Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Leerer Geschäftsführer-Schreibtisch mit Namensschild und Dokument — Organhaftung GmbH — Compliance Investigations

CEO-Fraud: Wenn der Chef gar nicht der Chef ist

Von

15 Min.

Auf einen Blick: CEO-Fraud — was Unternehmen wissen müssen

  1. Was ist CEO-Fraud? Täter geben sich per gefälschter E-Mail, Anruf oder Deepfake-Video als Geschäftsführer aus und veranlassen Mitarbeiter zur Überweisung hoher Geldbeträge. Der Angriffsvektor ist Social Engineering — die Schwachstelle ist der Mensch, nicht die IT.
  2. Neue Dimension: KI-gestützte Deepfakes haben den Videokonferenz-Nachweis als Sicherheitsmechanismus ausgehebelt. Voice-Cloning benötigt nur 3–5 Sekunden Audiomaterial.
  3. Strafanzeige sofort: Nicht bei der örtlichen Polizei, sondern direkt bei der zuständigen Zentralstelle (ZAC NRW, Cybercrime-Schwerpunktabteilungen). Verbindungsdaten werden mangels Vorratsdatenspeicherung innerhalb von Tagen gelöscht.
  4. Drei Recovery-Wege: Strafrechtlicher Vermögensarrest (§§ 111b ff. StPO), Erstattungsanspruch gegen die eigene Bank (§ 675u BGB) und Vertrauensschadenversicherung — alle drei parallel und koordiniert.
Inhaltsverzeichnis
  1. Das Phänomen CEO-Fraud / Business Email Compromise
  2. Die Dimension: Zahlen und Fälle
  3. Die neue Generation: Deepfakes verändern alles
  4. Die Strafanzeige: Mehr als eine Formalität
  5. Strafrechtliche Einordnung
  6. Gute vs. schlechte Strafanzeige
  7. Asset Recovery: Der Wettlauf gegen die Zeit
  8. Die strafrechtliche Schiene
  9. Die zivilrechtliche Schiene — § 675u BGB
  10. Die Versicherung als dritte Säule
  11. Die ersten 48 Stunden: Sofortmaßnahmen
  12. Prävention: Was vorher hätte passieren müssen
  13. Häufig gestellte Fragen
  14. Fazit

Stand: April 2026. | Weiterführend: Durchsuchung im Unternehmen, Interne Untersuchungen und Unternehmensstrafrecht §§ 30/130 OWiG.

Kurz vor Weihnachten. Ein mittelständisches Unternehmen stellt fest, dass seine Server verschlüsselt sind — Ransomware. Die Produktion steht still. Schnell wird klar: Der Angriff kam nicht von einer anonymen Hackergruppe aus Übersee, sondern von einem ehemaligen IT-Dienstleister, der nach der Beendigung der Zusammenarbeit noch über Zugänge verfügte. Was folgte, war kein Fall für die Cyber-Hotline einer Versicherung: Das Unternehmen schaltete einen spezialisierten IT-Forensiker und einen Strafverteidiger ein. Innerhalb weniger Tage stand die Strafanzeige bei der zuständigen Staatsanwaltschaft — aufbereitet, mit forensischen Erkenntnissen unterlegt, mit konkreten Ermittlungsanregungen versehen. Die Ermittlungsbehörden konnten den Täter identifizieren. Am Ende stand nicht nur eine strafrechtliche Verurteilung, sondern auch die Durchsetzung des Schadensersatzes im Adhäsionsverfahren — unmittelbar im Strafprozess, ohne den Umweg über eine separate Zivilklage.

Was diesen Fall mit CEO-Fraud verbindet, ist nicht die Tatmodalität — sondern das Muster: Der Unterschied zwischen einem Unternehmen, das sein Geld wiedersieht, und einem, das es nicht tut, liegt fast nie an der Schwere der Tat. Er liegt daran, wie schnell und wie professionell die ersten Stunden nach der Entdeckung gemanagt werden.

Das Phänomen CEO-Fraud

CEO-Fraud — auch als Fake President Fraud oder Business Email Compromise (BEC) bekannt — ist eine Betrugsmasche, bei der Täter sich als Geschäftsführer, Vorstand oder andere Führungskraft ausgeben und Mitarbeiter zur Überweisung hoher Geldbeträge auf von ihnen kontrollierte Konten veranlassen. Was die Masche so gefährlich macht, ist nicht technische Raffinesse, sondern die gezielte Ausnutzung menschlicher Verhaltensmuster: Autorität, Dringlichkeit, Vertraulichkeit. Das BKA ordnet CEO-Fraud als Phänomen der Wirtschaftskriminalität ein. Der zentrale Angriffsvektor ist Social Engineering — die Schwachstelle ist der Mensch, nicht die IT.

Die Dimension: Zahlen und Fälle

Das FBI Internet Crime Complaint Center (IC3) verzeichnete im Jahresbericht 2024 rund 21.400 BEC-Beschwerden mit Verlusten von 2,77 Mrd. USD — allein in den USA und allein für das Berichtsjahr. Kumuliert belaufen sich die gemeldeten BEC-Schäden zwischen 2022 und 2024 auf fast 8,5 Mrd. USD. In Deutschland sind die Einzelfälle nicht weniger eindrücklich: Der Autozulieferer Leoni AG verlor 2016 rund 40 Mio. EUR, der Luftfahrtzulieferer FACC ca. 50 Mio. EUR, die Münchner Bäckereikette Hofpfisterei 1,9 Mio. EUR. Die Polizei NRW registrierte allein in Nordrhein-Westfalen einen Anstieg von 115 Fällen (2016) auf 243 Fälle (2017) — mit einem Beuteschaden von knapp 7 Mio. EUR. Die Dunkelziffer wird als erheblich eingeschätzt, weil viele Unternehmen aus Reputationsgründen keine Anzeige erstatten. Das ist ein Fehler, wie sich zeigen wird.

Die neue Generation: Deepfakes verändern alles

Klassischer CEO-Fraud setzte auf gefälschte E-Mails. Das war gestern. Im Januar 2024 überwies ein Mitarbeiter der Finanzabteilung des britischen Ingenieurbüros Arup in Hongkong 25 Mio. USD an Betrüger — nachdem er an einer Videokonferenz teilgenommen hatte, in der sämtliche anderen Teilnehmer einschließlich des CFO per Deepfake-Technologie erzeugte Fälschungen waren. Der Mitarbeiter hatte die Anfrage zunächst als Phishing-Verdacht eingestuft. Das vermeintliche Videogespräch mit den „echten“ Kollegen zerstreute seine Bedenken.

Der Fall zeigt: Die Verifizierung per Videocall — lange als Goldstandard empfohlen — ist als Sicherheitsmechanismus gescheitert. Moderne Voice-Cloning-Tools benötigen nur drei bis fünf Sekunden Audiomaterial. Konferenzvorträge, Podcast-Auftritte oder LinkedIn-Videos liefern das Ausgangsmaterial. Anfang 2025 erbeuteten Betrüger mit KI-generierten Stimmklonen des italienischen Verteidigungsministers rund 1 Mio. EUR von prominenten Wirtschaftsführern.

Für die strafrechtliche Bewertung bedeutet das: Deepfakes eröffnen nicht nur neue Tatmodalitäten, sondern auch neue Beweisfragen — von der Authentifizierung manipulierter Audio- und Videoaufnahmen bis zur forensischen Zuordnung der eingesetzten KI-Werkzeuge.

Die Strafanzeige: Warum sie mehr ist als eine Formalität

Viele geschädigte Unternehmen sehen eine Strafanzeige als bloße Pflichtübung — oder verzichten ganz darauf, weil sie die Täter für unerreichbar halten. Beides ist falsch.

Eine professionell aufbereitete Strafanzeige ist kein Formular, das man ausfüllt und ablegt. Sie ist das zentrale Instrument, um die Ermittlungsmaschinerie in Gang zu setzen — und sie bestimmt maßgeblich, wie schnell und effektiv die Behörden handeln können. Dabei kommt es auf zwei Dinge an: die richtige Stelle und die richtige Geschwindigkeit.

Die richtige Stelle ist nicht die nächste Polizeidienststelle und nicht die allgemeine Eingangsabteilung der Staatsanwaltschaft. CEO-Fraud-Fälle gehören zu den spezialisierten Zentralstellen — in Nordrhein-Westfalen etwa zur ZAC NRW (Zentral- und Ansprechstelle Cybercrime), in anderen Bundesländern zu den jeweiligen Schwerpunktabteilungen für Cyberkriminalität oder Wirtschaftskriminalität. Diese Stellen verfügen über die technische Expertise, die internationalen Kontakte und die Ermittlungswerkzeuge, die ein CEO-Fraud-Verfahren erfordert. Wer seine Anzeige stattdessen bei der örtlichen Polizei aufgibt, riskiert, dass der Vorgang erst weitergeleitet werden muss — und genau diese Verzögerung kann entscheidend sein.

Die richtige Geschwindigkeit hat einen konkreten rechtlichen Hintergrund: Deutschland hat keine flächendeckende Vorratsdatenspeicherung. Das bedeutet, dass Telekommunikationsanbieter und E-Mail-Provider die Verbindungs- und Bestandsdaten, die für die Identifizierung der Täter entscheidend sind, nur für sehr begrenzte Zeiträume vorhalten. IP-Adressen, Login-Daten, E-Mail-Header — wenn die Ermittlungsbehörden diese Daten nicht innerhalb weniger Tage oder Wochen sichern, sind sie unwiederbringlich gelöscht. Die Strafanzeige muss daher nicht nur den Sachverhalt schildern, sondern den Ermittlern von Anfang an die Informationen liefern, die sie für sofortige Sicherungsmaßnahmen benötigen: die genauen Transaktionsdaten einschließlich IBAN, BIC und Zeitstempel, die vollständige Kommunikationskette (E-Mails mit vollständigen Headern, Telefonnummern, IP-Adressen), die Ergebnisse einer sofortigen IT-forensischen Sicherung und konkrete Anregungen zur Datensicherung bei Providern — verbunden mit dem Hinweis auf die drohende Löschung.

Die strafrechtliche Einordnung

CEO-Fraud erfüllt regelmäßig den Tatbestand des Betrugs gem. § 263 StGB — in der Konstellation des sogenannten Dreiecksbetrugs, bei dem der getäuschte Mitarbeiter die Vermögensverfügung vornimmt und der Schaden beim Unternehmen eintritt. In der Praxis werden dabei fast immer Regelbeispiele des besonders schweren Falls verwirklicht: gewerbsmäßige Begehung (§ 263 Abs. 3 S. 2 Nr. 1 Alt. 1 StGB), Handeln als Bande (Nr. 1 Alt. 2) und ein Vermögensverlust großen Ausmaßes (Nr. 2 — Schwelle ab 50.000 EUR nach BGH-Rechtsprechung). Die Strafdrohung liegt im besonders schweren Fall bei sechs Monaten bis zehn Jahren Freiheitsstrafe, bei gewerbsmäßigem Bandenbetrug (§ 263 Abs. 5 StGB) bei einem Jahr bis zehn Jahren.

Je nach Fallgestaltung kommen hinzu: Fälschung beweiserheblicher Daten (§ 269 StGB), wenn E-Mails technisch so manipuliert werden, dass sie als von einer bestimmten Person stammend erscheinen, sowie Geldwäsche (§ 261 StGB) hinsichtlich der Weiterleitung der Beute. Bei der Verwendung von Deepfakes zur Stimmimitation liegt zudem ein besonders schwerer Fall der Fälschung beweiserheblicher Daten nahe. Die präzise strafrechtliche Einordnung in der Strafanzeige ist kein akademisches Detail — sie bestimmt, welche Ermittlungsbefugnisse den Behörden zur Verfügung stehen und ob etwa eine vorläufige Vermögenssicherung nach §§ 111b ff. StPO beantragt werden kann.

Der Unterschied zwischen einer guten und einer schlechten Strafanzeige

Eine Strafanzeige, die lediglich ausführt, man sei Opfer eines Betrugs geworden und Geld sei auf ein unbekanntes Konto überwiesen worden, versandet. Die Staatsanwaltschaft erhält tausende Verfahren dieser Art. Ohne aufbereiteten Sachverhalt, ohne konkrete Ermittlungsansätze und ohne den richtigen Adressaten wird das Verfahren nach § 170 Abs. 2 StPO eingestellt — oft erst Monate später, wenn die digitalen Spuren längst gelöscht sind.

Eine Strafanzeige, die dagegen die Tathandlungen sauber subsumiert, die Beweismittel geordnet beifügt, IT-forensische Erkenntnisse aufbereitet und konkrete Ermittlungsanregungen formuliert — etwa zur sofortigen Sicherung von Verbindungsdaten bei den beteiligten Providern, zur Kontensicherung und zur Einbindung internationaler Rechtshilfe —, gibt den Ermittlern einen unmittelbaren Handlungsrahmen. In der Praxis zeigt sich dabei immer wieder ein Muster: Unternehmen, die ohne anwaltliche Begleitung Anzeige erstatten, verlieren oft die entscheidenden Tage — weil die Anzeige beim falschen Adressaten eingeht, weil relevante technische Details fehlen oder weil niemand auf die Eilbedürftigkeit der Datensicherung hinweist.

Asset Recovery: Der Wettlauf gegen die Zeit

Wenn das Geld überwiesen ist, beginnt ein Wettlauf. Die Täter wissen, dass sie ein Zeitfenster von 24 bis 72 Stunden haben, bevor Sicherungsmechanismen greifen. In diesen Stunden entscheidet sich, ob das Unternehmen sein Geld wiedersieht.

Die strafrechtliche Schiene

Über die Strafanzeige bei der zuständigen Zentralstelle kann eine vorläufige Sicherung der Taterträge nach §§ 111b ff. StPO erwirkt werden. Dieser Vermögensarrest ermöglicht es, Konten einzufrieren und Vermögenswerte zu sichern, noch bevor das Verfahren in die Hauptverhandlung geht — auch auf Konten im Ausland, sofern Rechtshilfeabkommen bestehen. Das FBI Recovery Asset Team (RAT) berichtet für 2024 von einer Erfolgsquote von 66 % bei der Einfrierung betrügerischer BEC-Überweisungen — aber nur bei rechtzeitiger Meldung.

Wird der Täter identifiziert und angeklagt, eröffnet sich zudem das Adhäsionsverfahren nach §§ 403 ff. StPO: Das geschädigte Unternehmen kann seinen Schadensersatzanspruch unmittelbar im Strafprozess geltend machen — ohne den Umweg über eine separate Zivilklage, ohne zusätzliche Gerichtskosten, ohne jahrelange Verfahrensdauer. Das Adhäsionsverfahren wird in der Praxis zu selten genutzt, obwohl es gerade in Fällen der Wirtschaftskriminalität ein hocheffizientes Instrument ist.

Die zivilrechtliche Schiene: Erstattungsanspruch gegen die eigene Bank

Parallel zum strafrechtlichen Weg steht geschädigten Unternehmen ein Instrument zur Verfügung, das in der Praxis häufig übersehen wird: der Erstattungsanspruch aus § 675u S. 2 BGB gegen die eigene kontoführende Bank. Wenn ein Überweisungsauftrag gefälscht ist — also nicht vom Kontoinhaber oder einem Bevollmächtigten autorisiert wurde —, haftet die Bank verschuldensunabhängig auf Wertstellung.

Das OLG Celle hat dies in einem Hinweisbeschluss vom 17.11.2020 (Az. 3 U 122/20, BKR 2021, 114) für einen CEO-Fraud-Fall bestätigt und drei Grundsätze formuliert: Erstens greift der Haftungsausschluss des § 676c Nr. 1 BGB (ungewöhnliches und unvorhersehbares Ereignis) nicht, wenn dadurch die gesetzliche Risikoverteilung bei nicht autorisierten Zahlungen unterlaufen würde. Zweitens schließt ein Mitverschulden des Kunden den Erstattungsanspruch nur bei Vorsatz oder grober Fahrlässigkeit aus. Drittens kann der Kunde auch dann unmittelbar auf Zahlung klagen, wenn das Konto weiterhin im Haben geführt wird.

Der Anspruch gegen die Bank ist oft der schnellste Weg zur Schadensbegrenzung — schneller als das Strafverfahren, schneller als der Versuch, die Gelder im Ausland einfrieren zu lassen. Fehler in dieser Phase — etwa eine unbedachte Äußerung, die als nachträgliche Genehmigung gewertet werden könnte — können den Anspruch zunichtemachen.

Die Versicherung als dritte Säule

Flankierend kommt die Vertrauensschadenversicherung (VSV) in Betracht, die finanzielle Verluste durch Betrugshandlungen Dritter mittels Identitätstäuschung abdeckt. Wichtig: Eine Cyberversicherung greift bei CEO-Fraud regelmäßig nicht, weil die IT-Infrastruktur des Unternehmens nicht angegriffen wird — die Schwachstelle ist der Mensch, nicht das System. Das LG Hagen hat dies kürzlich bestätigt und die Klage eines durch Fake-President-Betrug geschädigten Unternehmens gegen seinen Cyberversicherer abgewiesen.

Daneben kann die D&O-Versicherung relevant werden, wenn die Geschäftsleitung keine angemessenen Präventionsmaßnahmen implementiert hat und deshalb selbst in Anspruch genommen wird — der Zusammenhang zu den Compliance-Pflichten nach § 91 Abs. 2 AktG bzw. § 43 GmbHG liegt auf der Hand. VSV, D&O und der § 675u-Anspruch gegen die Bank müssen als Gesamtbild betrachtet werden; die Subsidiaritätsklauseln zwischen den Versicherungen sind dabei sorgfältig zu prüfen.

Die ersten 48 Stunden: Was General Counsel sofort tun muss

  1. Stunde 0–2: Sofortige Kontaktaufnahme mit der kontoführenden Bank — telefonisch, nicht per E-Mail. Aufforderung zur Einleitung eines Recall-Verfahrens. Keine Äußerungen tätigen, die als nachträgliche Genehmigung der Überweisung gewertet werden könnten.
  2. Stunde 2–6: IT-forensische Sicherung der gesamten Kommunikationskette — E-Mails inklusive Header, Telefonprotokolle, ggf. Aufzeichnungen von Videokonferenzen. Sicherung der Logdaten. Keine eigenmächtige Löschung oder Veränderung von Daten.
  3. Stunde 6–24: Erstattung einer Strafanzeige bei der zuständigen Zentralstelle — nicht bei der örtlichen Polizei, sondern direkt bei der ZAC (in NRW) oder der jeweiligen Schwerpunktabteilung für Cyberkriminalität. Idealerweise durch einen Strafverteidiger, der die Eilbedürftigkeit — insbesondere die drohende Löschung von Verbindungsdaten mangels Vorratsdatenspeicherung — unmittelbar kommunizieren kann.
  4. Stunde 24–48: Information des Versicherers (VSV und ggf. D&O). Prüfung des Erstattungsanspruchs gegen die Bank nach § 675u BGB. Koordination der strafrechtlichen und zivilrechtlichen Strategie.

Prävention: Was vorher hätte passieren müssen

Der beste CEO-Fraud-Fall ist der, der gar nicht erst eintritt. Die Rechtsprechung — insbesondere das Sächsische LAG (Urteil vom 13.06.2017, Az. 3 Sa 556/16) — stellt hohe Anforderungen an die organisatorischen Vorkehrungen des Arbeitgebers: Ein einmaliger E-Mail-Hinweis auf die Betrugsmasche genügt nicht. Die Mindeststandards, deren Fehlen im Schadensfall sowohl die Haftung der Geschäftsleitung als auch die Versicherungsdeckung gefährden kann:

  • Konsequentes Vier-Augen-Prinzip für Zahlungsfreigaben — ohne Ausnahmen für vermeintlich dringende Anweisungen
  • Rückbestätigungspflicht über einen separaten Kommunikationskanal (nicht per Reply auf die angebliche CEO-E-Mail)
  • Regelmäßige und dokumentierte Schulungen aller Mitarbeiter mit Zahlungsbefugnissen
  • Technische E-Mail-Sicherheit: DMARC, SPF, DKIM und Warnhinweise für externe E-Mails
  • Kein Verlass mehr auf Videokonferenz-Verifizierung — stattdessen Out-of-Band-Verifizierung über bekannte Direktnummern
Von

Häufig gestellte Fragen

Was ist CEO-Fraud und wie funktioniert er?

CEO-Fraud (auch: Fake President Fraud, Business Email Compromise) ist eine Betrugsmasche, bei der Täter sich als Unternehmensführung ausgeben und Mitarbeiter zur Überweisung großer Geldbeträge veranlassen. Der Angriffsvektor ist Social Engineering — Autorität, Dringlichkeit und Vertraulichkeit werden gezielt ausgenutzt. Moderne Varianten setzen auf Deepfakes, die selbst Videogespräche mit dem vermeintlichen Chef fälschen.

Welche Straftatbestände erfüllt CEO-Fraud?

Im Kern: Betrug gem. § 263 StGB als Dreiecksbetrug. Regelmäßig im besonders schweren Fall (gewerbsmäßig, Bande, Vermögensverlust großen Ausmaßes ab 50.000 EUR). Hinzu kommen Fälschung beweiserheblicher Daten (§ 269 StGB) und Geldwäsche (§ 261 StGB). Bei Deepfake-Einsatz liegt ein besonders schwerer Fall der Datenfälschung nahe.

Wo muss die Strafanzeige erstattet werden?

Nicht bei der örtlichen Polizei, sondern direkt bei den spezialisierten Zentralstellen: in NRW bei der ZAC NRW, in anderen Bundesländern bei den Schwerpunktabteilungen für Cyberkriminalität oder Wirtschaftskriminalität. Diese haben die technische Expertise und die internationalen Kontakte. Eine Weiterleitung über die örtliche Polizei kostet Tage — Tage, in denen Verbindungsdaten unwiederbringlich gelöscht werden.

Warum ist Geschwindigkeit bei der Strafanzeige so entscheidend?

Deutschland hat keine flächendeckende Vorratsdatenspeicherung. IP-Adressen, Login-Daten und E-Mail-Header werden von Providern nur sehr kurz gespeichert. Sind diese Daten gelöscht, ist die Identifizierung der Täter — und damit auch die Vermögensabschöpfung — oft unmöglich. Das FBI Recovery Asset Team (RAT) berichtet für 2024 von 66 % Erfolgsquote bei rechtzeitiger Meldung.

Hat das Unternehmen einen Anspruch gegen die eigene Bank?

Ja — wenn der Überweisungsauftrag nicht autorisiert war (gefälschte Anweisung), haftet die Bank nach § 675u S. 2 BGB verschuldensunabhängig auf Wertstellung. Das OLG Celle (Az. 3 U 122/20) hat dies für CEO-Fraud-Fälle bestätigt. Entscheidend: keine Äußerungen nach dem Vorfall, die als nachträgliche Genehmigung gewertet werden könnten.

Greift die Cyberversicherung bei CEO-Fraud?

In der Regel nicht. Da die IT-Infrastruktur des Unternehmens nicht angegriffen wird (die Schwachstelle ist der Mensch), ist der Tatbestand der Cyberversicherung typischerweise nicht erfüllt. Das LG Hagen hat dies kürzlich bestätigt. Einschlägig ist die Vertrauensschadenversicherung (VSV), die Verluste durch Identitätstäuschung durch Dritte abdeckt.

Kann das Unternehmen Schadensersatz im Strafverfahren durchsetzen?

Ja — über das Adhäsionsverfahren (§§ 403 ff. StPO). Das geschädigte Unternehmen kann seinen Schadensersatzanspruch unmittelbar im Strafprozess geltend machen, ohne separate Zivilklage, ohne zusätzliche Gerichtskosten. In der Praxis wird dieses Instrument zu selten genutzt.

Sind Deepfakes in Videokonferenzen erkennbar?

Zuverlässig mit bloßem Auge inzwischen nicht mehr — der Arup-Fall (25 Mio. USD Schaden) hat das eindrücklich bewiesen. Die Verifizierung per Videocall ist als Sicherheitsmechanismus gescheitert. Zuverlässig ist nur die Out-of-Band-Verifizierung über eine bekannte, direkt gewählte Telefonnummer — niemals über Rückruf auf die Nummer, die der Angreifer mitgeteilt hat.

Fazit

CEO-Fraud ist kein IT-Problem. Es ist ein Angriff auf die Organisationsstruktur des Unternehmens — und die Reaktion darauf erfordert mehr als einen IT-Forensiker und eine Standardanzeige bei der Polizei. Ob das Unternehmen sein Geld wiedersieht, hängt davon ab, wie schnell und wie professionell die ersten Stunden nach der Tat gemanagt werden: die richtige Bank-Kommunikation, die richtige Strafanzeige bei der richtigen Zentralstelle, die parallele Sicherung aller zivilrechtlichen Ansprüche.

Und es hängt davon ab, ob die Verbindungsdaten noch existieren, wenn die Ermittler zugreifen — in einem Land ohne Vorratsdatenspeicherung ist das keine Selbstverständlichkeit. Wer diese Stunden verstreichen lässt, zahlt doppelt — den Schaden und die verpasste Chance auf Recovery.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Mai 2026.

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Newsletter

Compliance & Wirtschaftsstrafrecht

Neue Beiträge direkt in Ihr Postfach.

Kein Spam. Abbestellbar. Datenschutz

Zum Inhalt springen