Haftung in einem CEO-Fraud-Fall
Das LAG Sachsen hatte mit Urteil vom 13.6.2017 einen Fall gegen eine leitende Mitarbeiterin eines Unternehmens zu entscheiden. Diese Mitarbeiterin war auf einen sogenannten CEO-Fraud hereingefallen. Das sind Fälle, in denen sich der Täter als Firmenchef (CEO) oder Finanzchef (CFO) oder als sonstiger Vorgesetzter ausgibt. Ausgenutzt wird das Bedürfnis des Mitarbeiters, dem Chef zu gefallen und zu zeigen, dass Aufgaben ohne ‚wenn und aber‘ erledigt werden. Zielpersonen sind oftmals Personen aus der Buchhaltung oder sonstige Personen mit Zahlungsbefugnissen. Dem Automobilzulieferer Leonie entstand so im Jahr 2016 ein Schaden in Höhe von 40Mio.? durch CEO-Betrug. In dem vom LAG entschiedenen Fall hatte die Mitarbeiterin aus der Buchhaltung 400.000? zu Lasten des Unternehmens an das von den Cybertätern angegebene Konto transferiert. Diese Mitarbeiterin wurde zur Erstattung von 150.000? verurteilt. Sie habe grob fahrlässig gehandelt, da sich die Fälschung der E-Mails habe aufdrängen müssen.
Unternehmen mitschuldig
Anspruchsmindernd wurde vom LAG Sachsen berücksichtigt, dass das Unternehmen keine ausreichenden Schutzmaßnahmen implementiert hatte. Und hier schließt sich der Kreis zur Haftung der Unternehmensleitung. Diese muss nämlich für ein ordnungsgemäßes Risk-Management sorgen. Dazu sind Schulungen der Mitarbeiter erforderlich und eine Kommunikationskultur im Unternehmen, die den Austausch entsprechender Erfahrungen erlaubt. Schulungen werden auch von entsprechend spezialisierten Kanzleien angeboten. Dabei werden auch Testangriffe durch Phishing-Kampagnen vorgenommen. Vorsicht also! Vielleicht werden auch Sie getestet.
Hochachtungsvoll