Phishing & Co. – auch ein Fall für die D&O!?
Der Beitrag wurde am 17. April im Versicherungsmonitor erstveröffentlicht.
Die rasante Entwicklung im Bereich der digitalen Technologien bringt zweifelsohne viele Vorteile mit sich. Die Kehrseite der Medaille ist, dass der technologische Fortschritt auch Kriminellen völlig neue Möglichkeiten für die Begehung von Straftaten eröffnet. Damit erhöht sich auch für Unternehmen die Gefahr, Opfer krimineller Handlungen zu werden. In diesen Fällen kann es unter bestimmten Umständen für das Management und damit auch für den D&O-Versicherer ungemütlich werden.
Phishing, Fake-President, Deepfake, Man-in-the-Middle – wem diese Begriffe nichts oder nur teilweise etwas sagen, sollte gewarnt sein. Denn hinter allen Begriffen verbergen sich kriminelle Angriffsszenarien, deren Unkenntnis zwangsläufig die Gefahr erhöht, selbst Opfer eines solchen Angriffs zu werden. Den größten Bekanntheitsgrad dürfte vermutlich noch die sogenannte Phishing-Methode haben, bei der Kriminelle gefälschte E-Mails dazu nutzen, um an sensible (Unternehmens-)Daten zu gelangen.
Bei der – auch als CEO-Fraud bekannten – Betrugsmasche „Fake-President“ geben sich Betrüger unter Ausnutzung einer fremden Identität als Entscheidungsträger des Unternehmens aus und weisen Mitarbeiter zur Ausführung von Zahlungen an. In die gleiche Richtung gehen die sogenannten Deepfakes, bei denen Zahlungsaufforderungen gegenüber untergeordneten Mitarbeitern mittels Video- oder Sprachnachrichten erfolgen. Derweil stellt ein Angriff nach dem „Man-in-the-Middle-Prinzip“ eine klassische Cyberattacke dar, bei der der Angreifer die Kommunikation zwischen zwei Internetnutzern infiltriert.
Neben dem stark gestiegenen Risiko eines Angriffs von außen besteht für Unternehmen auch weiterhin die Gefahr, dass sie einer strafbaren Handlung durch eigenes Personal zum Opfer fallen. Der „Klassiker“ sind in diesem Kontext Untreuehandlungen durch Mitarbeitende aus der Buchhaltung. Je nach Art des Angriffs und je nach Art des Schadens sind kriminelle Handlungen aus Sicht des betroffenen Unternehmens dann entweder ein Fall für die Vertauensschadenversicherung oder für die Cyberversicherung. Gegebenenfalls können sie aber auch – zumindest mittelbar – ein Fall für die D&O-Versicherung sein.
Für die D&O? Ja, richtig gelesen. Was auf den ersten Blick zunächst einmal abwegig erscheint, ist bei genauerem Hinsehen durchaus plausibel. So hat beispielsweise ein Vorstandsmitglied im Rahmen der in Paragraf 91 Abs. 2 Aktiengesetz konkretisierten Legalitätspflicht geeignete Maßnahmen zu ergreifen, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden, frühzeitig erkannt werden.
Liegt beispielsweise wegen Verdachts- oder Schadenfällen aus der Vergangenheit eine konkrete Gefährdungslage vor, sind die Organmitglieder verpflichtet, ein auf Schadenprävention und Risikokontrolle angelegtes Überwachungssystem einzurichten. Dies beinhaltet insbesondere die Schaffung von Compliance-Strukturen, um die Begehung von Straftaten durch die eigene Belegschaft zu verhindern, aber auch um mögliche Einfallstore für kriminelle Handlungen durch Dritte zu schließen. Darüber hinaus gehört es zu den organschaftlichen Sorgfaltspflichten, ein möglichst effektives IT-Sicherheitssystem zu installieren beziehungsweise installieren zu lassen.
Stellt sich im Schadenfall heraus, dass der Schaden durch entsprechende vorbeugende Maßnahmen hätte verhindert werden können, liegt eine Haftung des Managements nicht mehr in allzu weiter Ferne. Und dann kann auch die Phishing-Mail oder die Deepfake-Sprachnachricht des vermeintlichen Vorgesetzten plötzlich zu einem Fall für die D&O-Versicherung werden.