Internes Kontrollsystem und Organisationsverschulden in Cybercrime-Zeiten

Ein österreichisches Hightech-Industrieunternehmen war einem in Europa bis dato unbekannten Cybercrime-Typus mit dramatischen finanziellen Folgen zum Opfer gefallen: 54 Mio. Euro Betrugssumme, davon jedenfalls 42 Mio. verloren. Der Rest konnte auf ausländischen Konten noch rechtzeitig eingefroren werden.

„Fake President Fraud“ (fraud: Betrug) nennt sich diese Betrugsmasche, eine spezielle Variante des „Social Engineering“. Sie besteht im Kern aus der dauerhaften Manipulation von Mitarbeiter:innen mithilfe von Internet und Intranet, um Passwörter, PINs oder TANs nach monatelangem „in Sicherheit wiegen“ zu erlangen. Dass diese „Masche“ zu den Tatzeitpunkten, also bei Vornahme der massiven Manipulationen einer Finanzbuchhalterin, zumindest im deutschsprachigen Raum noch nicht bekannt war, rettete dem CEO schadenersatzrechtlich „den Hals“. Er hatte die internen Abläufe, Kontrollmechanismen und die (IT-)Sicherheitsarchitektur des Unternehmens laut OGH sehr wohl nach größen-, komplexitäts- und branchenüblichen sowie damals im Jahr 2014/15 „gerade noch aktuellen“ Sicherheitsstandards organisiert.

Der Oberste Gerichtshof verneinte daher ein Organisationsverschulden des CEO. Die auf die betrügerischen Tricks und Manipulationen „hereingefallene“ Finanzbuchhaltungs-Angestellte und andere Mitarbeiter:innen - etwa aus dem IT-Bereich des Konzerns - sind allerdings noch in laufende Schadenersatzprozesse verstrickt. Es ist zu hoffen, dass sich die den CEO betreffende haftungsbefreiende Entscheidung auch auf diese Verfahren positiv auswirkt.

OGH-Leitsätze zu IKS, Innenrevision und Controlling

Im Folgenden werden nicht die komplexen sozialpsychologischen Mechanismen des Betrugs dargestellt, sondern einige Leitsätze des OGH zu sorgfaltsgemäßer Organisation von IKS und IT-Sicherheit. Aufsichtsratsmitglieder sollten sich regelmäßig - zumindest jährlich, bei realen Bedrohungs- oder Verdachtsfällen aber häufiger – von der Geschäftsleitung berichten und nachweisen lassen, dass die von ihnen überwachte Gesellschaft cyber-angriffsfest ist.

Bis zu dieser OGH Entscheidung aus 2021 war in der Judikatur unklar, ob das gesetzlich vorgeschriebene interne Kontrollsystem (vgl. § 22 GmbHG, § 82 AktG) nur der Insolvenz-Prophylaxe dient oder ob es auch kriminellen Schädigungsabsichten vorbeugen soll. Der OGH entschied nun, dass ein sehr allgemeiner Normzweck bestehe, nämlich die generelle Sicherung des Gesellschaftsvermögens durch adäquate Maßnahmen, Methoden und „Check“-Prozesse im Rechnungswesen, Riskmanagement und Controlling.

Zweck der Kontrollsysteme

Das Ziel eines internen Kontrollsystems ist es, das Vermögen der Gesellschaft (und allenfalls ihrer Töchter) zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnungen zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen. Regelmäßig basiert es auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art, wie Unterschriftenregelungen, EDV-Zugriffsbeschränkungen oder Arbeitsanweisungen. Kontrollmaßnahmen, die manuell oder automatisationsunterstützt etabliert sind, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, sind ein wichtiger Bestandteil. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.

Im betroffenen Unternehmen unterlag die Zahlungsfreigabe genau definierten, automatisierten Prozessen mit mehrfachen unabhängig voneinander erforderlichen Autorisierungen unter Einhaltung des Mehraugenprinzips. Auch der letzte Schritt der Kette, die Erteilung des Überweisungsauftrags an die Bank, war dahingehend geregelt, dass zwei verschiedene Bankkarten zu verwenden waren, die von zwei verschiedenen Angestellten der Finanzbuchhaltungsabteilung zu verwahren und zu verwenden gewesen wären. Das IKS war punkto Zahlungsfreigaben daher ex ante betrachtet gesetzeskonform in Hinblick auf die Größe, Komplexität und Branche des Unternehmens. [ex post, im Nachhinein ist Mensch immer klüger…], so der OGH.

Wie misstrauisch muss Geschäftsführung oder Aufsichtsorgan sein?

Der OGH geht in seinem Erkenntnis davon aus, dass nicht davon ausgegangen werden kann, dass jene höchst professionell organisierte, mit offenkundig erheblichem Rechercheaufwand ausgeklügelte und auf mehreren kommunikativen Ebenen ausgeführte Angriffsmethode, die zum Schadensfall geführt hat, vor Ende 2015 im deutschsprachigen Raum bereits bekannt war. Die Methode bestand insbesondere aus einem monatelangen „Umgarnen“ und „Einlullen“ einer Finanzbuchhaltungsangestellten. Sie geht über die herkömmlichen, durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbaren E-Mails erheblich hinaus. Die Strategie dieser speziellen Form ist nicht auf eine Täuschung entscheidungsbefugter Personen ausgelegt, sondern auf die Umgehung oder unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Manipulation und Täuschung eines weisungsabhängigen Mitarbeiters der Abteilung Finanzen oder der Buchhaltung.

Cyber-Fraud Mechanismen erkennen

Die Ausnutzung menschlicher Eigenschaften ist ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: angebliche Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt. Alles mit dem Ziel, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens ausnahmsweise zu umgehen bereit ist (vgl Fritzsche, Eigenschaften von Fake President Fraud – Grundlagen zur Risikobeurteilung, Maßnahmenableitung und Reaktion im Einzelfall, Compliance-Berater 11/2017).

Grundlage der Haftung nach § 25 GmbHG ist aber immer eine individuelle, schuldhafte Pflichtverletzung. Für das Fehlverhalten von Angestellten haften Geschäftsführer nicht schon dann, wenn es möglich war und ein Schaden eingetreten ist, sondern nur, wenn sie ihre Organisations- und Überwachungspflichten schuldhaft verletzt haben und dieses Versäumnis schadenskausal war. Von dem 2015 bestehenden Wissensstand ausgehend konnte der CEO nachweisen (Beweislastumkehr: seine Sorgfaltspflicht-Erfüllung muss der Beklagte beweisen!), dass er die Sorgfalt eines ordentlichen Kaufmanns nicht verletzt hat, insbesondere nicht durch Unterlassung von objektiv gebotenen Überwachungs- und Kontrollmaßnahmen oder Warnpflichten.

Im Volltext ist die Entscheidung des OGH vom 3.8.2021 (GZ: 8 ObA 109/20t) im RIS (www.ris.bka.gv.at) nachzulesen.