Home

Die Strategie des „fake president fraud“ ist nicht auf eine Täuschung entscheidungsbefugter Personen ausgelegt, sondern auf die Umgehung oder unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Manipulation und Täuschung eines weisungsabhängigen Mitarbeiters der Abteilung Finanzen oder der Buchhaltung

 
GZ 8 ObA 109/20t, 03.08.2021
 
OGH: Das Ziel eines internen Kontrollsystems ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen. Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit. Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art wie Unterschriftenregelungen, EDV-Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, durchgeführt werden. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines internen Kontrollsystems zu kontrollieren.
 
Ein Kontrollsystem idS bestand hier. Es liegt aber auch auf der Hand, dass ein fake president fraud, der auf Methoden des „social engineering“ beruht und die angesprochenen Mitarbeiter gerade zur Umgehung der Kontrolleinrichtungen verleiten will, damit allein nicht verhindert werden kann. Die hier angewandte Methode geht über die herkömmlichen, durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbaren E-Mails, wie sie in der Vergangenheit gesendet wurden, erheblich hinaus. Die Strategie dieser speziellen Form des fake president fraud ist nicht auf eine Täuschung entscheidungsbefugter Personen ausgelegt, sondern auf die Umgehung oder unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Manipulation und Täuschung eines weisungsabhängigen Mitarbeiters der Abteilung Finanzen oder der Buchhaltung.
 
Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt, alles mit dem Ziel, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens, ausnahmsweise zu umgehen bereit ist.