Asset Recovery nach CEO-Fraud: Wie der Strafverteidiger gestohlenes Firmenvermögen zurückholt

Inhalt

• 1. CEO-Fraud: Anatomie des Angriffs und typische Schadensmuster
• 2. Die ersten 72 Stunden — Sofortmaßnahmen entscheiden über Erfolg
• 3. Strafanzeige als strategisches Asset-Recovery-Instrument
• 4. Vermögensarrest nach § 111e StPO — die Kernwaffe des Geschädigten
• 5. Einziehung zugunsten des Geschädigten: §§ 73 ff. StGB nach der Reform 2017
• 6. Entschädigungsverfahren nach § 459h StPO — Auskehrung an das Opfer
• 7. Adhäsionsverfahren nach §§ 403 ff. StPO — Schadenersatz im Strafprozess
• 8. Zivilrechtsakzessorietät: § 73e StGB und das Vergleichsmodell
• 9. Grenzüberschreitendes Asset Tracing — Geldflüsse verfolgen
• 10. EU-Richtlinie 2024/1260 — das neue europäische Asset-Recovery-Regime
• 11. Parallele zivilrechtliche Sicherungsinstrumente
• 12. Versicherungsansprüche: D&O, Crime, Cyber
• 13. Red Flags und Präventionscheckliste CEO-Fraud
• 14. FAQ

1. CEO-Fraud: Anatomie des Angriffs und typische Schadensmuster

CEO-Fraud (auch Fake-President-Fraud oder Business Email Compromise, BEC) ist eine Betrugsmasche, bei der Täter die Identität eines Geschäftsführers oder Vorstands vortäuschen und Mitarbeiter — typischerweise aus der Finanzabteilung — zur Überweisung großer Geldbeträge auf ein Täterkonto veranlassen. Seit 2014 hat sich CEO-Fraud zum weltweit lukrativsten Cyberdeliktsfeld entwickelt.

Laut IHK Schwaben haben seit 2013 rund 250 deutsche Unternehmen einen Gesamtschaden von über 110 Mio. € erlitten. Das FBI beziffert die weltweiten BEC-Schäden seit 2013 auf über 50 Mrd. USD. Die Einzelschäden variieren zwischen 150.000 € und 50 Mio. €.

Angriffsvektoren 2025/2026: Die Täter nutzen zunehmend KI — Deepfake-Audio imitiert die Stimme des Geschäftsführers, KI-generierte Video-Calls simulieren Teams-Meetings, LLM-basierte E-Mails sind sprachlich kaum erkennbar. Der Deepfake-Audio-Fall eines britischen Energieunternehmens (2019, 243.000 USD) ist heute Regel, nicht Ausnahme.

Strafrechtliche Einordnung: CEO-Fraud erfüllt regelmäßig § 263 StGB (Betrug), häufig in Tateinheit mit §§ 267, 269, 263a StGB. Bei gewerbsmäßiger bandenmäßiger Begehung: § 263 Abs. 5 StGB (Verbrechen, 1–10 Jahre). § 261 StGB (Geldwäsche) tritt bei Money-Mule-Konten regelmäßig hinzu.

2. Die ersten 72 Stunden — Sofortmaßnahmen entscheiden über Erfolg

Die Rückholquote bei CEO-Fraud liegt nach Praxiserfahrung bei unter 10 % — aber die Chancen steigen exponentiell mit der Reaktionsgeschwindigkeit.

Stunde 0–4: Bankrückruf und interne Sicherung
– Sofortiger Rückrufauftrag an die Hausbank (SWIFT Recall / MT199)
– Dokumentation: Zeitpunkte, E-Mail-Header, Telefonnummern, Überweisungsbelege, Empfängerkontodetails
– IT-Forensik: E-Mail-Systeme auf Kompromittierung prüfen, Zugänge sperren
– Keine interne Schuldzuweisung — der ausführende Mitarbeiter ist in der Regel Tatopfer

Stunde 4–24: Strafverteidiger und Strafanzeige
– Strafverteidiger mit Asset-Recovery-Erfahrung einschalten
– Strafanzeige bei der Staatsanwaltschaft mit ausdrücklichem Antrag auf Vermögensarrest (§ 111e StPO)
– Parallele Strafanzeige im Empfängerland durch lokalen Anwalt (Hongkong, Singapur, UK, USA)

Stunde 24–72: Internationale Sicherung
– Europäische Kontenpfändungsverordnung (EuKoPfVO, VO (EU) 655/2014) bei EU-Empfängerkonto
– Kontakt zum Asset Recovery Office (ARO) über BKA oder StA
– D&O-, Crime- und Cyber-Versicherung informieren — Meldefristen beachten

3. Strafanzeige als strategisches Asset-Recovery-Instrument

Die Strafanzeige ist das zentrale Instrument, um die staatliche Infrastruktur der Vermögensabschöpfung zu aktivieren. Die Staatsanwaltschaft verfügt über Ermittlungsbefugnisse, die einem Zivilkläger nicht zur Verfügung stehen.

Die Strafanzeige sollte enthalten:
– Vollständige Kontodaten des Empfängerkontos (IBAN, BIC, Bankname, Kontoinhaber)
– Ausdrücklichen Antrag auf Vermögensarrest nach § 111e StPO mit Schadensbezifferung
– Anregung zur sofortigen Kontenpfändung und internationalem Rechtshilfeersuchen
– Alle Kommunikationsdaten (E-Mail-Header, IP-Adressen, Telefonnummern, Screenshots)
– Hinweis auf die Dringlichkeit (Geldfluss über Money-Mule-Konten innerhalb von Stunden)
– Benennung als Geschädigter mit Anmeldung nach § 403 StPO

Bei Großschadensfällen: direkte Kontaktaufnahme mit dem LKA (Cybercrime) oder dem Zentralen Ansprechpartner Cybercrime (ZAC) der Generalstaatsanwaltschaft.

4. Vermögensarrest nach § 111e StPO — die Kernwaffe des Geschädigten

Der Vermögensarrest ist das mächtigste Sicherungsinstrument des Strafprozessrechts. Er ermöglicht die Pfändung des gesamten Vermögens des Beschuldigten ohne vorherigen zivilrechtlichen Titel.

Voraussetzungen: Begründete Annahme, dass die Voraussetzungen der Einziehung von Wertersatz (§ 73c StGB) vorliegen. Bei CEO-Fraud regelmäßig erfüllt. Verfahren: Anordnung durch Ermittlungsgericht; bei Gefahr im Verzug vorläufig durch die Staatsanwaltschaft (gerichtliche Bestätigung innerhalb einer Woche, § 111j Abs. 2 StPO).

Bedeutung nach der Reform 2017: Das geschädigte Unternehmen muss keinen eigenen Zivilprozess führen. Das Strafgericht ordnet die Einziehung an, die Staatsanwaltschaft vollstreckt, der Geschädigte erhält die Auskehrung nach § 459h StPO.

5. Einziehung zugunsten des Geschädigten: §§ 73 ff. StGB nach der Reform 2017

Die Reform vom 13. April 2017 hat das alte Rückgewinnungshilfe-Modell (§ 73 Abs. 1 S. 2 StGB a. F.) abgeschafft. Seither gilt:

• § 73 Abs. 1 StGB: Einziehung des durch die Tat Erlangten — unabhängig von Geschädigtenansprüchen
• § 73c StGB: Wertersatzeinziehung, wenn das Erlangte nicht mehr vorhanden
• § 73b StGB: Einziehung auch bei Drittbegünstigten
• § 73e StGB: Ausschluss der Einziehung, soweit der Geschädigtenanspruch erloschen ist

Die Einziehungsanordnung ersetzt den zivilrechtlichen Titel. Der Geschädigte meldet seine Ansprüche im strafrechtlichen Entschädigungsverfahren an.

6. Entschädigungsverfahren nach § 459h StPO — Auskehrung an das Opfer

Nach rechtskräftiger Einziehung verwertet die Staatsanwaltschaft die gesicherten Vermögenswerte und kehrt nach § 459h Abs. 2 StPO an die Geschädigten aus.

Anmeldung: Innerhalb von 6 Monaten nach Zustellung der Geschädigtenmitteilung, unter Vorlage eines vollstreckbaren Titels. Bei mehreren Geschädigten und unzureichendem Erlös: Insolvenzantrag nach § 111i Abs. 2 StPO. Praxisproblem: Die Auskehrung erfolgt erst nach rechtskräftiger Einziehung — das kann Jahre dauern. Für Unternehmen mit Liquiditätsbedarf ist daher die parallele Versicherungsmeldung existenzentscheidend.

7. Adhäsionsverfahren nach §§ 403 ff. StPO — Schadenersatz im Strafprozess

Das Adhäsionsverfahren ermöglicht dem Geschädigten, seinen Schadensersatzanspruch direkt im Strafverfahren geltend zu machen. Bei CEO-Fraud selten praktikabel, da Täter häufig unbekannt oder im Ausland. Sinnvoll bei identifiziertem Täter oder insiderbasiertem Betrug.

Nebenklage (§ 395 Abs. 3 StPO): Bei CEO-Fraud mit Millionenschäden wird die Zulassung regelmäßig erteilt. Sie verschafft Akteneinsicht, Anwesenheitsrecht, Fragerecht und Einfluss auf die Einziehungsentscheidung. Optimale Dreifachstrategie: Nebenklage (Einfluss auf Einziehung) + Adhäsion (Schadensersatz ohne Zivilprozess) + Anspruchsanmeldung nach § 459h StPO.

8. Zivilrechtsakzessorietät: § 73e StGB und das Vergleichsmodell

§ 73e StGB schließt die Einziehung aus, soweit der Geschädigtenanspruch erloschen ist. Das schafft ein Vergleichsmodell: Entschädigt der Beschuldigte den Geschädigten, erlischt der Anspruch und die staatliche Einziehung entfällt. Win-win: Der Beschuldigte vermeidet die Einziehung zugunsten des Staates und wirkt strafmildernd (§ 46 Abs. 2 StGB). Der Geschädigte erhält schnelle Entschädigung.

9. Grenzüberschreitendes Asset Tracing — Geldflüsse verfolgen

CEO-Fraud-Gelder werden in der Regel innerhalb von Stunden über mehrere Money-Mule-Konten in Drittländer verschoben — häufig Hongkong, Singapur, Nigeria, Türkei, Baltikum oder UK. Am Ende der Kette: Barauszahlung, Kryptokonvertierung oder Hawala-Netzwerke.

Kryptoassets: Spezialisierte Blockchain-Forensik-Unternehmen (Chainalysis, Elliptic, CipherTrace) können Transaktionsketten nachverfolgen. Einschalten bei Verdacht auf Kryptokonversion sofort — bevor Privacy Coins oder Mixer die Spur verschleiern.

Instrumente:
– Internationale Rechtshilfe: Kontensperrungen und Vermögenssicherungen im Ausland (IRG, EU-Rechtshilfeübereinkommen)
– Asset Recovery Offices (AROs): Spezialisierte nationale Einheiten; Deutschland: ARO beim BKA
– Europäische Ermittlungsanordnung (EEA): Direkte Ermittlungsmaßnahmen in EU-Mitgliedstaaten
– EuKoPfVO: Grenzüberschreitende Kontenpfändung ohne Anhörung des Schuldners
– Freezing Orders: UK (Worldwide Freezing Injunction), Hongkong (Mareva Injunction) — schnell, aber kostspielig

10. EU-Richtlinie 2024/1260 — das neue europäische Asset-Recovery-Regime

Die Richtlinie (EU) 2024/1260 (in Kraft 22.5.2024, Umsetzungsfrist 23.11.2026) ersetzt die Vorgängerregelungen und stärkt die grenzüberschreitende Vermögensabschöpfung grundlegend.

Kernelemente:
– Systematische Vermögensermittlung bei Ermittlungen zur organisierten Kriminalität
– Erhebliche Stärkung der AROs: Direktzugang zu Bankkonteninformationen
– Einziehung ungeklärten Vermögens (Art. 16): Erstmals EU-weit — bei Zusammenhang mit OrgKrim
– Europäisches ARO-Kooperationsnetz mit Europol
– Nationale Asset-Recovery-Strategie bis 24.5.2027 verpflichtend

Die Bund-Länder-AG Vermögensabschöpfung hat im März 2024 Empfehlungen zur Nachjustierung des deutschen Rechts vorgelegt. Der Koalitionsvertrag greift die Umsetzung als Ziel auf. Weitergehende Informationen: Unternehmensstrafrecht in Deutschland.

11. Parallele zivilrechtliche Sicherungsinstrumente

• Arrest / Einstweilige Verfügung (§§ 916 ff. ZPO): Vorläufige Vermögenssicherung im Inland
• EuKoPfVO: Grenzüberschreitende EU-Kontenpfändung ohne Anhörung
• Auskunftsansprüche gegen Banken: § 242 BGB, teilweise GwG
• § 823 Abs. 2 BGB i.V.m. § 263 StGB: Schadensersatz gegen identifizierte Täter
• § 812 BGB gegen Empfängerbanken: Bei Mitwissen der Bank

Schnittstelle zur Haftung von Compliance-Officer und General Counsel — relevant, wenn CEO-Fraud mit Insiderunterstützung erfolgte. Hinweise zur Korruptionsprävention im Unternehmen ergänzen die Perspektive.

12. Versicherungsansprüche: D&O, Crime, Cyber

Versicherung	Deckungsbereich	Besonderheit
Vertrauensschadensversicherung (Crime/VSV)	Betrugsschäden durch Dritte, incl. CEO-Fraud	Social-Engineering-Klausel prüfen
Cyber-Versicherung	Incident-Response-Kosten, teilweise Finanzverlust	Sublimit für BEC beachten
D&O-Versicherung	Organhaftungsansprüche wegen unzureichender Kontrollen	Greift bei GF-Haftung
Warenkreditversicherung	Varianten mit Lieferantenzahlungsumlenkung	Einzelfallprüfung

Kritisch: Meldefristen sind typischerweise 48–72 Stunden nach Kenntnis. Verspätete Meldung = Anspruchsverlust. Versicherungsmeldung in Sofortmaßnahmenplan integrieren.

13. Red Flags und Präventionscheckliste CEO-Fraud

Red Flags:
– E-Mail vom „CEO“ mit abweichender Absenderadresse (Typosquatting)
– Dringlichkeit + Geheimhaltung: „Streng vertraulich“, „Informieren Sie niemanden“
– Überweisung auf unbekanntes Auslandskonto
– Bezugnahme auf angebliche M&A-Transaktion oder vertrauliche Umstrukturierung
– Deepfake-Telefonanruf mit „echter“ CEO-Stimme
– Vier-Augen-Prinzip umgangen
– Zeitdruck außerhalb der Geschäftszeiten (Freitagnachmittag, vor Feiertagen)

Präventionsmaßnahmen:
– Vier-Augen-Prinzip für alle Überweisungen über Schwellenwert (z. B. 10.000 €)
– Rückrufverfahren: Jede per E-Mail angewiesene Überweisung per Telefon auf bekannter Nummer verifizieren
– Tägliche Überweisungslimits mit der Hausbank vereinbaren
– DMARC/SPF/DKIM für E-Mail-Authentifizierung, MFA für Bankzugänge
– Jährliche CEO-Fraud-Simulationen (Social-Engineering-Tests)
– Dokumentierter Incident-Response-Plan (Bank, Strafverteidiger, Versicherung, IT-Forensik)

14. FAQ

Häufige Fragen

Was ist Asset Recovery und wie funktioniert es bei CEO-Fraud?

Asset Recovery bezeichnet die systematische Rückholung von Vermögenswerten nach Straftaten. Bei CEO-Fraud kombiniert der Strafverteidiger des Geschädigten strafrechtliche Instrumente (Strafanzeige, Vermögensarrest § 111e StPO, Einziehung §§ 73 ff. StGB) mit zivilrechtlichen Maßnahmen (Arrest, EuKoPfVO) und internationaler Zusammenarbeit (AROs, Rechtshilfe), um die betrügerisch transferierten Gelder zu lokalisieren, zu sichern und an das Opferunternehmen zurückzuführen.

Wie schnell muss ich nach einem CEO-Fraud handeln?

Die ersten 36 bis 72 Stunden sind entscheidend. Innerhalb dieser Frist kann die Hausbank einen SWIFT-Rückruf einleiten und die Staatsanwaltschaft Vermögensarrest anordnen. Nach diesem Fenster sind die Gelder in der Regel über Money-Mule-Ketten verschoben. Die Rückholquote liegt insgesamt unter 10 %, steigt aber bei sofortigem Handeln erheblich.

Was hat sich durch die Reform der Vermögensabschöpfung 2017 geändert?

Die Reform vom 13. April 2017 hat das alte Rückgewinnungshilfe-Modell abgeschafft. Geschädigte müssen keinen eigenen Zivilprozess mehr führen, sondern melden ihre Ansprüche im Entschädigungsverfahren nach § 459h StPO an. Das Strafgericht ordnet die Einziehung an, die Staatsanwaltschaft verwertet und kehrt aus. Die Rechtsposition der Geschädigten hat sich erheblich verbessert.

Was ist der Vermögensarrest nach § 111e StPO?

Der Vermögensarrest ermöglicht die Pfändung des gesamten Vermögens eines Beschuldigten zur Sicherung der späteren Einziehung — ohne vorherigen Zivilprozess. Anordnung durch das Ermittlungsgericht; bei Gefahr im Verzug vorläufig durch die Staatsanwaltschaft. Anordnungsschwelle niedrig: begründete Annahme, dass Wertersatzeinziehung in Betracht kommt, genügt.

Was ist die Zivilrechtsakzessorietät nach § 73e StGB?

§ 73e StGB schließt die staatliche Einziehung aus, soweit der Geschädigtenanspruch erloschen ist. Das schafft ein Vergleichsmodell: Entschädigt der Beschuldigte das Opfer, entfällt die Einziehung zugunsten des Staates und wirkt strafmildernd. Für das Opferunternehmen ist § 73e ein Hebel für schnelle außergerichtliche Einigung.

Was ändert die EU-Richtlinie 2024/1260 für Betrugsopfer?

Die Richtlinie (Umsetzungsfrist 23.11.2026) stärkt die AROs mit Direktzugang zu Bankdaten, führt erstmals EU-weit die Einziehung ungeklärten Vermögens ein und verpflichtet Mitgliedstaaten zu nationalen Asset-Recovery-Strategien. Für geschädigte Unternehmen bedeutet das perspektivisch schnellere Kontensperrungen und bessere internationale Kooperation.

Welche Versicherung deckt CEO-Fraud-Schäden?

Primär die Vertrauensschadensversicherung (Crime/VSV) mit Social-Engineering-Klausel. Ergänzend Cyber-Versicherungen für Incident-Response-Kosten. D&O-Versicherungen werden relevant bei Organhaftungsansprüchen. Entscheidend: Meldung innerhalb von 48–72 Stunden nach Kenntnis — verspätete Meldung gefährdet den gesamten Anspruch.

Haftet der Mitarbeiter, der die betrügerische Überweisung ausgeführt hat?

Grundsätzlich ist der Mitarbeiter Tatopfer, nicht Täter. Zivilrechtliche Haftung (§§ 823, 280 BGB) kommt nur bei grob fahrlässigem Verstoß gegen Kontrollvorschriften in Betracht. Strafrechtliche Untreue (§ 266 StGB) wird bei Social-Engineering-Angriffen von der Rechtsprechung nur in Extremfällen angenommen. Es gelten die Grundsätze der beschränkten Arbeitnehmerhaftung.

Wie funktioniert die Europäische Kontenpfändungsverordnung?

Die EuKoPfVO (VO (EU) 655/2014) ermöglicht grenzüberschreitende vorläufige Kontenpfändung innerhalb der EU ohne vorherige Anhörung des Schuldners. Schneller als strafrechtliche Rechtshilfe. Optimal bei innereuropäischen Geldtransfers als Ergänzung zum Vermögensarrest § 111e StPO.

Was tun, wenn die Staatsanwaltschaft keinen Vermögensarrest beantragt?

Der Geschädigte hat keinen Rechtsanspruch auf Anordnung. Der Strafverteidiger kann die Staatsanwaltschaft schriftlich zur Antragsstellung auffordern. Bei Untätigkeit: Dienstaufsichtsbeschwerde, Klageerzwingungsverfahren (§ 172 StPO) oder Wechsel auf zivilrechtliche Schiene (einstweilige Verfügung, EuKoPfVO).

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Mai 2026.