Was mit einem nigerianischen Prinzen, der sein Millionenerbe verschenken will, begann, hat sich längst zu einem lukrativen Geschäft für Betrüger weiterentwickelt. Gerade in der Weihnachtszeit haben betrügerische Nachrichten und Attacken Hochsaison und versuchen die vorweihnachtlichen Umstände, wie unter anderem vermehrte Weihnachtswünsche per E-Mail und Online-Bestellungen von Weihnachtsgeschenken für Cybercrime auszunutzen. Von vermeintlichen Nachrichten der Kinder wegen eines verlorenen Handys bis zu E-Mails des Finanzamts wegen eines angeblichen Rückzahlungsguthabens und falschen Nachrichten des Paketzustellers zur Aktualisierung der Zustelladresse – der Kreativität der Kriminellen sind keine Grenzen gesetzt. Auch Österreich bleibt von der Internetkriminalität nicht verschont, wie der Cybercrime-Statistik des Bundesministeriums für Inneres entnommen werden kann. Im Jahr 2024 wurden 62.328 Straftaten zur Anzeige gebracht, die Dunkelziffer ist vermutlich viel höher.
(Quelle: https://www.bmi.gv.at/magazin/2025_11_12/01_Cybercrime_Report.aspx).
Eine aktuelle Entscheidung des Obersten Gerichtshofs (OGH am 28. Oktober 2025, 3 Ob 161/25k) zum Mitverschulden im Zusammenhang mit einem Cyberangriff verdeutlicht die omnipräsente Gefahr eines Cyberangriffs für Unternehmen und unterstreicht die notwendige Aufmerksamkeit aller Beteiligten im geschäftlichen Verkehr:
Sachverhalt
Die Parteien des Gerichtsverfahrens hatten zum Zeitpunkt des Cyberangriffs bereits eine langjährige Geschäftsbeziehung. Im Jahr 2015 wurden Zahlungsanweisungen der Klägerin von einem Betrüger so manipuliert, dass Empfängeradressen geändert und in der Folge an die beklagte Gesellschaft verschickt wurden, weshalb der Beklagte Kaufpreise von insgesamt über EUR 750.000 statt an die Klägerin an einen Dritten überwiesen hat. Die Klägerin begehrte Zahlung der – nicht erhaltenen - Kaufpreise. Die Gerichte teilten den Schaden zu je 50% zwischen den Streitteilen und erkannten auf ein gleichteiliges Mitverschulden.
Wie kam es dazu?
Mitverschulden beider Parteien am Vorfall
Die Klägerin hatte zwar die erste zum Schaden führende Handlung gesetzt, indem sie die Zahlungsanweisungen an eine vom Betrüger bekannt gegebene, vermeintlich neue E‑Mail‑Adresse des Geschäftsführers der Beklagten übermittelt hatte.
Die Tatsache alleine, dass nur durch diese Übermittlung an den Betrüger die Manipulation der Empfängerangaben auf den Zahlungsanweisungen ermöglicht wurden, reicht jedoch nicht aus, um ein Mitverschulden der Beklagten auszuschließen. Die Beklagte hätte den Betrug nämlich noch verhindern können, wenn sie wegen der auffälligen neuen Umstände bei der Klägerin nachgefragt hätte, zumal ihr die Zahlungsanweisungen nicht nur mit geänderter Person des Zahlungsempfängers, sondern auch von einer neuen E‑Mail‑Adresse übermittelt worden war. Der OGH ging daher davon aus, dass beiden Parteien der Vorwurf zu machen sei, „dass ihre Organe dem Umstand, dass die Korrespondenz plötzlich von anderen (den bisher verwendeten ähnlichen) E-Mail-Accounts erfolgte, keine Bedeutung beigemessen haben“ (OGH 3 Ob 161/25k, Rz 6). Zur Begründung für die Annahme des Mitverschuldens zieht der OGH die Außerachtlassung wesentlicher Sicherheitsmaßnahmen und Kontrollmechanismen heran.
Praxistipps aus der Entscheidung
Nachfolgende Maßnahmen können das Risiko eines Cyberangriffs und die Haftung von Unternehmen und deren Geschäftsleitung minimieren:
Sorgfältige Prüfung des E‑Mail‑Absenders: Cyberangreifer bedienen sich häufig gefälschter Absenderidentitäten (sogenanntes „Spoofing“), um sich Vertrauen beim Empfänger zu erschleichen. Bei solchen E‑Mails ist der Absender im Header manipuliert, sodass im Posteingang ein scheinbar vertrauter Absendername erscheint. Insbesondere bei Zahlungsanweisungen, Kontoänderungen oder sonstigen ungewöhnlichen Inhalten, in denen zB zum Anklicken von Links aufgefordert wird, sollte daher stets überprüft werden, ob die im Mailprogramm angezeigte Absenderadresse tatsächlich und exakt der bislang bekannten Absenderadresse entspricht.
Kritische Hinterfragung geänderter Rahmenbedingungen: Änderungen von Zahlungsdaten, Kontoverbindungen oder sonstigen geschäftsrelevanten Informationen eines Vertragspartners sollten niemals ungeprüft übernommen werden. Seriöse Unternehmen ändern derartige Daten regelmäßig nicht ohne vorherige offizielle Ankündigung über üblicherweise im Geschäftsverkehr verwendete Kommunikationskanäle. Ergänzend kann etwa auf der Unternehmenswebsite kontrolliert werden, ob tatsächlich eine neue Kontoverbindung bekanntgegeben worden ist; im Zweifel sollte eine Rückfrage über die bisher genutzten und bekannten Kanäle erfolgen.
Im Zweifel telefonisch nachfragen: Bei hohen Überweisungsbeträgen, Änderungen von E‑Mail‑Adressen oder sonstigen auffälligen Umständen, sollte beim Geschäftspartner eine telefonische Rückfrage erfolgen. Wichtig ist, dass bei solchen anlassbezogenen Rückfragen die bisher genutzte Telefonnummer verwendet wird und nicht jene, die in der verdächtigen E-Mail neu bekanntgegeben wurde. Generell sollten in Unternehmen entsprechende Richtlinien bestehen oder geschaffen werden, dass ab einer gewissen Überweisungshöhe Compliance-Maßnahmen einzuhalten sind, wie zB ein Vieraugenprinzip und die telefonische Validierung eines Empfängerkontos.
Die technischen Möglichkeiten der heutigen Zeit sind Fluch und Segen zugleich. Schon längst haben auch Kriminelle das Potenzial von künstlicher Intelligenz erkannt und setzen diese für eigene Zwecke ein. Kriminelle nehmen mit Cyberangriffen nicht nur das Bankkonto von Unternehmen ins Visier, sondern auch die Kronjuwelen vieler Unternehmen – deren Geschäftsgeheimnisse. In unserem nächsten Blog im neuen Jahr widmen wir uns Maßnahmen zum Schutz von Geschäftsgeheimnissen.
Das IT-Compliance Team von KWR unterstützt Sie gerne bei rechtlichen Fragen rund um Cybersecurity-Fragen.
