Schäden durch Hackerangriffe nehmen in der Praxis immer weiter zu. Nicht nur große Finanzinstitute sind betroffen, sondern vermehrt rücken auch Architektur- und Ingenieurbüros sowie Handwerksunternehmen ins Visier von Cyber-Kriminellen.
Die Angriffe zielen häufig darauf ab, Kontodaten auf Rechnungen zu manipulieren oder falsche Kontodaten in Umlauf zu bringen. Aufgrund eines verstärkten Schadenaufkommens in diesem Bereich zeigt sich zunehmend, dass Architekten und Ingenieure im Rahmen von Rechnungsprüfungen mit manipulierten Handwerkerrechnungen in Berührung kommen und diese nach erfolgter Prüfung arglos an ihre Bauherren weiterleiten.
Praxisfall 1
Ein Bauherr macht Schadensersatz gegen seinen Architekten geltend, weil dieser ihm eine manipulierte Handwerkerrechnung zugesandt hat, woraufhin der Bauherr einen Betrag von 32.000 € an eine falsche Kontoverbindung leistete. Ärgerlich für den Bauherren ist, dass die Zahlung an eine falsche Kontoverbindung nicht leistungsbefreiend ist und er den Betrag erneut an den richtigen Zahlungsempfänger leisten musste.
In diesem Fall erhielt der Architekt die betreffende Rechnung vom Handwerksbetrieb per E-Mail zur Prüfung. Diese prüfte er fachtechnisch und leitete sie anschließend nichtsahnend mit einem Freigabevermerk per E-Mail an seinen Bauherrn weiter. Im Nachgang stellte sich heraus, dass die Rechnung als pdf-Datei bereits bei Eingang auf dem vom Architekten genutzten Server mit einer falschen Kontoverbindung manipuliert worden war und eine falsche Kontoverbindung enthielt – etwas, das der Architekt weder erkennen noch wissen konnte. Der Bauherr leistete die Zahlung auf die falsche Kontoverbindung und bemerkte den Betrug erst, nachdem er vom Handwerker angemahnt wurde.
Ob in diesem Fall eine Haftung des Architekten vorliegt, hängt davon ab, in wessen Risikobereich die Manipulation stattgefunden hat. Wenn die Manipulation erfolgte, bevor die E-Mail das Computersystem des Architekten erreichte und diese nicht erkennbar war, liegt kein Verschulden des Architekturbüros vor. Die Prüfung der Kontoverbindung auf Richtigkeit gehört nicht zu den Leistungspflichten im Rahmen der geschuldeten Rechnungsprüfung.
Ein Verschulden wird aber vorliegen, wenn der Hacker die Manipulation auf dem eigenen Computersystem des Architekturbüros durchgeführt hat, das nicht ausreichend vor derartige Angriffen geschützt war.
Vorsorglich sollten Architektur-/Ingenieurbüros ihren Bauherren empfehlen, im eigenen Interesse die Kontoverbindungsdaten auf geprüften Handwerkerrechnungen vor der Auszahlung durch direkte Kontaktaufnahme mit den jeweiligen Unternehmen zu verifizieren.
Praxisfall 2
Einen weiteren interessanten Fall entschied unlängst das Oberlandesgericht Karlsruhe im Zusammenhang eines Betrugsfalls bei einer Kaufabwicklung. Derartige Betrugsvorgänge können sämtliche Architektur- und Ingenieurbüros bei der Zahlungsabwicklung mit ihren Dienstleistern und Vertragspartnern betreffen.
Bei einem Autokauf hatte der Kunde vom Verkäufer eine Rechnung per E-Mail erhalten. Kurz danach bekam er eine zweite Mail desselben Absenders mit einer erneuten Rechnung, diesmal mit einer anderen Bankverbindung und einem anderen Kontoinhaber. Der Kunde bezahlte die zweite Rechnung – doch diese war von Kriminellen gefälscht worden. Im folgenden Rechtsstreit ging es um die Haftung und die nötigen Sicherheitsvorkehrungen. Der Tenor: Durch die Fehlüberweisung ist der Kaufpreisanspruch des Verkäufers nicht erloschen, der Kunde musste ein zweites Mal bezahlen. Denn das Gericht sah keine Pflichtverletzung des Verkäufers auf IT-Seite, die verwendeten Passwörter und deren regelmäßiger Austausch sowie die Nutzung von aktueller Virensoftware und Firewall seien nicht zu beanstanden. Die Manipulation hätte zwar durch eine „Ende-zu-Ende-Verschlüsselung“ verhindert werden können, diese sei aber aufgrund der Kosten und des technischen Aufwandes für die Art des Rechtsgeschäftes nicht erforderlich gewesen (Oberlandesgericht Karlsruhe, Urteil vom 27.07.2023, Az. 19 U 83/22).
Die Folgerung für Unternehmen: Es lohnt sich, die firmeneigene IT von Experten auf ausreichenden Schutz überprüfen zu lassen, auch mit Blick auf die verwendeten E-Mail-Postfächer. Nur wer auf dem „Stand der Technik“ ist, kann sich keine Pflichtverletzung vorwerfen lassen. Dabei kann eine Cyber-Versicherung helfen, die auch entsprechende Präventionsleistungen technischer oder persönlicher Natur beinhaltet.
Mehr Informationen zu unserer Cyber-Versicherung finden Sie unter www.aia.de
Mehr als nur Versicherung
Die AIA AG ist seit über 45 Jahren ein unabhängiger, berufsständischer Versicherungsmakler und spezialisiert auf Risiken und aktuelle Herausforderungen von Architekten und Ingenieuren. Mit unserer langjährigen Erfahrung stehen Ihnen als Makler zur Seite, um den für Sie optimalen Versicherungsschutz zu finden. Neben unseren Versicherungslösungen stellen wir auch zahlreiche Dienstleistungen rund um Ihre Tätigkeiten zur Verfügung: Bodengutachten, Musterverträge, Vertragsprüfungen und vieles mehr.