von Ursula Sury und Jean-Pierre Stäheli

Der CEO-Betrug (CEO-Fraud) ist auf dem Vormarsch. Nach Angaben des Bundesamts für Cybersicherheit (BACS) stieg die Zahl der Vorfälle im Zeitraum 2024 bis 2025 um 252 Fälle auf ein Rekordhoch. CEO-Betrug stellt Unternehmen nicht nur vor operative und sicherheitstechnische Herausforderungen, sondern wirft insbesondere komplexe rechtliche Fragen auf. Im Zentrum stehen dabei strafrechtliche Qualifikation, haftungsrechtliche Risiken, sowie Anforderungen an die interne Organisation.

Strafrechtliche Qualifikation des CEO-Betrugs in der Schweiz

Aus strafrechtlicher Sicht wird der CEO-Betrug in der Schweiz regelmässig als Betrug im Sinne von Art. 146 StGB qualifiziert. Im Zentrum steht dabei die Frage, ob die Täuschungshandlung als hinreichend arglistig einzustufen ist. Gerade bei dieser Betrugsform ist dies in aller Regel zu bejahen, da die Täterschaft ihre Vorgehensweise gezielt auf die internen Abläufe und Hierarchien des betroffenen Unternehmens abstimmt. Durch die Kombination aus täuschend echten Kommunikationsmitteln, glaubwürdig konstruierten Szenarien und bewusst erzeugtem Zeitdruck wird beim Opfer ein Irrtum hervorgerufen, der es zur Vornahme einer Vermögensdisposition veranlasst.

Die Arglist wird von den Gerichten insbesondere dann bejaht, wenn die Täuschung nicht mit einfachen und zumutbaren Mitteln erkannt werden kann. Beim CEO-Betrug ist dies der Fall: Die Täterschaft bedient sich häufig professionell gefälschter E-Mail-Adressen, imitiert Kommunikationsstile oder greift sogar auf technisch avancierte Mittel wie KI-gestützte Sprachsynthese zurück. Damit wird eine Täuschungsqualität erreicht, die über einfache Täuschungen deutlich hinausgeht und auch sorgfältige Mitarbeitende in die Irre führen kann.

Neben dem klassischen Betrugstatbestand können je nach konkreter Ausgestaltung weitere Strafnormen zur Anwendung gelangen. So kann etwa eine Urkundenfälschungim Sinne von Art. 251 StGB vorliegen, wenn elektronische Dokumente oder Kommunikationsinhalte manipuliert werden, um den Anschein einer echten Erklärung zu erwecken. Ebenso kann die vorgängige Beschaffung interner Informationen strafrechtlich relevant sein, etwa unter dem Gesichtspunkt der unbefugten Datenbeschaffung.

Haftung des Verwaltungsrates

Die Verantwortung für eine angemessene Organisation des Unternehmens liegt beim Verwaltungsrat. Nach Gesellschaftsrecht trifft ihn die unübertragbare und unentziehbare Pflicht, die Oberleitung der Gesellschaft wahrzunehmen und für eine geeignete Organisation zu sorgen. Diese Pflicht umfasst auch die Implementierung eines wirksamen Risikomanagements insbesondere durch die Definition von Verantwortlichkeiten und Prozessen, sowie eines den Risiken angemessenen internen Kontrollsystems.

Im Kontext des CEO-Betrugs bedeutet dies, dass der Verwaltungsrat sicherstellen muss, dass Prozesse zur Verhinderung unautorisierter oder betrügerischer Zahlungen bestehen und effektiv umgesetzt werden. Dazu gehören insbesondere klare Kompetenzregelungen, das Vier-Augen-Prinzip bei finanziellen Transaktionen sowie Mechanismen zur Verifikation aussergewöhnlicher Zahlungsanweisungen.

Kommt der Verwaltungsrat diesen Pflichten nicht nach, kann eine Haftung nach Art. 754 OR in Betracht kommen. Voraussetzung ist, dass eine Pflichtverletzung vorliegt, ein Schaden entstanden ist und ein adäquater Kausalzusammenhang zwischen Pflichtverletzung und Schaden besteht. In der Praxis wird dabei insbesondere geprüft, ob der Verwaltungsrat die Risiken angemessen erkannt und darauf reagiert hat. Eine Haftung kommt eher dann in Betracht, wenn grundlegende organisatorische Vorkehrungen fehlen oder offensichtliche Risiken ignoriert wurden.

Was einen wirksamen Schutz ausmacht

Beim CEO-Betrug handelt es sich rechtlich um ein umfassendes Governance-Thema auf Unternehmensebene. Im Zentrum stehen dabei einerseits die strafrechtliche Einordnung als Betrug, andererseits aber auch haftungsrechtliche Fragestellungen innerhalb des Unternehmens. Hinzu treten erhöhte Anforderungen an die organisatorische Ausgestaltung, insbesondere im Bereich der internen Kontrollsysteme und der Compliance.

Vor diesem Hintergrund zeigt sich, dass ein wirksamer Schutz nicht primär in der nachträglichen Bewältigung einzelner Vorfälle liegt. Entscheidend ist vielmehr eine vorausschauende, strukturierte und rechtlich fundierte Organisation des Unternehmens, die Risiken systematisch adressiert und durch geeignete Prozesse und Kontrollen minimiert.

Autorin: Ursula Sury

Ursula Sury ist selbständige Rechtsanwältin in Luzern (CH) und Vizedirektorin an der Hochschule Luzern – Informatik. Sie ist zudem als Fachexpertin für Datenschutzaudits der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) tätig. Ursula Sury ist hauptsächlich im Bereich Informatikrecht und Datenschutz tätig.

Autor: Jean-Pierre Stäheli

Jean-Pierre Stäheli ist juristischer Mitarbeiter bei der Advokatur Sury AG. Daneben ist er als wissenschaftlicher Mitarbeiter an der Hochschule Luzern – Informatik und als Dozent für Informationssicherheit an der Fernfachhochschule Schweiz tätig.