PDF downloaden

Neue Arbeitswelt, neue Risiken

Die Arbeitswelt ist stetigem Wandel unterworfen. Vor allem die zunehmende Digitalisierung der Arbeit führt zu zahlreichen Veränderungen, die von Unternehmen und Angestellten gleichermaßen bewältigt werden müssen. Dazu gehört auch die Abwehr von Bedrohungen von außen. Denn findige Betrüger nutzen jegliche Unsicherheiten und Sicherheitslücken gnadenlos aus. In letzte Zeit ist vermehrt vom sogenannten CEO-Fraud die Rede. Dahinter verbirgt sich eine nicht immer leicht zu enttarnende Betrugsmasche.

Im Kern funktioniert diese Masche so, dass sich Betrüger per E-Mail als ranghohe Vorgesetzte oder Geschäftsführer (englisch oft als „CEO“ abgekürzt) des Unternehmens ausgeben und einem vorher z.B. über soziale Netzwerke mehr oder minder gut ausgekundschafteten Mitarbeiter aus der Buchhaltung vorspiegeln (englisch „fraud“ für Betrug), sie müssten eine Überweisung tätigen, die keinerlei Aufschub oder lästige Rückfrage dulde. Oft wird den Mitarbeitern vorgetäuscht, es gehe um einen wichtigen Geschäftsabschluss eines bis dahin noch geheimgehaltenen Projekts, um eine besonders sensible Angelegenheit, in die nur der engste Führungskreis eingeweiht gewesen sei, oder um die Zahlung von Steuerrückständen, Geldbußen usw. Rückfragen wegen möglicherweise bestehender interner Kontrollmechanismen (Vier-Augen-Prinzip, Zweitunterschrift, persönliche digitale Signaturkarte) werden mit großzügigen Freigaben und Erledigungsdruck umgangen. Nicht selten erfolgt dabei eine allererste Kontaktaufnahme mit der Frage, ob das Firmenkonto genügend Deckung für eine Zahlung in bestimmter Höhe aufweise. Reagiert der Mitarbeiter bestätigend, hat er schon eine wichtige Information an den Angreifer weitergegeben: nämlich die, dass er zumindest den Kontostand abrufen kann. Der Angreifer weiß damit auch, dass dieser Mitarbeiter mit hoher Wahrscheinlichkeit auch eine Überweisung veranlassen darf. Reagiert der vermeintliche Vorgesetzte dann erst einmal nicht mehr weiter, gerät der Vorgang schnell in Vergessenheit. In einem zweiten Schritt nimmt der Angreifer dann aber nach einiger Zeit noch einmal Kontakt auf und bezieht sich möglicherweise sogar auf seine erste Anfrage. Dabei bringt er dann den aktuellen Kontostand in Erfahrung und verlangt meistens auch schon die Überweisung. 


Ist der angesprochene Mitarbeiter von der Authentizität der Zahlungsanweisung überzeugt und wird eine Überweisung getätigt, ist der Betrag regelmäßig nicht mehr zurückzuholen. Aus Arbeitgebersicht ist das nicht nur ärgerlich, sondern unter Umständen sogar existenzbedrohend. Denn typischerweise werden Beträge in namhafter Höhe angewiesen und Unternehmen können durch diese besondere Form des Betrugs schnell in wirtschaftliche Schieflage geraten.

Da der Angreifer praktisch nicht dingfest zu machen ist, bleibt für einen etwaigen Regress meist nur der Buchhaltungsmitarbeiter, der die Zahlung getätigt hat und letztlich selbst Opfer der Betrugsmasche ist, denn eine eintrittspflichtige Versicherung wird es meist nicht geben.

Hier stellt sich dann die Frage, ob der Mitarbeiter den von ihm gezahlten Betrag als Schadensersatz überhaupt an den Arbeitgeber erstatten muss und wenn ja, ob er ganz oder nur teilweise zur Erstattung herangezogen werden kann. Klar ist, dass bei Schadenbeträgen von mehr als 100.000,00 € die meisten Arbeitnehmer wirtschaftlich überfordert sind. Auch ist die Rechtsprechung der Arbeitsgerichte hier eher arbeitnehmerfreundlich und deckelt die Schadenssumme (üblicherweise ein Bruttojahresgehalt). Denn um eine Erstattung ganz oder teilweise zu erlangen, muss der Arbeitgeber selbst ein hinreichend starkes internes Kontrollsystem und seinem Mitarbeiter Vorsatz oder grobe Fahrlässigkeit nachweisen können.

Vor diesem Hintergrund ist bemerkenswert, dass das Landesarbeitsgericht (LAG) Sachsen (13. Juni 2017 – 3 Sa 556/16) nunmehr eine Mitarbeiterin zur Zahlung von Schadenersatz in Höhe von 150.000,00 € an den Arbeitgeber verurteilt hat. Die Arbeitnehmerin erzielte ein Jahresbruttogehalt in Höhe von 100.000,00 €; trotz einer vorher (einmalig) ausgesprochenen Warnung durch die Konzernspitze vor dieser speziellen Betrugsmasche überwies die Angestellte insgesamt 800.000,00 € auf ein ausländisches Konto, es entstand am Ende ein Schaden von immer noch ca. 420.000,00 €. Das LAG machte klar, dass die einmalige Warnung der Konzernspitze nicht ausgereicht hätte. Gleichzeitig hätte sich aber die Fälschung als solche aufdrängen müssen. Die Angestellte hätte nicht auf die Echtheit der Mails vertrauen dürfen und im Ergebnis grob fahrlässig gehandelt.

Ein 100%iger Schutz vor ausgeklügelten Betrugsmaschen lässt sich nicht erlangen. Alle Arbeitgeber müssen menschliches Fehlverhalten wie situative Unsicherheit, Stress und Verwirrung, im Design ihrer organisatorischen Sicherheitsmaßnahmen berücksichtigen. Mitarbeiter sollten geschult werden, potentielle, auch neuartige Bedrohungen zu erkennen und sich im Zweifel an Vorgesetzte oder eine externe Anlaufstelle (Verband, Rechts-/Steuerberatung o.ä.) zu wenden. Denn je mehr der Arbeitgeber nachweislich und regelmäßig zur Vermeidung solcher Vorfälle unternimmt, desto eher wird er bei seinem Arbeitnehmer erfolgreich Regress nehmen können. Sprechen Sie uns bei Bedarf gern an!
 

Erschienen am

Der Organisationsablauf unserer Kanzleien ist zertifiziert z.B. durch

TÜV Rheinland - nach CERT ISO 9001
TÜV Rheinland
nach CERT ISO 9001
DEKRA - nach CERT ISO 9001
DEKRA
nach CERT ISO 9001
TÜV HESSEN - nach CERT ISO 9001
TÜV HESSEN
nach CERT ISO 9001