Was ist CEO-Fraud?
CEO-Fraud – auch als Business Email Compromise (BEC) bekannt – ist eine der finanziell verheerendsten Betrugsmaschen im Unternehmensumfeld. Angreifer geben sich als Geschäftsführer, Vorstand oder hochrangiger Manager aus und veranlassen Mitarbeiter, dringende Überweisungen auf fremde Konten auszuführen.
Die Zahlen sind alarmierend: Das BKA beziffert den jährlichen Schaden durch CEO-Fraud in Deutschland auf einen dreistelligen Millionenbetrag. Im Durchschnitt verliert ein betroffenes Unternehmen rund 120.000 Euro pro Vorfall – in Einzelfällen sind es Millionen.
So funktioniert der Angriff
Cyberangriff? Jetzt Soforthilfe erhalten.
24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.
CEO-Fraud ist kein technisch komplexer Hack. Es ist Social Engineering auf höchstem Niveau. Der typische Ablauf:
Phase 1: Aufklärung
Die Angreifer recherchieren das Unternehmen gründlich: Wer ist Geschäftsführer? Wer hat Zahlungsbefugnis? Wie ist die E-Mail-Struktur aufgebaut? Quellen sind LinkedIn, Handelsregister, Unternehmenswebsite und Social Media. Oft werden auch Abwesenheiten des Geschäftsführers gezielt abgepasst.
Phase 2: Kontaktaufnahme
Der Mitarbeiter – typischerweise aus der Buchhaltung oder Finanzabteilung – erhält eine E-Mail, die scheinbar vom Geschäftsführer stammt. Der Tonfall ist bestimmt, die Angelegenheit angeblich streng vertraulich und äußerst dringend.
Phase 3: Druckaufbau
Die E-Mail enthält eine klare Handlungsanweisung: eine Überweisung für eine angebliche Firmenübernahme, einen vertraulichen Deal oder eine dringende Lieferantenzahlung. Rückfragen werden unterbunden – "Rufen Sie mich nicht an, ich bin im Meeting."
Phase 4: Geld weg
Ist die Überweisung ausgeführt, wird das Geld innerhalb von Stunden über mehrere internationale Konten verschoben. Eine Rückholung ist dann oft nicht mehr möglich.
Typische Szenarien aus der Praxis
Fall 1: Eine Buchhalterin eines mittelständischen Maschinenbauers erhält eine E-Mail vom "Geschäftsführer" mit der Anweisung, 85.000 Euro an einen neuen Zulieferer in Hongkong zu überweisen. Die E-Mail-Adresse unterscheidet sich vom Original nur durch einen Buchstaben. Die Überweisung wird ausgeführt, das Geld ist verloren.
Fall 2: Ein Zulieferer informiert per E-Mail über eine Kontoänderung. Die nächsten drei Rechnungen über insgesamt 230.000 Euro gehen auf ein Betrugskonto. Die E-Mail kam tatsächlich vom kompromittierten Konto des Zulieferers.
Fall 3: Ein CFO erhält eine gefälschte E-Mail eines Wirtschaftsprüfers mit der Bitte um eine vertrauliche Sofortüberweisung im Rahmen einer angeblichen Prüfung. Der psychologische Druck durch die vermeintliche Autorität funktioniert.
Warnzeichen erkennen
Schulen Sie Ihre Mitarbeiter auf diese Alarmsignale:
- Ungewöhnliche Dringlichkeit: "Muss sofort passieren", "Heute noch überweisen"
- Geheimhaltung: "Sprechen Sie mit niemandem darüber", "Streng vertraulich"
- Abweichende E-Mail-Adresse: Minimale Unterschiede (rn statt m, fehlender Buchstabe, andere Domain)
- Unübliche Kommunikation: Der CEO schreibt normalerweise nie direkt an die Buchhaltung
- Geänderte Kontodaten: Lieferanten oder Partner teilen plötzlich neue Bankverbindungen mit
- Druck gegen Rückfragen: Jeder Versuch der Verifikation wird unterbunden
Schutzmaßnahmen: Technik und Organisation
Organisatorisch: Das Vier-Augen-Prinzip
Die wichtigste Maßnahme ist zugleich die einfachste: Keine Überweisung ohne Freigabe durch mindestens zwei Personen. Dieses Vier-Augen-Prinzip muss ausnahmslos gelten – gerade bei angeblich vertraulichen Anweisungen.
Zusätzlich:
- Rückruf-Verifizierung bei jeder ungewöhnlichen Zahlungsanweisung – unter der bekannten Nummer, nicht unter einer in der E-Mail angegebenen
- Feste Prozesse für Kontoänderungen von Lieferanten mit telefonischer Bestätigung
- Klare Regelung: Kein Manager darf das Vier-Augen-Prinzip außer Kraft setzen
Technisch: E-Mail-Sicherheit
- SPF, DKIM und DMARC konfigurieren und durchsetzen – diese Protokolle verhindern E-Mail-Spoofing der eigenen Domain
- E-Mail-Gateway mit BEC-Erkennung – moderne Lösungen analysieren Absenderverhalten, Sprache und Kontext
- Externe E-Mails kennzeichnen – ein Banner "[EXTERNE E-MAIL]" macht Spoofing-Versuche sofort sichtbar
- Multi-Faktor-Authentifizierung für alle E-Mail-Konten – verhindert, dass Angreifer echte Konten übernehmen
Mitarbeiter-Training
Regelmäßige Awareness-Schulungen sind unverzichtbar. Simulierte BEC-Angriffe zeigen Schwachstellen auf, ohne realen Schaden zu verursachen. Besonders Mitarbeiter mit Zahlungsbefugnis müssen wissen, wie CEO-Fraud funktioniert.
Was tun, wenn es passiert ist?
Wenn Sie einen CEO-Fraud bemerken, zählt jede Minute:
- Sofort die Bank kontaktieren: Lassen Sie die Überweisung sofort stoppen oder zurückrufen. Bei internationalen Überweisungen wird das Zeitfenster kleiner als bei SEPA.
- Empfängerbank informieren: Bitten Sie Ihre Bank, die Empfängerbank über den Betrug zu informieren und eine Kontosperrung zu veranlassen.
- Strafanzeige erstatten: Wenden Sie sich an die Zentrale Ansprechstelle Cybercrime (ZAC) Ihres Landeskriminalamts. Je schneller die Anzeige, desto höher die Chance auf Ermittlungserfolge.
- E-Mail-Konten prüfen: Wenn der Angriff über ein kompromittiertes internes Konto lief, müssen alle Zugangsdaten sofort geändert und die Kompromittierung analysiert werden.
- Incident-Response-Team einschalten: Professionelle Forensik klärt, ob weitere Systeme betroffen sind.
Weiterführende Informationen
- Cyberangriff? Soforthilfe für Unternehmen
- IT-Forensik: Kompromittierte E-Mail-Konten analysieren
- Passwortmanagement für Unternehmen
- Meldepflichten nach einem Cyberangriff
Prävention beginnt heute
CEO-Fraud nutzt menschliche Eigenschaften aus – Vertrauen in Autoritäten, Hilfsbereitschaft und den Wunsch, Aufgaben schnell zu erledigen. Technische Maßnahmen allein reichen nicht. Nur die Kombination aus klaren Prozessen, moderner E-Mail-Sicherheit und geschulten Mitarbeitern schützt Ihr Unternehmen wirksam.
