CEO-Fraud – der Härtetest für das IKS im Rechnungswesen
In der [i]Hohe SchadenssummenRubrik „Vermischtes“ der Lokalpresse ist immer mal wieder davon zu lesen. Und wer hat nicht insgeheim selbst den Kopf geschüttelt, wenn es wieder funktioniert hat, weil ihm das selbstredend natürlich nicht passieren würde: Der Enkeltrick, mit dem älteren Menschen am Telefon erfolgreich vorgegaukelt wird, der Enkel befindet sich in einer Notlage und braucht dringend Geld, das dann postwendend von einem Freund abgeholt wird. Dass der Enkeltrick in der Variante als CEO-Fraud tatsächlich auch in Unternehmen siebenstellige Schäden anrichten kann, belegen ähnliche Fälle aus der Tagespresse: In München überwies eine Buchhalterin 1,9 Mio. Euro nach China, weil sie eine E-Mail erhalten hatte, die von ihrer Chefin stammen sollte. Niemandem solle die Buchhalterin von der hochgeheimen Transaktion berichten, es folgten weitere Anweisungen. Und dann ein Zahlungsauftrag. In einem ähnlichen Fall aus Pforzheim hatte die Buchhalterin 1,6 Mio. Euro ebenfalls nach China überwiesen, nachdem sie angeblich von ihrem Chef einen Anruf und eine E-Mail mit weiteren Instruktionen erhalten hatte.
Beide [i]Bank trägt MitschuldFälle wurden erst im Rahmen der juristischen Aufarbeitung publik: Im ersten Fall aus München streitet das Unternehmen mit der Bank darum, wer den Schaden bezahlen muss. Denn die Bank hätte die Zahlung niemals ausführen dürfen, so jedenfalls die Auffassung des Unternehmens, zu sehr falle die Überweisung aus dem üblichen Rahmen. Das OLG München befand nun, die Bank trage immerhin zu einem Viertel bis zu einem Drittel die Schuld und forderte entsprechende Vergleichsverhandlungen. Im zweiten Fall aus Pforzheim ging es nicht um Schadensersatz, sondern um die arbeitsrechtlichen Konsequenzen. Die Buchhalterin handelte nach Ansicht des Arbeitsgerichts zwar ohne Vorsatz, aber grob fahrlässig, so dass sie sich mit dem Arbeitgeber auf eine einvernehmliche Beendigung des Arbeitsverhältnisses einigte ohne weitere finanzielle Ansprüche des Arbeitgebers. Auch die Buchhalterin aus München musste das Unternehmen verlassen.
Das [i]Wiechers, Das interne Kontrollsystem als Gegenstand der Abschlussprüfung, BBK 2/2009 S. 82 NWB KAAAD-02750 Bundesamt für Sicherheit in der Informationstechnik weist auf seiner Webseite darauf hin, dass es den Behörden gelungen sei, im Zuge eines Ermittlungsverfahrens gegen organisierte Kriminalität eine Liste mit 5.000 Zielpersonen zu erhalten, die berechtigt sind, Finanztransaktionen für Unternehmen durchzuführen. Die Daten dazu stammen zum Beispiel aus sozialen Netzwerken und Karriereforen.
Welche Unternehmen betroffen sind, wie die Täter im Einzelnen vorgehen, was auch nur bei einem Verdachtsfall zu tun ist und welche Schlussfolgerungen für das interne Kontrollsystem im Rechnungswesen aus diesen Beispielen zu ziehen sind, zeigt in dieser Ausgabe der BBK ab Seite 769.
Beste Grüße
Christoph Linkemann
Fundstelle(n):
BBK 2017 Seite 729
NWB KAAAG-53428