Der Sommer ist für viele Unternehmer eine Zeit, um etwas Abstand vom Tagesgeschäft zu nehmen. Gerade in diesen Wochen wittern Cyberkriminelle ihre Chance.

Wenn ein Geschäftsführer oder Finanzverantwortlicher abwesend ist, steigt das Betrugsrisiko nachweislich.

Eine E-Mail mit einer dringenden Zahlungsaufforderung, ein Anruf eines vermeintlich bekannten Lieferanten oder die Bitte, „noch schnell vor dem Wochenende“ eine Rechnung zu begleichen: Das sind klassische Beispiele für Betrug, der gerade in Urlaubszeiten erfolgreich sein kann.

Viele Unternehmer gehen davon aus, dass gute Software ausreichend Schutz bietet. Tatsächlich ist der Mensch häufig das schwächste Glied.

Warum gerade während der Urlaubszeit?

Betrüger wissen, dass Organisationen im Sommer anders funktionieren. Entscheidungen werden von Vertretern getroffen, die mit laufenden Vorgängen weniger vertraut sind. Kollegen sind schwerer erreichbar, interne Kontrollen werden mitunter weniger strikt angewendet und der Druck, Angelegenheiten dennoch zu erledigen, ist groß.

Genau das nutzen Kriminelle aus.

Eine häufige Form ist der sogenannte CEO-Betrug. Ein Mitarbeiter erhält eine E-Mail, die scheinbar vom Geschäftsführer stammt, mit der Bitte, eine vertrauliche und dringende Zahlung auszuführen.

Da der Geschäftsführer angeblich unterwegs oder im Urlaub ist, wird betont, dass ein telefonischer Kontakt nicht möglich und Diskretion erforderlich sei.

Auch die Änderung von Bankverbindungen von Lieferanten bleibt eine beliebte Betrugsform.

Eine scheinbar harmlose E-Mail, in der ein Lieferant mitteilt, dass künftige Zahlungen auf ein neues Konto überwiesen werden sollen, kann zu erheblichen finanziellen Schäden führen.

Die rechtliche Verantwortung

Wird ein Unternehmen Opfer eines solchen Betrugs, stellt sich häufig die Frage, wer den Schaden trägt.

In manchen Fällen kann eine Bank haften, wenn sie eine ungewöhnliche Transaktion nicht ausreichend geprüft hat. In anderen Fällen kann hingegen angenommen werden, dass das Unternehmen selbst keine ausreichenden internen Kontrollmaßnahmen getroffen hat.

Immer häufiger wird darauf abgestellt, ob ein Unternehmen seine Prozesse so eingerichtet hat, dass Betrug vernünftigerweise hätte verhindert werden können.

Eine gut organisierte interne Struktur ist daher nicht nur betriebswirtschaftlich sinnvoll, sondern kann auch rechtlich von großer Bedeutung sein.

Praktische Maßnahmen

Bereits eine überschaubare Anzahl organisatorischer Maßnahmen kann das Risiko erheblich verringern:

• Legen Sie fest, wer während der Urlaubszeit berechtigt ist, Zahlungen freizugeben.
• Führen Sie bei höheren Beträgen stets das Vier-Augen-Prinzip ein.
• Verifizieren Sie jede Änderung einer Bankverbindung telefonisch über eine bereits bekannte Telefonnummer, niemals über die Kontaktdaten aus der erhaltenen E-Mail.
• Sensibilisieren Sie Mitarbeiter für die häufigsten Formen von Phishing und CEO-Betrug.
• Vereinbaren Sie, dass Eile niemals ein Grund ist, interne Kontrollverfahren zu umgehen.

Vorbeugen ist einfacher als prozessieren

In unserer Praxis sehen wir regelmäßig Unternehmen, die erst nach einem Betrugsfall feststellen, dass interne Absprachen nie ordnungsgemäß dokumentiert wurden. Dann folgt eine komplizierte Diskussion mit Banken, Versicherern oder Vertragspartnern darüber, wer für den entstandenen Schaden verantwortlich ist.

Gerade in der Urlaubszeit verdient die interne Organisation daher besondere Aufmerksamkeit.

Eine klare Zuständigkeitsregelung, eindeutige Kontrollverfahren und eine wachsame Organisation bieten nach wie vor den besten Schutz.

Juristisch präzise: Das Betrugsrisiko steigt nicht, weil Mitarbeiter im Urlaub sind, sondern weil Kriminelle wissen, dass Organisationen dann verwundbarer sind. Eine gute Vorbereitung vor der Abreise kann viel Ärger und kostspielige Gerichtsverfahren verhindern.