Jörg Bielefeld: CEO-Fraud macht Dampf in der Compliance-Diskussion

Angesichts nicht enden wollender Compliance-Skandale, die seit Jahren den Wert deutscher Vorzeigeunternehmen um viele Milliarden Euro gesenkt haben, scheint die Selbstwahrnehmung in der Zielgruppe immer deutlicher auseinanderzudriften: Dort die Banken und Industriegrößen, die wegen Korruptions-, Betrugs- und Manipulationsvorwürfen im In- und Ausland zu Zahlungen in Milliardenhöhe getrieben werden. Hier die Vielzahl von Mittelständlern, die sich ob dieser fernab der eigenen Unternehmenslandschaft auftauchenden Extremfälle für weniger gefährdet halten. Die sich sauber wähnen, Compliance nicht so dringend brauchen. Die bei Compliance noch immer kalkulieren, als gehe es um die Anschaffung lästiger Wirtschaftsgüter und nicht um einen zwingend nötigen Kulturwandel, der Grundlage für eine verlässliche, stabile unternehmerische Entwicklung ist. Weiterhin stehen externe Berater und Inhouse-Professionals gemeinsam fassungslos vor dem Phänomen, dass gespart wird, solange ein Unternehmen noch nicht von einem „Compliance-Fall“ gebeutelt wurde, und Geld erst dann keine Rolle mehr spielt, wenn nach Kräften durchsucht, beschuldigt, vernommen und abgeschöpft wird.

Dagegen nimmt sich eine aktuelle Entwicklung vergleichsweise übersichtlich aus, was die Schadenssummen angeht: Immer mehr Unternehmen werden durch aus dem Ausland heraus operierende Betrüger geschröpft. CEO-Fraud, Chef-Betrug oder Enkeltrick 2.0 – die Begriffe bezeichnen sämtlich ein Phänomen, das sattsam bekannt, aber trotz aller Compliance- und Antifraud-Aktivitäten nicht abgestellt ist. So taugt das Thema „Fraud“ hervorragend dazu, auch die in vielen Unternehmen festgefahrene Compliance-Diskussion neu zu entfachen. Hier geht es um die griffige Abwehr von Risiken, die für jeden Geschäftsleiter verständlich und quantifizierbar sind. Es geht nicht „nur“ um ein oft als theoretisch wahrgenommenes Sanktionsrisiko wegen hausgemachter Compliance-Verstöße, sondern um von außen auf das Unternehmen wirkende Straftäter. Die inhaltliche Schnittstelle beider Sichtweisen liegt beim CEO-Fraud auf der Hand: Diebe nutzen die Sorglosigkeit und manchmal auch Eitelkeit verdienter Mitarbeiter, um mit aus IT-Perspektive „billigen“ Methoden tief in die Kasse geschädigter Unternehmen zu greifen.

Gerade der Mittelstand ist aus Täterperspektive ein dankbares Opfer. Hier fehlt es oft an der Bereitschaft, in Präventionskonzepte zu investieren. Die Täter verfeinern derweil laufend ihre Techniken des social engineering. Zugleich verlieren Unternehmer im Schadensfalle wegen fehlender oder lückenhafter Prozesse wertvolle Zeit, lassen Stunden verstreichen, bis sie sich mit spezialisierten Stellen in Verbindung setzen. Staatsanwälte sind, je nach Bundesland und Spezialisierung, teils auf Zack, teils ziehen sie sich mit beängstigender Nonchalance auf die angebliche Erfolglosigkeit von Rechtshilfemaßnahmen zurück und unternehmen – nichts.

Nichts wäre also einfacher für Compliance-Beauftragte, sich gemeinsam mit ihren Kollegen von Risk, Revision und Kommunikation des Klassikers „Fraud“ mit neuem Schwung anzunehmen. Sie sollten sich mit spezialisierten externen Beratern, kundigen Kriminalbeamten (ja, die gibt es!) sowie Profis aus dem Bereich des internationalen Zahlungsverkehrs vernetzen, die z. B. genau wissen, auf welchem Wege es sinnvoll ist zu versuchen, eine betrügerisch veranlasste Überweisung „zurückzuholen“. Es ist also höchste Zeit, sich auf diese Weise ein Bild zu machen von einem am Ende simplen Bündel effektiver Möglichkeiten, den Betrügern das Handwerk zu legen und das eigene Unternehmen zu schützen. Kein Management erklärt seinen Anteilseignern gern, auf eine Masche hereingefallen zu sein, die sonst nur bei Hochbetagten zieht.

Sie ahnen vielleicht, woran es dennoch scheitern könnte? Genau: Voraussetzung für diese überfälligen Schritte ist einmal mehr eine gesunde Unternehmens- und Compliance-Kultur. Mit der Hierarchie-Denke verhafteten Mitarbeitern, die aus Angst aufzufallen lieber nicht kritisch nachfragen und ein etwaiges Störgefühl daher für sich behalten, ist auch dem Phänomen des „CEO-Fraud“ kein Riegel vorzuschieben. Es bleibt zu hoffen, dass Geschäftsführer und Vorstände anhand des Schadenspotentials errechnen können, dass es für ihr Unternehmen billiger kommt, an dieser Baustelle auf Qualität zu setzen; kostspielige Nachträge sind ansonsten vorprogrammiert.

Jörg Bielefeld ist Rechtsanwalt und leitet als Partner der BEITEN BURKHARDT Rechtsanwaltsgesellschaft das Team Wirtschaftsstrafrecht und Compliance. Er ist besonders auf die straf- und ordnungswidrigkeitenrechtliche Beratung von Unternehmen bei der frühzeitigen Verteidigung gegen drohende Sanktionen spezialisiert, ebenso auf die Beratung in komplexen Compliance-Fällen, sowohl im nationalen als auch internationalen Kontext.