anhängig (Az.: 8 AZR 379/17). Folgerichtig sind für die Pflichtverletzung des getäuschten Mitarbeiters die vom BAG entwickelten Grundsätze der beschränkten Arbeitnehmerhaftung zu beachten. Zusammengefasst wird bei Vorliegen leichtester Fahrlässigkeit eine Haftung des Mitarbeiters ausgeschlossen. Bei Vorsatz und gröbster Fahrlässigkeit haftet der Mitarbeiter für den gesamten Schaden. Bei leichter bis mittlerer Fahrlässigkeit kommt eine Haftung zwischen einem und bis zu drei Bruttomonatsgehältern in Betracht. Bei grober Fahrlässigkeit kann eine vollumfängliche Haftung angemessen sein. Es sind jeweils die Gesamtumstände des Einzelfalls zu beachten. Vorbehaltlich einer Einzelfallbetrachtung wird beim CEO-Fraud in der Regel leichte bis schwere Fahrlässigkeit anzunehmen sein. In vielen Fällen könnte der Irrtum aufgedeckt werden, wenn der Mitarbeiter zuvor jemanden zum Beispiel aus der Geschäftsleitung persönlich ansprechen und in das „geheime Projekt“ einweihen würde. Da die verursachten Schäden durch CEO-Frauds sehr hoch ausfallen können, wird die beschränkte Haftung des verantwortlichen Mitarbeiters für einen vollständigen Schadenausgleich regelmäßig nicht ausreichen. In so einem Fall kann die sogenannte Eigenschadendeckungsklausel helfen, soweit diese im Rahmen der D&O-Versicherung vereinbart ist. Der Grundsatz „Deckung folgt der Haftung“ wird durch diese Klausel durchbrochen. Sie regelt, dass bei Anwendung der Grundsätze der beschränkten Arbeitnehmerhaftung über die Haftungsbegrenzung hinaus eine zusätzliche weitere Deckung bis zur Höhe eines Sublimits gewährt wird. Oftmals gilt innerhalb der Klausel ein Selbstbehalt, sodass erst ab einer gewissen Schadenhöhe die Eigenschadenklausel zum Tragen kommt. Unternehmensleiter Werden die Voraussetzungen der D&O-Versicherung über den getäuschten Mitarbeiter nicht erfüllt oder verbleibt ein über das Sublimit der Eigenschadendeckung hinausgehender Teil des Schadens, ist eine Pflichtverletzung des Unternehmensleiters zu prüfen. Eventuell liegt ein (Mit-)Verschulden in Form eines Organisationsfehlers vor. Der Unternehmensleiter ist in aller Regel versicherte Person. Die Pflichtverletzung kann in der unterlassenen Integrierung von Schutzmaßnahmen in den Betriebsablauf gegen CEO- Frauds liegen. Keine ausreichende Aufklärung des Personals, kein Vorhandensein eines internen Verhaltensprotokolls, fehlende bzw. mangelhafte Einrichtung technischer Möglichkeiten etc. kommen in Betracht. Fazit Hauptsächlich Kleinunternehmen werden aktuell von CEO- Frauds angegriffen. Die Cyberversicherung hilft gerade nicht beim Cybertrickbetrug. Bei ausreichender Versicherungssumme kann aber ein entstandener Schaden über eine D&O-Versicherung abgedeckt sein. Für Versicherungsmakler, die das Unternehmen hierzu falsch beraten bzw. kein Angebot zum Abschluss einer VSV und D&O-Versicherung unterbreiten, kann dieser Fehler teuer werden. W Von Karin Baumeier, Kanzlei Baumeier März 2019 29

AssCompact

AssCompact 05/2019
AssCompact 04/2019
AssCompact 03/2019
AssCompact 02/2019
AssCompact 01/2019
Asscompact Epaper

Neues von AssCompact.de