Eine E-Mail vom Geschäftsführer, streng vertraulich, höchste Eile geboten: Eine strategische Übernahme stehe bevor, die Überweisung müsse sofort raus, das Vier-Augen-Prinzip könne diesmal entfallen. Die Mitarbeiterin in der Finanzbuchhaltung überweist 54 Millionen Euro auf ausländische Konten. Erst Tage später stellt sich heraus: Die E-Mail war gefälscht. Der Geschäftsführer wusste von nichts. Das Geld ist weg. Kein hypothetisches Szenario, sondern der FACC-Fall – der größte dokumentierte CEO-Fraud in Österreich. Aber FACC ist kein Einzelfall. Allein in Österreich werden jährlich Millionenbeträge durch Social-Engineering-Angriffe erbeutet. Wenn es passiert ist, beginnt die schwierigste Phase: den Schaden nachweisen, die Haftung klären und die Versicherungsansprüche durchsetzen. Genau hier kommt ein IT-Sachverständiger ins Spiel.
Was Social Engineering von einem Cyberangriff unterscheidet
Bei einem klassischen Cyberangriff dringt der Angreifer technisch in die IT-Systeme ein: Er nutzt Sicherheitslücken, installiert Malware, verschlüsselt Daten. Die Spuren sind digital und können forensisch analysiert werden. Bei Social Engineering werden keine Systeme gehackt, sondern Menschen manipuliert. Der Angriff zielt auf Vertrauen, Autoritätshörigkeit und Zeitdruck.
Dieser Unterschied hat weitreichende Konsequenzen für die Schadensdokumentation und den Schadensnachweis. Bei einem Ransomware-Angriff kann ein Sachverständiger den Angriffsvektor anhand von Logfiles und forensischen Images rekonstruieren. Bei einem CEO-Fraud liegen die Beweise in E-Mail-Headern, Telefonprotokollen, internen Freigabeprozessen und der Frage, ob das interne Kontrollsystem (IKS) funktioniert hat oder nicht. Die Beweissicherung ist dadurch nicht weniger anspruchsvoll, aber sie erfordert eine andere Herangehensweise.
Die gängigsten Social-Engineering-Varianten, die zu Schäden in Unternehmen führen, sind CEO-Fraud (auch Fake President Fraud), bei dem sich Betrüger als Geschäftsführung ausgeben und Überweisungen anordnen, Payment Diversion Fraud, bei dem Betrüger die Bankverbindung eines echten Lieferanten manipulieren und Zahlungen auf eigene Konten umleiten, sowie Fake Identity Fraud, bei dem sich Betrüger als Geschäftspartner oder Kunden ausgeben, um Waren oder Leistungen zu erschleichen. In der Praxis verschwimmen diese Kategorien zunehmend: Moderne Angriffe kombinieren technische Elemente wie gehackte E-Mail-Konten und KI-generierte Voice Clones mit psychologischer Manipulation.
Was nach dem Betrug passiert: Die drei Fronten
Wenn ein Social-Engineering-Betrug aufgeflogen ist, eröffnen sich für das betroffene Unternehmen typischerweise drei parallele Handlungsfelder.
Front 1: Strafverfolgung
Die Erstattung einer Strafanzeige ist der naheliegende erste Schritt. Die Polizei und in Österreich je nach Schadenssumme die Wirtschafts- und Korruptionsstaatsanwaltschaft (WKStA) nehmen Ermittlungen auf. In der Praxis sind die Erfolgsaussichten bei internationalem CEO-Fraud jedoch begrenzt. Die Gelder werden innerhalb von Stunden über mehrere Konten in verschiedenen Ländern transferiert. Selbst im FACC-Fall konnten von 54 Millionen Euro nur rund 10 Millionen auf einem chinesischen Konto eingefroren werden – und selbst auf diese hatte FACC über Jahre keinen Zugriff.
Für das Unternehmen ist die Strafanzeige dennoch wichtig, nicht nur aus Pflichtgründen, sondern als Dokumentationsgrundlage für die Versicherung und für eventuelle Zivilverfahren.
Front 2: Versicherungsansprüche
Hier wird es komplex, weil Social-Engineering-Schäden eine Schnittmenge mehrerer Versicherungssparten berühren. Eine klassische Cyberversicherung deckt in der Regel Schäden durch technische Angriffe auf IT-Systeme ab. Ein CEO-Fraud ist aber kein technischer Angriff im engeren Sinne – der Mensch wird getäuscht, nicht das System gehackt. Viele Cyberversicherungen haben Social Engineering in den letzten Jahren als Zusatzbaustein aufgenommen, aber die Deckungssummen und Bedingungen variieren erheblich.
Eine Vertrauensschadenversicherung (VSV) deckt Schäden durch vorsätzliche unerlaubte Handlungen, typischerweise durch eigene Mitarbeiter oder Dritte. Social-Engineering-Schäden können hier eingeschlossen sein, wenn die Police eine entsprechende Klausel enthält. Die Abgrenzung zwischen den Versicherungssparten ist in der Praxis häufig strittig, und genau hier entstehen die Fälle, in denen ein Gutachten den Unterschied macht.
Der Versicherer wird prüfen, ob das Unternehmen seine Obliegenheiten erfüllt hat: War ein funktionierendes IKS vorhanden? Wurde das Vier-Augen-Prinzip bei Überweisungen eingehalten? Gab es Awareness-Schulungen? Waren die IT-Systeme ausreichend gesichert, insbesondere der E-Mail-Verkehr? Wenn der Versicherer Obliegenheitsverletzungen feststellt, droht eine Leistungskürzung oder sogar die vollständige Leistungsverweigerung.
Front 3: Haftungsfragen im Unternehmen
Der FACC-Fall zeigt die dritte Dimension. Nachdem der Betrug aufgeflogen war, entließ FACC zunächst die Finanzvorständin, dann den CEO. Das Unternehmen klagte den ehemaligen Vorstand auf 42 Millionen Euro Schadenersatz mit der Begründung, er habe kein ausreichendes Kontroll- und Sicherheitssystem implementiert.
Der OGH entschied 2021 zugunsten des ehemaligen Vorstands (8 ObA 109/20t). Die Begründung: Das interne Kontrollsystem war zum damaligen Zeitpunkt nach Größe, Komplexität und Branche des Unternehmens angemessen. Die Zahlungsfreigabe unterlag definierten Prozessen mit mehrfachen Autorisierungen und Vier-Augen-Prinzip. Dass eine Mitarbeiterin diese Kontrollen umging, begründete kein Organisationsverschulden des Vorstands, weil die konkrete Angriffsmethode zum Tatzeitpunkt 2015 im deutschsprachigen Raum noch nicht verbreitet bekannt war.
Dieses Urteil hat eine klare Botschaft: Der Maßstab ist nicht, ob der Betrug verhindert wurde, sondern ob das IKS dem Stand der Technik und dem damaligen Wissensstand entsprach. Aber Achtung: Was 2015 noch ausreichte, reicht heute nicht mehr. CEO-Fraud ist heute eine bekannte Angriffsmethode. Ein Unternehmen, das 2026 ohne spezifische Awareness-Schulungen und ohne technische Schutzmaßnahmen gegen E-Mail-Spoofing agiert, wird sich deutlich schwerer tun, ein Organisationsverschulden von der Hand zu weisen.
Was ein IT-Sachverständiger bei Social Engineering untersucht
Die Aufgabe des Sachverständigen bei einem Social-Engineering-Fall unterscheidet sich von einer klassischen Cyberangriff-Analyse, hat aber eine vergleichbare Struktur und Tiefe.
Rekonstruktion des Angriffsablaufs
Der Sachverständige rekonstruiert den gesamten Angriffsablauf: Wie hat der Betrüger Kontakt aufgenommen? Wurde eine E-Mail gefälscht, und wenn ja, auf welche Weise – Name Spoofing, Domain Spoofing oder Übernahme eines echten E-Mail-Kontos? Wurde auch telefonisch Kontakt aufgenommen, möglicherweise unter Einsatz von Voice Cloning? Welche Informationen hat der Angreifer vorab über das Unternehmen gesammelt, und wie hat er sie genutzt?
Die technische Analyse umfasst die E-Mail-Header-Analyse (Absenderauthentifizierung, Routinginformationen, SPF/DKIM/DMARC-Prüfung), die Auswertung der E-Mail-Server-Logs (Zeitpunkte, IP-Adressen, Authentifizierungsprotokolle), die Prüfung, ob ein E-Mail-Konto kompromittiert wurde (Business Email Compromise), und gegebenenfalls die Analyse von Telefoniedaten und Netzwerkprotokollen.
Diese Rekonstruktion ist entscheidend, weil sie die Grenzlinie zwischen technischem und menschlichem Versagen zieht. Wenn der Angreifer ein echtes E-Mail-Konto eines Vorstands kompromittiert hat, liegt ein technischer Sicherheitsvorfall vor. Wenn er lediglich eine ähnliche Domain registriert hat (beispielsweise firma-gmbh.com statt firma.gmbh.com), ist die Frage, ob technische Schutzmaßnahmen diesen Angriff hätten erkennen können.
Bewertung des internen Kontrollsystems
Der Sachverständige prüft, ob das Unternehmen angemessene Schutzmaßnahmen gegen Social Engineering implementiert hatte. Das umfasst organisatorische Kontrollen, also ob bei Überweisungen ab bestimmten Schwellenwerten ein Vier-Augen-Prinzip etabliert war, ob es klare Freigabeprozesse für Zahlungsanweisungen gab, ob Rückrufverfahren bei ungewöhnlichen Anweisungen vorgesehen waren und ob Abwesenheitsregelungen für Zeichnungsberechtigte existierten.
Ebenso prüft er die technischen Schutzmaßnahmen: ob SPF, DKIM und DMARC für die Unternehmens-E-Mail konfiguriert waren, ob externe E-Mails optisch als solche gekennzeichnet wurden, ob Anomalie-Erkennung im E-Mail-System aktiv war und ob eine Absenderverifizierung bei sensiblen internen Kommunikationskanälen implementiert war.
Und schließlich die Awareness-Maßnahmen: ob Mitarbeiterschulungen zu Social Engineering stattfanden, ob Phishing-Simulationen durchgeführt wurden, ob spezifische Warnungen zu CEO-Fraud kommuniziert wurden und ob eine Fehlerkultur existierte, die Mitarbeitern erlaubt, verdächtige Anweisungen zu hinterfragen, auch wenn sie vermeintlich vom Geschäftsführer kommen.
Diese Bewertung ist für alle drei Fronten relevant: Die Versicherung braucht sie für die Obliegenheitsprüfung, das Gericht braucht sie für die Haftungsfrage, und das Unternehmen selbst braucht sie für die interne Aufarbeitung.
Schadensermittlung
Die Schadensermittlung bei Social Engineering umfasst den unmittelbaren finanziellen Schaden, also den Betrag der betrügerischen Überweisungen abzüglich eventuell eingefrorener oder zurückgeholter Beträge. Dazu kommen die Kosten der Aufarbeitung: forensische Untersuchung, Rechtsberatung, interne Ermittlungen, Kommunikationsmaßnahmen. In manchen Fällen entstehen Folgeschäden durch den Abfluss vertraulicher Informationen, die der Angreifer im Zuge der Vorbereitung erlangt hat. Und wenn personenbezogene Daten betroffen waren – was bei kompromittierten E-Mail-Konten häufig der Fall ist –, kommen DSGVO-Meldepflichten und mögliche Bußgelder hinzu.
Die KI-Dimension: Deepfakes und Voice Cloning
Ein Aspekt, der Social Engineering in den kommenden Jahren grundlegend verändern wird und teilweise bereits verändert hat, ist der Einsatz von Künstlicher Intelligenz durch Angreifer. KI-generierte Stimmen (Voice Cloning) ermöglichen es, die Stimme eines Geschäftsführers täuschend echt nachzuahmen. Deepfake-Videos können in Videokonferenzen eingesetzt werden. KI-generierte E-Mails sind sprachlich perfekt und enthalten keine der typischen Auffälligkeiten, die früher Phishing-Mails verraten haben.
Für die forensische Analyse bedeutet das: Der Sachverständige muss zunehmend auch prüfen, ob eine Kommunikation KI-generiert war. Die Analyse von Audiodateien auf Deepfake-Artefakte, die Prüfung von E-Mail-Texten auf KI-typische Muster und die Untersuchung von Videokonferenzen auf Manipulationsspuren werden zu Standardaufgaben der IT-Forensik bei Social-Engineering-Fällen.
Für die Haftungsfrage hat das eine weitere Konsequenz: Wenn ein Mitarbeiter durch eine perfekte KI-gestützte Imitation des Geschäftsführers getäuscht wird, ist das Verschulden des Mitarbeiters anders zu bewerten als bei einer einfach gefälschten E-Mail mit erkennbarer Abweichung in der Absenderadresse. Der Sachverständige muss die Qualität der Täuschung technisch bewerten, damit das Gericht das Verschulden angemessen beurteilen kann.
Typische Konstellationen, in denen ein Gutachten benötigt wird
In der Praxis treten Social-Engineering-Fälle in vier wiederkehrenden Konstellationen auf, die ein Gutachten erfordern.
Erstens der Versicherungsfall: Das Unternehmen hat eine Cyber- oder Vertrauensschadenversicherung und meldet den Schaden. Der Versicherer prüft Obliegenheiten und beauftragt eigene Ermittler. Das Unternehmen braucht ein eigenes Gutachten, um seine Position zu stärken – insbesondere um nachzuweisen, dass das IKS angemessen war und der Betrug trotz ordnungsgemäßer Sicherheitsmaßnahmen erfolgreich war.
Zweitens die Geschäftsführerhaftung: Der Gesellschafter macht den Geschäftsführer für den Schaden verantwortlich, weil er kein ausreichendes IKS implementiert habe. Der Geschäftsführer muss nachweisen, dass das IKS dem Stand der Technik und den Anforderungen des Unternehmens entsprach. Wie der FACC-Fall zeigt, ist dieser Nachweis möglich, aber er erfordert eine detaillierte technische Analyse.
Drittens die Mitarbeiterhaftung: Das Unternehmen macht den Mitarbeiter haftbar, der die betrügerische Überweisung ausgeführt hat. Hier ist die Frage, ob den Mitarbeiter ein Verschulden trifft oder ob die Täuschung so professionell war, dass ein durchschnittlich sorgfältiger Mitarbeiter ebenfalls darauf hereingefallen wäre. Die technische Qualität der Fälschung – war es eine simple Domain-Verwechslung oder ein kompromittiertes echtes E-Mail-Konto – ist hier entscheidend.
Viertens die Bankenhaftung: In seltenen Fällen stellt sich die Frage, ob die Bank die betrügerische Überweisung hätte erkennen und stoppen müssen. Hier kann ein Gutachten klären, ob ungewöhnliche Transaktionsmuster vorlagen, die eine automatische Prüfung hätten auslösen müssen.
In allen vier Konstellationen liefert der IT-Sachverständige die technische Grundlage, auf der die rechtliche Bewertung aufbaut. Er klärt, was technisch passiert ist, ob die Schutzmaßnahmen angemessen waren und ob der Schaden bei angemessenen Maßnahmen hätte verhindert werden können.
Prävention: Was der Sachverständige empfiehlt
Ein IT-Sachverständiger wird nicht nur nach einem Vorfall tätig. Zunehmend beauftragen Unternehmen vorsorglich eine Bewertung ihrer Schutzmaßnahmen gegen Social Engineering. Denn die Dokumentation eines angemessenen IKS vor einem Vorfall ist im Ernstfall der stärkste Beweis für die Einhaltung der Sorgfaltspflichten.
Die Kernmaßnahmen, die ein Sachverständiger als Mindeststandard bewerten würde, umfassen auf organisatorischer Ebene ein konsequentes Vier-Augen-Prinzip bei Überweisungen, ein verbindliches Rückrufverfahren bei Abweichungen von Standardprozessen, dokumentierte Awareness-Schulungen mit spezifischen Social-Engineering-Szenarien und regelmäßige Phishing-Simulationen mit Dokumentation der Ergebnisse. Auf technischer Ebene sind es SPF-, DKIM- und DMARC-Konfiguration für alle Unternehmensdomains, optische Kennzeichnung externer E-Mails im Mailclient, eine restriktive Handhabung öffentlich zugänglicher Unternehmensinformationen und, wo verfügbar, KI-gestützte Anomalie-Erkennung im E-Mail-Verkehr.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger unterstütze ich Unternehmen sowohl bei der forensischen Aufarbeitung von Social-Engineering-Vorfällen als auch bei der präventiven Bewertung ihrer Schutzmaßnahmen. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.