Der „Ceo-Fraud“ ist gleichsam der Enkeltrick de luxe. Bei dieser Betrugsmasche kontaktieren die Täter nach aufwendigen Recherchen Mitarbeiter von Unternehmen mittels gefälschter E-Mails, geben sich als Geschäftsführer oder Führungskraft aus und veranlassen die Mitarbeiter unter Vorspiegelung eines betrieblichen Anlasses zur Überweisung größerer Geldsummen ins Ausland. Das funktioniert und der Schaden geht teilweise in die Millionen. Dass hier die Hauptakteure, die „Fraudisten“, ohne Rücksicht auf die Unschuldsvermutung bereits als „Täter“ klassifiziert werden, ist insofern eine entschuldbare Nachlässigkeit, als dass sich deren Strafbarkeit – wie nicht zuletzt die Bezeichnung „fraud“, also Betrug, schon impliziert – geradezu aufdrängt. Der Strafbarkeit der „Fraudisten“ wird insofern im Folgenden nur wenig Aufmerksamkeit gewidmet werden. Was aber ist mit den Mitarbeitern, die diesen Tätern aufsitzen und entsprechende Zahlungen veranlassen? Sind diese nur Opfer einer aufwendigen Betrugsmasche, die am Ende noch in Form von Schadensersatzansprüchen zur Kasse gebeten werden? Oder kann man sich, wenn man dieser Masche aufsitzt, sogar selber strafbar machen, ist also Opfer und Täter zugleich?
Der Modus Operandi beim „Ceo-Fraud“
Der sog. „Ceo-Fraud“ ist auch unter anderen Bezeichnungen wie Fake President Fraud, Enkeltrick 2.0 oder Chef-Masche bekannt. Beim „Ceo-Fraud“ geben sich Täter – nach Sammlung jeglicher Art von Informationen über das ,,anzugreifende“ Unternehmen – beispielsweise als Geschäftsführer (CEO) oder als Teil der Geschäftsführung des Unternehmens aus und veranlassen einen Unternehmensmitarbeiter zum Transfer eines größeren Geldbetrages an einen nicht autorisierten Empfänger zumeist in das Ausland (FIU-Newsletter des BKA, 13. Ausgabe, Juni 2016, S. 3). Dabei wird die bereits vorhandene Freigabe durch einen Vorgesetzten (wie z. B. den CEO) oder die Anweisung durch den Vorgesetzten selbst durch gefälschte E-Mails und/oder geschicktes Social Engineering per Telefonanruf vorgetäuscht (Fritzsche, CB 2017, S. 403). Tatmittel ist neben dem Telefon vor allem die E-Mail . Vom gewöhnlichen Phishing unterscheidet sich „CEO-Fraud“ dadurch, dass gefälschte Mails nicht massenhaft und unspezifisch versendet werden. Es handelt sich vielmehr um gezielte Angriffe. Nach einem Bericht der Frankfurter Allgemeinen Zeitung sind die Täter beim „Ceo-Fraud“ über das Unternehmen „bestens im Bilde und bereiten sich wochenlang vor“.
Besonders anfällig seien „patriarchalisch-autoritär geführte Unternehmen, in denen Zweifel und Widerspruch nicht erwünscht sind“.
Der idealtypische Ablauf eines „Ceo-Fraud“ gliedert sich in drei Phasen: der Informationsgewinnung, der Kontaktaufnahme und der Durchführung und wird in der Literatur wir folgt beschrieben:
Informationsgewinnung beim „Ceo-Fraud“
„Die Aufklärungsphase dient der Informationssammlung über das anzugreifende Unternehmen und über die – insbesondere bankenrechtlichen – Gepflogenheiten des Landes, in dem das Unternehmen seinen Sitz hat. Die Täter müssen einerseits den CEO des anzugreifenden Unternehmens mit dessen Kontaktdaten (insbesondere seine E-Mail-Adresse) und idealerweise dessen Unterschrift ermitteln. Andererseits müssen sie Mitarbeiter identifizieren, die Überweisungen eigenständig tätigen können, ggf. auch unter Umgehung von innerbetrieblichen Kontrollmechanismen. Bereits in dieser Phase kommen Methoden des Social Engineering zum Einsatz. Denkbar sind aber auch technische Maßnahmen zur Informationssammlung, z.B. das Einschleusen von Schadsoftware in das anzugreifende Unternehmen. Straftaten, die bereits in dieser Phase verwirklicht sein könnten, bleiben vorliegend außer Betracht“ (Buss, CR 2017, S. 410 (410)).
Kontaktaufnahme
„Die Masche beginnt häufig mit einem Anruf. Dabei stellt sich bspw. ein Anwalt einer bekannten Rechtsanwaltskanzlei vor, der die Geschäftsführung bei einer streng vertraulichen Unternehmensakquisition vertritt. Es kann aber auch der vermeintliche CEO selbst sein, der den Anruf tätigt. Oft wird zunächst betont, dass der angerufene Mitarbeiter aufgrund seiner langjährigen Treue zum Unternehmen und Integrität in dieser höchst vertraulichen Angelegenheit ausgewählt wurde. Zudem wird auf die Lösungskompetenz des Mitarbeiters angespielt. Nur er könne eine Lösung finden. Der Mitarbeiter wird nun bspw. um Überweisung eines größeren Betrages zum Erwerb von Unternehmensanteilen aufgefordert. Das Empfängerkonto befindet sich dabei regelmäßig im Ausland.
„Ceo-Fraud“ ist gleichsam der Enkeltrick de luxe.
Üblich sind Banken im asiatischen oder osteuropäischen Raum. Unter diesem Vorwand wird der Mitarbeiter um Identifikation einer Möglichkeit zur kurzfristigen Überweisung aufgefordert. Der Mitarbeiter wird zudem um Wahrung strengster Vertraulichkeit gebeten. Ein Bruch der Vertraulichkeit würde zudem eine Verletzung regulatorischer Anforderungen darstellen. In Einzelfällen wird hier nicht nur auf vertragliche Anforderungen, sondern auch direkt auf Aufsichtsbehörden verwiesen. Schließlich benennt der Anrufer eine weitere involvierte Person, die sich im weiteren Verlauf melden wird, da der CEO selbst und auch der aktuelle Anrufer in Verhandlungen gebunden sein würden“ (Fritzsche, CB 2017, S. 403 (404)).
„Aus der ersten Kontaktaufnahme lässt sich bereits eine Fülle typischer Eigenschaften des „Ceo-Fraud“ ableiten:
- Dem Mitarbeiter wird geschmeichelt (Treue, Integrität, Kompetenz). Somit wird eine Vertrauensbasis hergestellt. Zudem wird das Bedürfnis erzeugt, die Erwartungen zu erfüllen.
- Es wird strengste Vertraulichkeit eingefordert und somit ein von außen isolierter Handlungsraum geschaffen.
- Die Angaben zur Identität sind recherchierbar und verifizierbar (z. B. die Firmierung der Kanzlei und der Name des Anwalts), wodurch das Vertrauen verstärkt und die Richtigkeit der Angaben sowie der Handlung selbst bezeugt wird.
- Die Gelder sollen in ein Land außerhalb der Einflusssphäre des überweisenden Unternehmens transferiert werden (Bank im asiatischen oder osteuropäischen Raum).
- Der Mitarbeiter befindet sich in einer hierarchisch untergeordneten Rolle, wodurch das “Recht zu Handeln” und zur Verweigerung aufgrund von Zweifeln eingeschränkt wird.
- Es wird ein Bezug zu Aufsichtsbehörden hergestellt. Die Richtigkeit der Handlung wird durch die Wirkung der Autorität verstärkt. Die Erfüllung der Pflicht gegenüber einer Autorität verstärkt die Isolation des Mitarbeiters, da er strengste Vertraulichkeit wahren muss.
- Das aufgebaute Vertrauen wird auf eine weitere Kontaktperson transferiert. Dadurch wird eine Entkopplung von der unmittelbaren Kommunikation mit dem Erstkontakt bewirkt. Die Möglichkeit der Enttarnung durch den Raum für Rückfragen wird somit reduziert“ (Fritzsche, CB 2017, S. 403 (404)).
„In einem nächsten Schritt kann der Mitarbeiter des Unternehmens bspw. eine E-Mail mit den konkreten Überweisungsinformationen erhalten. Oft wird in diesem Zusammenhang gefragt, über welchen Weg diese Ausnahmeüberweisung am schnellsten umgesetzt werden kann und welches der maximale Überweisungsbetrag ist. Dabei wird zudem in vielen Fällen auf die Angriffstechnik des E-Mail-Spoofings zurückgegriffen. Dabei wird dem Empfänger eine vertrauenswürdige Absenderadresse vorgetäuscht. Auch wenn latente Zweifel an der Richtigkeit der Anfrage bestehen, antwortet der Mitarbeiter bei erfolgreichen Angriffen. Dabei werden dann konkrete Möglichkeiten der Überweisung vorgeschlagen. Oft handelt es sich dabei um nicht regelmäßig genutzte Zahlungsverfahren wie bspw. eine Anweisung der Zahlung an die Hausbank per Fax. Der Mitarbeiter teilt dabei auch mit, dass die Unterschrift eines Geschäftsführers dafür notwendig sei. Äußert der Mitarbeiter weitere Bedenken, wird hierauf seitens der Angreifer eingegangen. Üblich ist z. B. eine bestätigende SMS des CEO, in der die Anfrage der Zahlung bestätigt wird. Oft wird behauptet, dass der CEO in Verhandlungen ist und daher nicht erreichbar ist. Der Angreifer (bspw. der involvierte Rechtsanwalt) bestätigt die Option der Anweisung via Fax und sendet zudem die eingescannte Unterschrift des CEO als Anlage zur E-Mail. Es wird um kurzfristige Bestätigung der Umsetzung gebeten und erneut auf die strikte Vertraulichkeit hingewiesen“ (Fritzsche, CB 2017, S. 403 (404 f.).
Durchführung
„Unter der Voraussetzung, dass die Betrugsmasche bis zu diesem Punkt erfolgreich verläuft, erfolgt nun die Anweisung der Zahlung (…). Der Mitarbeiter bestätigt nun die Anweisung der Zahlung an die Hausbank gegenüber dem Angreifer. Der Angreifer selbst weist nochmals auf die strenge Vertraulichkeit hin und fügt nun sogar eine Frist hinzu. So wird in Einzelfällen für einen Zeitraum von 48-72 Stunden gefordert, mehrmals am Tag die Aufrechterhaltung der Vertraulichkeit per E-Mail zu bestätigen. Dem wird in erfolgreichen Angriffsfällen auch Folge geleistet. Für die Angreifer reduziert sich durch den Zeitraum das Risiko, dass die Zahlung doch noch aufgehalten wird. Zudem wird den Angreifern ausreichend Zeit verschafft, den empfangenen Betrag zu stückeln und auf weitere Konten zu transferieren oder auch Teilbeträge abzuheben. In einigen Fällen wird zudem versucht, weitere Zahlungen zu erwirken. Diese Vorgehensweise ist durchaus erfolgreich. Der Vorgang wird i. d. R. als Betrug erkannt, sobald der involvierte Mitarbeiter direkt oder indirekt in Kontakt mit dem tatsächlichen Geschäftsführer tritt“ (Fritzsche, CB 2017, S. 403 (405)).
Vorkommen in der Rechtswirklichkeit des „Ceo-Fraud“
Nach einer Pressemitteilung des FBI liegt der weltweite Schaden durch „Ceo-Fraud“ seit Oktober 2013 bei 3,1 Mrd. Dollar (2,8 Mrd. Euro). Das Bundeskriminalamt veröffentlicht jährlich das Bundeslagebild Wirtschaftskriminalität, welches auf Basis der Daten der Polizeilichen Kriminalstatistik (PKS) aktuelle Erkenntnisse zur Lage und Entwicklung von Delikten darstellt. Aus Sicht des Lagebildes war eine der bedeutendsten Entwicklungen im Jahr 2016 der „Ceo-Fraud“. Im Jahr 2016 stieg die Zahl der vollendeten Fälle von „Ceo-Fraud“ auf 51 an (2015: 32 Fälle; +59,4 Prozent). Zudem ist die Zahl der versuchten Straftaten um 76,3 Prozent gestiegen (2015: 69 Versuche; 2016: 291 Versuche). Auch die durch „Ceo-Fraud“ entstandenen Schäden stiegen in den letzten Jahren kontinuierlich an. Seit 2014 verdreifachte sich der Schaden durch das betrügerische Handeln der Täter und lag 2016 bei 75,2 Millionen Euro (ZRFC 2017, S. 201 (202); zum Vorkommen in der Rechtswirklichkeit auch: Kunze, Kriminalistik 2016, S. 541 ff.).
Compliance Beratung in Bezug auf „Ceo-Fraud“
In der Compliance Beratung von Unternehmen nimmt dieses Deliktsfeld wegen des häufigen Vorkommens insofern seit kurzem ein breites Spektrum ein. Dies betrifft hingegen – nach wie vor – vor allem Banken und Industriegrößen, die sich eine umfangreiche Compliance-Abteilung oder kostspielige Berater von außen leisten (können), nicht so sehr den deutschen Mittelstand, auf den die „Ceo-Fraud“ Angriffe jedoch besonders häufig zielen (Vgl. Bielefeld, CB Die erste Seite 2017, Nr 03). Da mittelständische Unternehmen „bei Compliance noch immer kalkulieren, als gehe es um die Anschaffung lästiger Wirtschaftsgüter und nicht um einen zwingend nötigen Kulturwandel, der Grundlage für eine verlässliche, stabile unternehmerische Entwicklung ist“, stellen diese Firmen „aus Täterperspektive ein dankbares Opfer“ dar (Bielefeld, CB Die erste Seite 2017, Nr 03). Es wird deshalb für den Mittelstand „eine gesunde Unternehmens- und Compliance-Kultur“ gefordert, die insbesondere „mit der Hierarchie-Denke verhafteten Mitarbeitern, die aus Angst aufzufallen lieber nicht kritisch nachfragen und ein etwaiges Störgefühl daher für sich behalten“ aufräumen soll (Bielefeld, CB Die erste Seite 2017, Nr 03). In der Complianceliteratur wird den Unternehmen empfohlen, mit den Mitarbeitern der Abteilung Finanzen und der Buchhaltung regelmäßige Sensibilisierungs- und Schulungsmaßnahmen durchzuführen und in Form eines Rollenspiels ein entsprechendes Angriffsszenario zu fingieren, um das Problembewusstsein der Mitarbeiter zu schärfen (Fritzsche, CB 2017, S. 403 (405); zu Präventionsmaßnahmen auch: Kunze, Kriminalistik 2016, S. 544). Ganz ähnliche Empfehlungen gibt das Bundeskriminalamt:
- „Achten Sie darauf, welche Informationen über lhr Unternehmen öffentlich sind bzw. wo und was Sie und lhre Mitarbeiter im Zusammenhang mit lhrem Unternehmen publizieren!
- Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen ein!
- Sensibilisieren Sie lhre Mitarbeiter hinsichtlich des beschriebenen Betrugsphänomens!
- Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung folgende Schritte durchgeführt werden:
- Überprüfen der E-Mails auf Absenderadresse und korrekte Schreibweise
- Verifizieren der Zahlungsaufforderung über Rückruf bzw. schriftliche Rückfrage beim Auftraggeber
- Kontaktaufnahme mit der Geschäftsleitung bzw. dem Vorgesetzten“.
Mögliche Strafbarkeit der „Ceo-Fraud“-Akteure
Bei einem – aus Sicht der Täter – erfolgreichen „Ceo-Fraud“ liegt die Strafbarkeit auf der Hand. Die „Ceo-Fraud“-Akteure machen sich zunächst wegen Betruges i.S.d. § 263 StGB strafbar. Sie täuschen die Mitarbeiter eines Unternehmens über Tatsachen, nämlich der dringend vom Chef durchzuführenden Zahlung auf ein ausländisches Konto. Die Mitarbeiter unterliegen durch diese Täuschung auch einem Irrtum, der sie zur Anweisung des geforderten Betrages veranlasst und damit der von § 263 StGB geforderten Vermögensverfügung. Diese Zahlung löst auch unmittelbar und äquivalent einen Schaden aus. Dass dieser nicht unmittelbar bei dem Mitarbeiter selbst entsteht, ist wegen der Möglichkeit der Begehung eines sog. Dreiecksbetruges, bei dem Verfügender und Geschädigter nicht personenidentisch sind, unschädlich. Ferner dürfte auch der etwaige Vorsatz des jeweiligen „Ceo-Fraud“-Akteurs unproblematisch vorliegen. Denn er will das Unternehmen schädigen, um sich selbst und/oder Dritte zu bereichern, weist also auch die für § 263 StGB erforderliche Bereicherungsabsicht auf. Wenn die Taten, wie in den meisten Fällen (vgl. Kunze, Kriminalistik 2016, S. 544 ff), von einer Bande, die sich zur fortgesetzten Begehung von Urkundenfälschung oder Betrug verbunden hat, gewerbsmäßig begangen wird und/oder ein Vermögensverlust großen Ausmaßes verursacht wird, was bei einer Schadenssumme ab € 50.000,00 angenommen wird, käme ein Betrug in einem besonders schweren Fall i.S.d. § 263 Abs. 3 StGB in Betracht.
Eine der bedeutendsten Entwicklungen im Jahr 2016 war der „Ceo-Fraud“.
Ferner könnte – in Abhängigkeit von der Fallgestaltung – noch der Tatbestand einer Fälschung beweiserheblicher Daten i.S.d § 269 Abs. 1 StGB, womöglich in einem besonders schweren Fall (§ 269 Abs. 3 i.V. m. § 267 Abs. 3 StGB), erfüllt sein (ausführlich hierzu: Buss, CR 2017, S 410 (414 ff.)). Nach § 269 Abs. 1 StGB macht sich strafbar, wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht. Sofern die vorher erlangten Daten unbefugt erlangt worden sind, etwa durch Einschleusen entsprechender Software, kommt zudem eine Tatbestandsverwirklichung gem. § 202a StGB (Ausspähen von Daten) in Betracht (Kunze, Kriminalistik 2016, S. 543).
Da die Täter zumeist vom Ausland aus operieren, ist bereits die Anwendung deutschen Strafrechts problematisch. Dies gilt zwar nicht für die mögliche Strafbarkeit wegen Betruges, weil gem. § 9 StGB eine Tat auch an dem Ort – und damit im Inland – begangen sein kann, an dem der zum Tatbestand gehörende Erfolg eingetreten ist oder nach der Vorstellung des Täters eintreten sollte, vgl. § 9 Abs. 1 StGB. Der Erfolg, der herbeigeführt werden soll, ist beim Betrug der Vermögensschaden. Bei schlichten Tätigkeitsdelikten, wie der Fälschung beweiserheblicher Daten (§ 269 StGB) oder dem Ausspähen von Daten (§ 202a StGB), könnte eine mögliche Strafverfolgung zumindest nicht in Deutschland gewährleistet werden, denn ein tatbestandsmäßiger Erfolg i.S.v. § 9 Abs. 1 StGB ist bei diesen Delikten nicht gegeben. Selbst wenn die Täter nicht vom Ausland aus operieren, ist die Verfolgung von Straftaten, die ausschließlich über das Internet begangen werden, aufgrund der technischen Möglichkeiten, die Verfolgung der Spuren im Internet zu verschleiern, außerordentlich schwierig. In der gesamten Literatur zum Thema „Ceo-Fraud“ findet sich insofern nicht ein Hinweis dazu, ob ein solcher „Ceo-Fraud“ aufgeklärt und die Täter verurteilt werden konnten. Stattdessen finden sich in der Literatur ausreichend Hinweise dazu, wie man sich präventiv durch den Aufbau einer entsprechenden Compliancestruktur gegen einen solchen Angriff wappnet oder, wenn ein solcher Angriff stattgefunden hat, welche Schritte schnellstmöglich unternommen werden müssen, das angewiesene Vermögen doch noch zurückzuerhalten (vgl. etwa: Kunze, Kriminalistik 2016, S. 543; Fritzsche, CB 2017, S. 403).
Mögliche Strafbarkeit des Mitarbeiters wegen Untreue nach einem „Ceo-Fraud“
Was aber geschieht, wenn ein „Ceo-Fraud“ tatsächlich erfolgreich war? Kann dann der Mitarbeiter des Unternehmens, der dem Täter oder den Tätern aufgesessen ist, sich seinerseits strafbar gemacht haben? Ein Unternehmen, das durch einen „Ceo-Fraud“ geschädigt wurde und bei dem die Täter nicht ausfindig gemacht werden können, wird sich zunächst zivilrechtlich an den schadensauslösenden Mitarbeiter wenden, denjenigen also, der die Vermögensverfügung aufgrund des Ceo-Fraud veranlasst hat. So geschehen auch in einem kürzlich vom Sächsischen Landesarbeitsgericht entschiedenen Fall, welches – soweit ersichtlich – erstmalig eine Arbeitnehmerin im Zusammenhang mit einem „Ceo-Fraud“ zumindest anteilig zu Schadensersatz verurteilt hat (Sächsisches Landesarbeitsgericht, Urteil vom 13. Juni 2017 – 3 Sa 556/16 –, juris).
Kommt aber möglichweise auch eine Straftat in Betracht für denjenigen Mitarbeiter, der einem solchen „Ceo-Fraud“ aufsitzt und eine entsprechende Zahlung veranlasst?
Eine mögliche Strafbarkeit des unvorsichtigen Mitarbeiters könnte in § 266 StGB, also einer Untreue, zu finden sein. § 266 StGB ist neben § 263 StGB, dem Betrug, „der zentrale Tatbestand zur strafrechtlichen Absicherung einer an der Zuordnung von Vermögen orientierten Vermögensicherheit“ (Fischer, § 266 StGB, Rn. 2). Die Vorschrift bedroht die vorsätzliche Verletzung von Vermögensbetreuungspflichten, die zu Vermögensnachteilen für den Vermögensinhaber führt, mit Strafe. Geschütztes Rechtsgut ist allein das individuelle Vermögen des Treugebers (BGHSt 14, S. 38 (47)). Funktion des § 266 StGB ist es, die aus der für moderne Wirtschaftssysteme (Arbeitsteilung) charakteristischen Trennung von Vermögensinhaberschaft und Vermögensverwaltung resultierenden Vermögensrisiken durch eine pflichtwidrige Vermögensverwaltung strafrechtlich zu minimieren (BVerfG, NJW 2010, S. 3209 (3212)).
Gem. § 266 Abs. 1 StGB macht sich strafbar und wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wer die ihm durch Gesetz, behördlichen Auftrag oder Rechtsgeschäft eingeräumte Befugnis, über fremdes Vermögen zu verfügen oder einen anderen zu verpflichten, missbraucht oder die ihm kraft Gesetzes, behördlichen Auftrags, Rechtsgeschäfts oder eines Treueverhältnisses obliegende Pflicht, fremde Vermögensinteressen wahrzunehmen, verletzt und dadurch dem, dessen Vermögensinteressen er zu betreuen hat, Nachteil zufügt.
266 enthält mithin zwei Tatbestände: den Missbrauchstatbestand (Alt. 1) und den Treubruchtatbestand (Alt. 2). „Der Missbrauchstatbestand besteht im Missbrauch einer nach außen wirkenden Vertretungsmacht, indem der Täter etwas tut, was er nach außen kann, nach innen aber nicht darf. Der Treubruchtatbestand ist erfüllt, wenn der Täter eine dem Treugeber gegenüber bestehende Treuepflicht zur Wahrnehmung fremder Vermögensinteressen in sonstiger Weise verletzt“ (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn. 23). Das rechtliche Verhältnis beider Tatbestandsalternativen zueinander ist seit jeher umstritten. Nach der „neueren monistischen Lehre“ der Rechtsprechung (statt vieler: BGHSt 24, S. 386 (387)), der sich auch die herrschende Meinung in der Literatur angeschlossen hat (vgl. Wittig in: BeckOK StGB, § 266 StGB, Rn. 5), ist der Missbrauchstatbestand lediglich ein „ausgestanzter Unterfall“ (BGHSt 50, S. 331 (342)) des umfassenderen Treubruchtatbestands und hat somit als lex specialis auf Konkurrenzebene Vorrang (Wittig in: BeckOK StGB, § 266 StGB, Rn. 5). Dies hat nach herrschender Ansicht außerdem zur Folge, dass nicht nur für die Treuebruchs, sondern auch für die Missbrauchsalternative eine Vermögensbetreuungspflicht Tatbestandsmerkmal ist (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.26 m.w.N.).
Missbrauchsalternative
Der hiernach vorrangig zu prüfende Missbrauchstatbestand gem. § 266 Abs. 1 Alt. 1 StGB verlangt den Missbrauch einer „durch Gesetz, behördlichen Auftrag oder Rechtsgeschäft eingeräumten Befugnis, über fremdes Vermögen zu verfügen oder einen anderen zu verpflichten“. Der Missbrauch der Befugnis setzt voraus, dass der Vermögensbetreuungspflichtige sich im Rahmen des ihm im Außenverhältnis zu Dritten eingeräumten rechtlichen Könnens hält, aber die ihm im Innenverhältnis zum Vertretenen gezogenen Grenzen seines rechtlichen Dürfens überschreitet (BGHSt 5, S. 61 (63)). Diese Vorrausetzungen sind auf den ersten Blick erfüllt. Derjenige Mitarbeiter eines Unternehmens, der einem „Ceo-Fraud“ aufsitzt und die begehrte Vermögensverfügung auf das Konto der Betrüger veranlasst, wird in aller Regel im Rahmen des rechtlichen Könnens handeln, weil er befugt ist, eine entsprechende Überweisung zu veranlassen. Eine solche durch Betrug veranlasste Überweisung würde auch die Grenzen des rechtlichen Dürfens überschreiten, weil es nicht im Sinne des Unternehmens ist, durch Betrug veranlasste Vermögenseinbußen zu erleiden. Nach herrschender Auffassung ist in Abgrenzung zur Treubruchalternative die Missbrauchsvariante jedoch beschränkt auf zivilrechtlich oder öffentlich-rechtlich wirksames Verhalten. Es soll insofern keinen Missbrauch darstellen, wenn der rechtsgeschäftliche Missbrauch der Verpflichtungsbefugnis nicht zu einer wirksamen Verpflichtung des Treugebers führt (BGH, NStZ 2006, S. 210 (213)). Eine wirksame Verpflichtung des Treugebers wird im Falle einer durch einen „Ceo-Fraud“ veranlassten Vermögensverfügung hingegen ausgeschlossen sein. Unabhängig von der Frage, ob das geschädigte Unternehmen sein Vermögen tatsächlich zurückerhält, ist eine Vermögensverfügung des getäuschten Mitarbeiters jedenfalls über § 823 Abs. 2 BGB i. V. m. § 263 Abs. 1 StGB anfechtbar.
Der getäuschte und vermögensverfügende Mitarbeiter könnte sich seinerseits demnach nicht wegen § 266 Abs. 1 Alt. 1 StGB strafbar gemacht haben.
Treubruchalternative
Derjenige Mitarbeiter, der einem „Ceo-Fraud“ aufsitzt und eine entsprechende Zahlung veranlasst, könnte sich aber wegen der Treubruchalternative i.S.d. § 266 Abs. 1 Alt. 2 StGB strafbar machen. Diese ist erfüllt, wenn der Täter die ihm kraft Gesetzes, behördlichen Auftrages, Rechtsgeschäftes oder eines Treueverhältnisses obliegende Pflicht, fremde Vermögensinteressen wahrzunehmen, verletzt und dadurch dem, dessen Vermögensinteressen er zu betreuen hat, Nachteile zufügt. Die Treubruchalternative ist weiter als die Missbrauchsuntreue. Sie ist nicht an die wirksame Ausübung externer Rechtsmacht gebunden, so dass sie dem Wortlaut nach in allen (anderen) Fällen in Betracht kommt, in denen die interne Rechtsmacht als Grundlage der Vermögensbetreuungspflicht pflichtwidrig eingesetzt wird (Wittig in: BeckOK StGB, § 266 StGB, Rn. 27 f.).
Vermögensbetreuungspflicht
Vorrausetzung ist zunächst das Bestehen einer Vermögensbetreuungspflicht. Die Vermögensbetreuungspflicht kann nach dem Gesetzeswortlaut durch Gesetz, behördlichen Auftrag oder Rechtsgeschäft begründet sein. Für den Mitarbeiter eines Unternehmens aus der Abteilung Finanzen/Buchhaltung, der eine solche Vermögensverfügung veranlasst, ist die Vermögensbetreuungspflicht durch Rechtsgeschäft, Arbeitsvertrag, ausgelöst.
Tathandlung und Pflichtwidrigkeit
Die Tathandlung des Treubruchtatbestandes besteht in einer beliebigen vermögensrelevanten Handlung, durch die der Täter die ihm obliegende Vermögensbetreuungspflicht verletzt. Mangels näherer Qualifizierung der Pflicht im Innenverhältnis ist der Untreuetatbestand akzessorisch zur gesamten Rechtsordnung mit der Folge, dass grundsätzlich alle Rechtsnormen als taugliche Quelle einer untreuerelevanten Pflichtverletzung in Betracht kommen. Die Vermögensbetreuungspflicht ist danach verletzt, wenn der Treunehmer die ihm übertragene Geschäftsbesorgung in vermögensrelevanter Weise nicht oder nicht ordnungsgemäß ausführt (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.170). Die Verletzung des Treubruchtatbestandes verhält sich insofern streng akzessorisch zu den Bezugsnormen des Zivilrechts oder des öffentlichen Rechts (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.173). „Was zivilrechtlich erlaubt ist, kann demnach keine strafrechtliche Pflichtwidrigkeit im Sinne des Untreuetatbestandes begründen“ (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.170). Die Annahme einer Pflichtverletzung gem. § 266 StGB setzt somit die Feststellung eines Rechtsverstoßes auf der Primärebene voraus.
Zivilrechtliche Primärebene
Zu untersuchen wäre insofern, ob dem Mitarbeiter, der einem solchen „Ceo-Fraud“ aufsitzt und eine entsprechende Zahlung veranlasst, ein Verstoß auf der Primärebene nachzuweisen wäre.
Ein solcher Nachweis hängt stark von der jeweiligen Durchführung des „Ceo-Fraud“ und der Einbindung des Mitarbeiters in die Unternehmensstruktur im Einzelfall ab. Insofern ist – soweit ersichtlich – kaum Rechtsprechung zu der zivilrechtlichen Frage veröffentlicht, ob die getäuschten Mitarbeiter für die entstandenen Schäden haften. In der bereits erwähnten Entscheidung des Sächsischen Landesarbeitsgerichts hat das Gericht in dem Verhalten der Mitarbeiterin, Finanzdirektorin einer Managementgesellschaft, eine erhebliche Pflichtverletzung gesehen. Die Finanzdirektorin habe sich im Rahmen der Überweisungen über interne Befugnisgrenzen hinweggesetzt und hierarchisch nachgeordnete Arbeitnehmer daran gehindert, die Sicherungsmaßnahmen einzuhalten. Durch Veranlassung der Überweisung habe die Mitarbeiterin zum einen gegen die Rücksichtnahmepflicht aus § 241 Abs. 2 BGB verstoßen. Diese gebiete es, keine Überweisung aus Geldbeständen der Unternehmensgruppe zu veranlassen, die nicht im geschäftlichen Interesse der Gruppe liege. Zum anderen sei der Finanzdirektorin ein Verstoß gegen die Konzernvorgabe zur Einholung einer Zweitunterschrift anzulasten. Insgesamt habe die Arbeitnehmerin grob fahrlässig gehandelt. Sie habe objektiv die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt, indem sie die Fälschung der E-Mails nicht erkannte. Der Inhalt der E-Mails sei teilweise sinnlos und verdächtig gewesen. Daher habe sich die Arbeitnehmerin beim CEO der Ernsthaftigkeit der erhaltenen Anweisungen versichern müssen. Sogar Vorsatz sei der Arbeitnehmerin nach Ansicht des Gerichts vorzuwerfen, soweit sie gegen die Konzernvorgabe zur Einholung einer Zweitunterschrift verstoßen habe. Im Hinblick auf den Schadenseintritt habe die Mitarbeiterin wiederum grob fahrlässig gehandelt. Angesichts der vorliegenden Verdachtsmomente und der bewussten Hinwegsetzung über die Konzernvorgabe zur Einholung einer Zweitunterschrift sei die Gefahr eines Verlustes des angewiesenen Geldes für jedermann erkennbar gewesen. Allerdings sei der Schadensersatzanspruch wegen Mitverschuldens um insgesamt 50 % zu mindern. Unter anderem deswegen, weil der Arbeitgeber es unterlassen habe, im Hinblick auf den „Ceo-Fraud“ ausreichende Schutzmaßnahmen zu implementieren. Angesichts des drohenden Schadens genüge ein einmaliger Hinweis auf die Betrugsmasche per E-Mail jedenfalls nicht. Das Landesarbeitsgericht sieht den Arbeitgeber in Anbetracht der hohen Schadensfolgen verpflichtet, entsprechend gefährdete Mitarbeiter zu sensibilisieren, zu schulen und technische Möglichkeiten zu nutzen (z. B. sog. „Identity Spoof Recognition?), um den Empfang gefälschter E-Mails aufzudecken und zu verhindern (insgesamt: Sächsisches Landesarbeitsgericht, Urteil vom 13. Juni 2017 – 3 Sa 556/16 –, juris).
Unter Bezugnahme auf diese Entscheidung wäre ein Verstoß auf der Primärebene insofern zu bejahen.
Strafrechtliche Sekundärebene
Zu untersuchen ist weiter, ob dieser Verstoß auf der zivilrechtliche Primärebene auch auf die strafrechtliche Sekundärebene durchschlägt. Nicht jeder Verstoß gegen eine gesetzliche oder vertragliche Pflicht auf der Primärebene führt nämlich zu einer strafrechtlich relevanten Pflichtverletzung im Sinne des § 266 StGB. „Die Akzessorietät ist mithin eine asymmetrische Akzessorietät, was bedeutet, dass ein Verhalten, das im Zivilrecht erlaubt ist, nicht zu einem strafrechtlichen Verbot führen kann, während das, was im Zivilrecht verboten ist, gleichwohl ohne Strafe bleiben kann, etwa weil noch andere Möglichkeiten der Sanktionierung zur Verfügung stehen oder zusätzliche Voraussetzungen im Hinblick auf die Schwere der Sanktion zu fordern sind“ (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.174). Der Pflichtenverstoß auf der Strafrechtsebene muss gravierend sein (BGHSt 46, S. 30 (34)). Der Grundsatz der asymmetrischen Akzessorietät ist auch durch das Bundesverfassungsgericht bestätigt worden, das ausdrücklich darauf hingewiesen hat, dass nicht jede Pflichtverletzung, sondern nur evidente, also klare und eindeutige Pflichtenverstöße tatbestandsrelevant sind (BVerfG, NJW 2010, S. 3209 (3215)).
Gravierende Pflichtverletzung erforderlich.
Ob und wann eine vermögensbezogene Pflichtverletzung hiernach gravierend ist, lässt sich abstrakt generell nicht festlegen. Entscheidend ist vielmehr die vorliegende Sachverhaltskonstellation des Einzelfalls. „In dem Bemühen, das Erfordernis einer gravierenden Pflichtverletzung mit greifbaren Konturen zu versehen, hat der Bundesgerichtshof im Zusammenhang mit der pflichtwidrigen Vergabe eines Bankkredits Anhaltspunkte für eine gravierende Pflichtverletzung darin gesehen, dass Informationspflichten vernachlässigt wurden, die Entscheidungsträger nicht die erforderliche Befugnis besaßen, im Zusammenhang mit der Kreditgewährung unrichtige oder unvollständige Angaben gegenüber Mitverantwortlichen oder zur Aufsicht befugten oder berechtigten Personen gemacht wurden, die vorgegebenen Zwecke nicht eingehalten wurden, die Höchstkreditgrenzen überschritten wurden oder die Entscheidungsträger eigennützig handelten“ (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.236 mit Verweis auf die Rechtsprechung des BGH).
Da insoweit bisher andere Judikate auf der Primärebene nicht vorliegen, soll noch einmal auf das Urteil des Sächsischen Landesarbeitsgerichts Bezug genommen werden. Hiernach wäre fraglich, ob der in diesem Fall Beklagten eine derart gravierende Pflichtverletzung auf der Sekundärebene nachweisbar wäre. Zwar diente die Anweisung „nicht den geschäftlichen Interessen der Klägerin bzw. der Unternehmensgruppe, da sie sich auf eine Überweisung bezog, die unstreitig zu einem vollständigen Verlust des Überweisungsbetrages geführt hat, ohne dass dies auch nur den geringsten geschäftlichen Nutzen hatte“, was im Sinne der Rechtsprechung des Bundesgerichtshofs ein Indiz für die Strafbarkeit bedeuten könnte, weil die Überweisung den Unternehmensinteressen zuwiderlaufenden Zwecke diente. Auch hat die Beklagte durch ihr Verhalten eine andere Mitarbeiterin des Unternehmens pflichtwidrig veranlasst, „auf den Nachweis bzw. das Einholen der zweiten Unterschrift zu verzichten“ und diese „bewusst und gewollt davon abgehalten, selbst die vorgenannte rudimentäre Prüfung vorzunehmen“ und insofern unrichtige oder unvollständige Angaben gegenüber Mitverantwortlichen oder zur Aufsicht befugten oder berechtigten Personen gemacht, was unter Zugrundelegung der zitierten Kriterien des Bundesgerichtshofs ein weiteres Indiz für eine gravierende Pflichtverletzung wäre. Zudem musste „die Beklagte bei Würdigung des Inhalts der E-Mails den Verdacht hegen, dass die E-Mails in betrügerischer Absicht versandt wurden“, was wiederum ein Indiz dafür sein könnte, dass Informationspflichten vernachlässigt wurden. Allerdings wäre schon auf der Ebene des objektiven Tatbestandes im Rahmen der Prüfung der Schwere des Pflichtenverstoßes zu sehen, dass das Unternehmen ein Mitverschulden traf, weil es seine Mitarbeiter und also auch die Beklagte über einen möglichen „Ceo-Fraud“-Angriff lediglich mit einer E-Mail informierte, obwohl den Unternehmensleitern „das Vorgehen der organisierten Trickbetrüger-Banden im Zusammenhang mit der sogenannten ‚Fake-President-Methode‘ (…) seit längerem bekannt“ (insgesamt: Sächsisches Landesarbeitsgericht, Urteil vom 13. Juni 2017 – 3 Sa 556/16 –, juris) war. Dies könnte bezogen auf die Sachverhaltskonstellation, die der Entscheidung des Sächsischen Landesarbeitsgerichts zu Grund lag, bedeuten, dass eine Strafbarkeit gem. § 266 Abs. StGB mangels gravierenden Pflichtverstoßes für diese Mitarbeiterin ausscheidet.
Ganz allgemein lässt sich sagen: je besser ein Unternehmen seine Mitarbeiter über die Gefahren eines „Ceo-Fraud“ aufklärt, desto wahrscheinlicher wäre eine Strafbarkeit des vermögensverfügenden Mitarbeiters i.S.d. § 266 Abs. 1 StGB. Wenn der entsprechende Mitarbeiter in Bezug auf die Möglichkeit eines solchen Angriffs hinreichend sensibilisiert ist und dennoch entsprechende Vermögensverfügungen veranlasst und hierbei Informations- und Mitteilungspflichten verletzt, die gerade der Minimierung solcher Angriffsgefahren dienen sollen, dann läge eine Strafbarkeit gem. § 266 Abs. StGB in objektiver Hinsicht nahe.
Vermögensnachteil
Durch das treuwidrige Verhalten muss der Täter dem, dessen Vermögensinteressen er zu betreuen hat, einen Nachteil zugefügt haben. Zur endgültigen Erfüllung des objektiven Tatbestandes bräuchte es mithin eines Vermögensnachteils für das angegriffene Unternehmen. Ein Nachteil tritt ein, wenn das treuwidrige Verhalten zu einer nicht durch Zuwachs ausgeglichenen Minderung des wirtschaftlichen Gesamtwertes führt (Dierlamm in: Münchener Kommentar zum StGB, § 266 StGB, Rn.202). Dies dürfte in aller Regel der Fall sein. Nach einem „Ceo-Fraud“ und der darauf durchgeführten Überweisung des Mitarbeiters weisen die Angreifer häufig nochmals auf die strenge Vertraulichkeit hin und fügen sogar eine Frist hinzu (Fritzsche, CB 2017, S. 403 (405)). „So wird in Einzelfällen für einen Zeitraum von 48-72 Stunden gefordert, mehrmals am Tag die Aufrechterhaltung der Vertraulichkeit per E-Mail zu bestätigen. Dem wird in erfolgreichen Angriffsfällen auch Folge geleistet. Für die Angreifer reduziert sich durch den Zeitraum das Risiko, dass die Zahlung doch noch aufgehalten wird. Zudem wird den Angreifern ausreichend Zeit verschafft, den empfangenen Betrag zu stückeln und auf weitere Konten zu transferieren oder auch Teilbeträge abzuheben“ (Fritzsche, CB 2017, S. 403 (405)). Unabhängig von der Möglichkeit der Erfüllung des Tatbestandsmerkmals „Vermögensnachteil“ in Form des sogenannten Gefährdungsschadens dürfte also ein vollendeter Vermögensnachteil für das Unternehmen eintreten.
Vorsatz
Untreue ist ein Vorsatzdelikt. Die Rechtsprechung hat immer wieder betont, dass angesichts des „außerordentlich weit gesteckten Rahmens“ des objektiven Tatbestandes der Untreue „strenge Anforderungen“ an den Nachweis der inneren Tatseite zu stellen seien, was besonders dann gelte, wenn lediglich bedingter Vorsatz in Betracht komme oder der Täter nicht eigensüchtig gehandelt habe (statt vieler: BGHSt 3, S. 23 (25)). Insofern gilt das zur Pflichtwidrigkeit der Tathandlung Ausgeführte auch und gerade für die Frage des möglichen Vorsatzes: je besser ein Unternehmen seine Mitarbeiter über die Gefahren eines „Ceo-Fraud“ aufklärt, desto wahrscheinlicher wäre eine Strafbarkeit des dennoch vermögensverfügenden Mitarbeiters nach einem solchen Angriff i.S.d. § 266 Abs. 1 StGB. Der Pflichtenverstoß muss nämlich vom Tatvorsatz umfasst sein. Hat der Täter die – unzutreffende – Vorstellung, sein Handeln sei mit seinen besonderen Treuepflichten vereinbar, so fehlt ihm das Bewusstsein der Pflichtwidrigkeit, was nicht nur einen Verbotsirrtum, sondern einen vorsatzausschließenden Tatbestandsirrtum begründet (§ 16 Abs. 1 S. 1 StGB). Entscheidend würde insofern sein, wie das Unternehmen vor solchen Angriffen gewarnt hat und welche Kontrollmechanismen von dem Mitarbeiter im Einzelfall umgangen wurden. Konnte der Täter also noch darauf vertrauen, der Erfolg werde nicht eintreten oder hat er den Erfolg billigend in Kauf genommen? Eine Frage des Einzelfalls und des Grads der Pflichtwidrigkeit.
Fazit
Die Durchführung eines „Ceo-Fraud“ ist eine Straftat. Dies gilt zuvorderst für die eigentlichen Angreifer, die sich als Geschäftsführer oder als Teil der Geschäftsführung des Unternehmens ausgeben und Unternehmensmitarbeiter zum Transfer größerer Geldbeträge veranlassen. Aber auch der vermögensverfügende Mitarbeiter kann sich unter Umständen strafbar machen. Dies gilt vor allem dann, wenn das Unternehmen über die Gefahren eines solchen Angriffs umfangreich aufgeklärt hat. Leistet der Mitarbeiter trotz dieser Sensibilisierung den Anweisungen der Angreifer folge, kann dies bedeuten, dass ihm sowohl in objektiver wie in subjektiver Hinsicht eine gravierende Pflichtverletzung vorgeworfen werden kann, mit der Konsequenz, dass er sich wegen Untreue gem. § 266 Abs. 1 StGB strafbar macht.