Auf einen Blick: CEO-Fraud ist eine raffinierte Betrugsmasche, bei der Kriminelle hochrangige Führungskräfte imitieren, um Mitarbeitende zu sechsstelligen Überweisungen zu verleiten. Klare Prozesse und ein Rückruf-Protokoll schützen zuverlässig.
Was ist CEO-Fraud?
CEO-Fraud (auch: Business E‑Mail Compromise, BEC oder „Chef-Masche”) bezeichnet eine Betrugsform, bei der Kriminelle sich per E‑Mail als Geschäftsführer, CFO oder andere Führungspersonen einer Firma ausgeben. Ziel ist es, Buchhaltungsmitarbeitende zu einer schnellen Überweisung hoher Geldbeträge auf ein Auslandskonto zu bewegen.
Die Schäden pro Fall gehen oft in den fünf- bis siebenstelligen Bereich. Das FBI stuft BEC als eine der kostspieligsten Cyberkriminalitätsformen weltweit ein.
So funktioniert CEO-Fraud: Die 5 Schritte
Schritt 1: Zielunternehmen auskundschaften
Täter recherchieren intensiv:
- Wer ist Geschäftsführer / CFO? (LinkedIn, Unternehmenswebsite)
- Wer ist für Buchhaltung / Zahlungen zuständig?
- Welche Projekte laufen gerade? (Pressemitteilungen, Jobausschreibungen)
- Schreibstil und Formulierungen der Führungskraft (öffentliche E‑Mails, Interviews)
Schritt 2: E‑Mail-Adresse fälschen
Methoden:
- E‑Mail-Spoofing: Die Absenderadresse sieht aus wie
[email protected], ist aber eine Fälschung - Domain-Lookalike:
[email protected](kleiner Tippfehler) oder[email protected](Zusatz) - Display Name Spoofing: Angezeigter Name lautet „Thomas Müller – CEO”, eigentliche Adresse ist
[email protected]
Schritt 3: Druck und Geheimhaltung erzeugen
Die Nachricht enthält typischerweise:
"Hiermit bitte ich Sie dringend, diese Überweisung VERTRAULICH zu behandeln.
Es handelt sich um eine streng geheime Akquisition, die ich Ihnen persönlich
erklärt werde. Bitte führen Sie die Zahlung von 85.000 € bis heute 16 Uhr aus:
IBAN: LT...
BIC: ...
Bitte bestätigen Sie die Ausführung umgehend."
Schritt 4: Kein Rückruf erwünscht
Die Mail enthält oft den Hinweis, man solle nicht anrufen, der CEO sei „im wichtigen Meeting”. Dies verhindert die einfachste Sicherheitsprüfung.
Schritt 5: Geld landet im Ausland
Zielkonten befinden sich oft in osteuropäischen Ländern oder Hongkong. Nach der Überweisung wird das Geld binnen Stunden weitertransferiert – eine Rückholung ist dann kaum noch möglich.
Echte Beispiele aus Deutschland
| Fall | Schaden |
|---|---|
| Mittelständisches Maschinenbauunternehmen (Bayern, 2023) | 470.000 € |
| Steuerakademie (NRW, 2022) | 230.000 € |
| Kommunales Sozialunternehmen (Sachsen, 2024) | 180.000 € |
Schutzmaßnahmen für Unternehmen
1. Vier-Augen-Prinzip einführen
Alle Überweisungen ab einem definierten Betrag (z.B. ab 5.000 €) müssen von zwei Personen unabhängig voneinander freigegeben werden – unabhängig von der Dringlichkeit.
2. Rückruf-Protokoll verbindlich machen
Goldene Regel: Bei jeder ungewöhnlichen Zahlungsanweisung per Mail immer per Telefon rückrufen – über eine intern hinterlegte Nummer, niemals über eine Nummer aus der Mail.
3. Klare Freigabe-Limits und Prozesse
- Feste Limits pro Mitarbeiterstelle
- Schriftliche Anweisungen für Ausnahmezahlungen
- Notfall-Transaktionen immer persönlich oder telefonisch bestätigen
4. Mitarbeiterschulungen
Regelmäßige Schulungen zum Erkennen von Social Engineering, E‑Mail-Spoofing und CEO-Fraud. Mitarbeitende sollen sich nicht genieren, eine Anweisung zu hinterfragen – auch wenn sie scheinbar vom CEO kommt.
5. Technische E‑Mail-Schutzmaßnahmen
- SPF (Sender Policy Framework): Legt fest, welche Server für eure Domain Mails versenden dürfen
- DKIM (DomainKeys Identified Mail): Digitale Signatur für ausgehende Mails
- DMARC: Kombiniert SPF und DKIM, verhindert Spoofing der eigenen Domain
⚠️ Wichtig: SPF/DKIM/DMARC schützen eure eigene Domain – aber nicht gegen Lookalike-Domains oder Display Name Spoofing. Die organisatorischen Maßnahmen sind genauso entscheidend.
Was tun, wenn CEO-Fraud bereits passiert ist?
Sofortmaßnahmen (jede Minute zählt!):
- Bank sofort anrufen und den SWIFT Recall einleiten (Rückruf der Überweisung – nur möglich, solange das Geld noch nicht weitertransferiert wurde!)
- Strafanzeige erstatten – Polizei und BKA müssen informiert werden
- Interne Dokumentation: Welche Mail kam von wem, wann, mit welchem Inhalt?
- IT-Forensik benachrichtigen: War das Postfach des Führungskraft-Accounts kompromittiert?
- Versicherung informieren (falls Cyber-Versicherung vorhanden)
Fazit
CEO-Fraud ist kein technisches Problem – es ist ein menschliches. Kein Firewall und kein Antivirusprogramm ersetzen klare Prozesse und geschulte Mitarbeitende. Ein einziger Rückruf über eine intern hinterlegte Nummer kann einen Schaden von Hunderttausenden Euro verhindern.