Die Chef-Masche:
gefälschte Eil-Mails, die zur Überweisung drängen
Eine Mail „von der Chefin": dringend, vertraulich, am normalen Weg vorbei. Bitte sofort überweisen, Rückfragen später. Der Trick lebt von Autorität und Zeitdruck — und genau daran lässt er sich auch stoppen.
Es ist kurz vor Feierabend, die Buchhaltung räumt den Schreibtisch auf. Da kommt eine Mail von der Geschäftsführerin: Eine vertrauliche Sache, eine wichtige Zahlung müsse heute noch raus, sie sei gerade im Termin und nicht erreichbar, man solle bitte diskret handeln. Die Anrede stimmt, der Ton klingt echt, die Eile ist plausibel. Genau so funktioniert die Chef-Masche.
Diese Betrugsform zielt nicht auf eine technische Lücke, sondern auf einen Menschen in einer hierarchischen Situation. Sie kostet Betriebe jeder Größe Geld — und sie ist deshalb so wirksam, weil sie an guten Eigenschaften ansetzt: Hilfsbereitschaft, Pflichtgefühl, Respekt vor Vorgesetzten. Dieser Beitrag zeigt, wie der Trick aufgebaut ist, woran man ihn erkennt und welche eine Regel ihn zuverlässig ins Leere laufen lässt.
Vier Reflexe, die die Masche stoppen
Was zwischen Eil-Mail und Überweisung passieren muss
Der Trick scheitert schon an Schritt 2 — sobald jemand kurz innehält, statt sofort zu handeln
Wie die Chef-Masche funktioniert
Am Anfang steht Recherche, nicht Technik. Die Täter sammeln öffentlich verfügbare Informationen: Wer leitet den Betrieb, wer arbeitet in der Buchhaltung, wie schreibt man dort, wann ist die Geschäftsführung erkennbar unterwegs? Vieles davon steht auf der eigenen Website, in sozialen Netzwerken oder in Pressemitteilungen — frei zugänglich für jeden.
Mit diesem Wissen wird die Nachricht gebaut: eine Mail, die aussieht, als käme sie von der Geschäftsführung, mit der richtigen Anrede, dem passenden Ton und einem glaubwürdigen Anlass. Oft trifft sie genau dann ein, wenn die echte Führungsperson tatsächlich schwer erreichbar ist — auf Reisen, im Urlaub, in einer Messewoche. Diese Lücke ist kein Zufall, sondern Teil der Vorbereitung.
Der Rest ist Inszenierung. Die Bitte ist dringend und vertraulich, der normale Freigabeweg wird mit einem Vorwand übersprungen, und auf jede Rückfrage folgt weiterer Druck. Geht das Geld einmal raus, ist es über mehrere Stationen oft schnell außer Reichweite. Genau deshalb setzt der Trick alles daran, die eine Sekunde des Zögerns zu verhindern.
Viele glauben, die Masche treffe nur große Konzerne. Das Gegenteil ist der Fall: Gerade in kleineren Betrieben sind die Wege kurz, eine einzelne Person kann oft allein überweisen, und persönliches Vertrauen ersetzt formale Kontrollen. Genau diese Nähe, die im Alltag ein Vorteil ist, macht die Masche hier besonders wirksam.
Die drei psychologischen Hebel
Die Chef-Masche ist im Kern keine technische, sondern eine psychologische Methode. Sie zieht an drei Hebeln gleichzeitig — und ihre Wirkung entsteht aus der Kombination.
Autorität
Eine Bitte „von ganz oben" wird seltener hinterfragt. Wer eine Anweisung der Geschäftsführung bekommt, ist darauf trainiert, sie auszuführen, nicht zu prüfen. Die Täter nutzen diesen eingeübten Respekt aus — je steiler die Hierarchie, desto wirksamer.
Zeitdruck
Eile schaltet das ruhige Nachdenken aus. „Es muss heute noch raus" lässt keinen Raum für den Weg zur Kollegin, für die Rückfrage, für das Innehalten. Der Druck ist kein Beiwerk, sondern der eigentliche Wirkstoff: Er soll verhindern, dass die normale Sorgfalt greift.
Geheimhaltung
Die Bitte um Diskretion isoliert das Opfer. Wer glaubt, an einer vertraulichen, wichtigen Sache beteiligt zu sein, holt keine zweite Meinung ein — und genau das ist gewollt. Die Geheimhaltung schaltet die soziale Kontrolle aus, die den Betrug sonst sofort auffliegen ließe.
Wer diese drei Hebel kennt, hat den besten Schutz bereits verinnerlicht: Sobald eine Bitte gleichzeitig dringend, von oben und geheim ist, sollte nicht die Hilfsbereitschaft anspringen, sondern die Aufmerksamkeit. Diese Kombination ist im seriösen Alltag selten — bei der Masche ist sie die Regel.
Die häufigsten Varianten
Die Grundidee bleibt gleich, das Kostüm wechselt. Vier Varianten begegnen Betrieben besonders häufig.
- Die klassische Chef-Mail: die Geschäftsführung bittet vertraulich um eine eilige Überweisung
- Der falsche Lieferant: ein angeblich bekannter Partner meldet eine „neue Bankverbindung" für die nächste Rechnung
- Der Anruf als Verstärkung: ein vermeintlicher Anwalt oder Berater ruft an und bestätigt die Dringlichkeit der Mail
- Die Kurznachricht: eine SMS oder Messenger-Nachricht von einer neuen Nummer, angeblich der private Draht des Chefs
Besonders tückisch ist die Lieferanten-Variante, weil sie sich in einen echten, laufenden Geschäftsvorgang einklinkt. Die Rechnung ist real, nur die Bankverbindung wurde untergeschoben. Jede Änderung einer hinterlegten Kontoverbindung verdient deshalb dieselbe Vorsicht wie eine spontane Eil-Überweisung — sie ist eine der häufigsten Einfallstüren. Wie eng diese Maschen mit gefälschten Forderungen verwandt sind, zeigt der Beitrag zur Domain-Rechnung-Masche.
Die Warnsignale im Detail
Kein einzelnes Signal beweist einen Betrug — aber das Zusammenkommen mehrerer ist ein deutliches Alarmzeichen. Diese Punkte tauchen bei der Chef-Masche immer wieder auf.
Im Inhalt
Ungewöhnliche Dringlichkeit, die Bitte um Vertraulichkeit, das Umgehen des normalen Wegs, eine Mischung aus Druck und Schmeichelei („nur Ihnen vertraue ich das an"). Auffällig ist auch, wenn ausgerechnet der sonst übliche Rückfrage-Kanal als gerade nicht verfügbar dargestellt wird.
Im Absender
Eine Adresse, die der echten nur ähnelt — ein vertauschter Buchstabe, eine andere Endung, eine erst kürzlich angelegte Adresse. Manchmal stimmt der angezeigte Name, aber die dahinterliegende Adresse weicht ab. Ein Blick auf die tatsächliche Absenderadresse, nicht nur den angezeigten Namen, deckt viele Fälschungen auf.
Im Detail der Forderung
Eine neue, unbekannte Bankverbindung, ein ungewöhnliches Zielland, ein Betrag knapp unterhalb einer internen Freigabegrenze, eine Begründung, die jede genauere Nachfrage abschneidet. Wer diese Details ernst nimmt, statt sie unter Zeitdruck zu übergehen, hat die Masche meist schon erkannt.
Machen Sie „Eile" zum Warnsignal statt zum Beschleuniger. Wer im Team verinnerlicht, dass gerade die besonders dringenden, besonders vertraulichen Zahlungsbitten am gründlichsten geprüft werden, dreht die Logik der Masche um. Der Druck, der das Opfer treiben soll, wird zum Auslöser für die Gegenprüfung.
Die Regel, die den Trick aushebelt
So vielfältig die Varianten sind — sie haben eine gemeinsame Schwachstelle: Sie funktionieren nur, solange eine einzelne Person allein und schnell entscheidet. Genau hier setzt die wirksamste Maßnahme an, und sie ist kein teures Werkzeug, sondern eine feste Regel.
Vier Augen über einen zweiten Kanal
Zahlungen ab einer festgelegten Höhe und jede Änderung einer Bankverbindung werden grundsätzlich von zwei Personen bestätigt — und die Bestätigung läuft über einen zweiten, unabhängigen Kanal. Nicht per Antwort auf dieselbe Mail, sondern per Rückruf an eine bekannte, vorher hinterlegte Nummer. Dieser Medienbruch ist der Kern: Der Täter kontrolliert die Mail, aber nicht den Telefonanschluss der echten Person.
Ausnahmslos, gerade bei Eile
Die Regel wirkt nur, wenn sie keine Ausnahmen kennt. „Diesmal ist es wirklich dringend" ist genau der Satz, mit dem die Masche die Regel aushebeln will. Eine gute Freigabe-Regel ist deshalb so formuliert, dass Eile sie nicht aufhebt, sondern bestätigt — je dringender, desto wichtiger die Gegenprüfung.
Rückendeckung von oben
Entscheidend ist, dass die Geschäftsführung selbst die Regel vorlebt und ausdrücklich wünscht, hinterfragt zu werden. Wer einmal klar sagt „Prüft jede solche Bitte nach, auch wenn sie von mir zu kommen scheint — ich nehme euch das nie übel", nimmt der Masche ihren stärksten Hebel: die Angst, eine Anweisung von oben zu hinterfragen.
Ab einer klaren Schwelle entscheidet nie eine Person allein
Rückruf an die bekannte Nummer des Partners, nie an die aus der Mail
Bestätigung nie über denselben Weg, über den die Bitte kam
Die Führung stellt klar: Nachfragen ist richtig, nicht respektlos
Technische Flankierung
Der Prozess ist die Hauptverteidigung — Technik senkt die Zahl der Versuche, die überhaupt ankommen. Beides zusammen ergibt den robusten Schutz; eines allein bleibt lückenhaft.
E-Mail-Authentifizierung
Mit korrekt eingerichteten Authentifizierungs-Standards wird es für Täter schwer, exakt die echte Firmenadresse zu fälschen. Sie weichen dann auf ähnlich aussehende Adressen aus — was die Erkennung erleichtert, weil die Absenderadresse nicht mehr stimmt. Wie diese Standards funktionieren, vertieft der Beitrag zu Phishing mit der eigenen Firmen-Adresse.
Markierung externer Mails
Ein dezenter Hinweis, der jede von außen kommende Mail kennzeichnet, hilft enorm: Wenn die vermeintliche Chef-Mail sichtbar von außerhalb des Betriebs stammt, fällt die Fälschung sofort auf. Diese Einstellung ist mit wenig Aufwand umsetzbar und im Alltag erstaunlich wirksam.
Saubere Zugänge
Wo Täter ein echtes Postfach übernehmen, wirkt keine Absender-Prüfung mehr — dann kommt die Mail tatsächlich von der richtigen Adresse. Deshalb gehören abgesicherte Zugänge zur Grundausstattung; warum geteilte Passwörter dabei das größte Risiko sind, behandelt der Beitrag zu geteilten Passwörtern im Betrieb.
Wenn das Geld schon weg ist
Trotz aller Vorsicht kann es passieren — und dann zählt jede Minute. Wichtig ist, schnell und ohne Schuldzuweisung zu handeln. Wer einer professionell gemachten Masche aufsitzt, ist Opfer, nicht Täter.
- Sofort die Bank kontaktieren: um Rückruf der Überweisung bitten — bei schnellem Eingreifen lässt sich der Betrag manchmal noch stoppen.
- Intern melden: Geschäftsführung und gegebenenfalls die für Sicherheit verantwortliche Person umgehend informieren.
- Dokumentieren: die betrügerische Mail, Zeitpunkte und alle Schritte festhalten — als Grundlage für Bank und Behörden.
- Anzeige erstatten: bei der Polizei melden; spezialisierte Stellen können bei grenzüberschreitenden Fällen weiterhelfen.
- Team warnen: den Versuch offen teilen, damit niemand sonst auf eine zweite, nachgeschobene Mail hereinfällt.
Der offene Umgang ist entscheidend. Wird ein Vorfall verschwiegen, lernt niemand daraus, und der nächste Versuch trifft auf dieselbe Lücke. Wer dagegen ruhig und transparent reagiert, schützt nicht nur das Geld, sondern auch das Vertrauen — wie wichtig der Außen-Eindruck dabei ist, zeigt der Beitrag zur eigenen Online-Reputation.
Die fünf Annahmen, die teuer werden
Nicht die Technik der Täter macht die Masche erfolgreich, sondern verbreitete Annahmen auf der Gegenseite. Diese fünf sind die gefährlichsten.
Gerade kleine Betriebe mit kurzen Wegen sind besonders gefährdet
Zeitdruck ist der Wirkstoff der Masche, kein Beweis für Echtheit
Angezeigter Name und echte Absenderadresse sind zweierlei
Genau diese Hemmung ist der stärkste Hebel der Täter
Verschweigen verhindert, dass das Team aus dem Versuch lernt
Annahme 2 und 4 sind die teuersten — sie schalten genau die Sorgfalt aus, die den Betrug sonst stoppen würde.
Häufig gestellte Fragen
Die Chef-Masche ist eine Form des Betrugs, bei der sich Täter als Geschäftsführung oder eine andere Autoritätsperson ausgeben und eine Mitarbeiterin oder einen Mitarbeiter zu einer dringenden, vertraulichen Überweisung drängen — am üblichen Freigabeweg vorbei. Die Nachricht kommt per E-Mail, zunehmend auch per Anruf oder Kurznachricht, und nutzt einen erfundenen Anlass wie eine geheime Übernahme oder eine eilige Forderung. Ziel ist immer, das Opfer unter Zeitdruck zu einer Zahlung zu bewegen, bevor es Rücksprache halten kann.
Es gibt ein wiederkehrendes Muster: ungewöhnliche Dringlichkeit, die Bitte um Vertraulichkeit, ein Vorgehen am normalen Weg vorbei und oft eine erst kürzlich geänderte oder leicht abweichende Absenderadresse. Häufig wird Druck mit Belohnung gemischt — „nur Sie kann ich damit betrauen". Ein einzelnes Signal ist noch kein Beweis, aber das Zusammenkommen mehrerer dieser Punkte ist ein klares Warnsignal. Im Zweifel gilt: über einen zweiten, bekannten Kanal rückfragen, niemals nur per Antwort auf dieselbe Mail.
Die wirksamste Einzelmaßnahme ist eine feste Freigabe-Regel: Zahlungen ab einer bestimmten Höhe und jede Änderung einer Bankverbindung werden grundsätzlich von zwei Personen über einen zweiten, unabhängigen Kanal bestätigt — etwa per Rückruf an eine bekannte Nummer. Diese Regel gilt ausnahmslos, gerade auch dann, wenn angeblich Eile geboten ist. Sie nimmt der Masche ihre Grundlage, weil der Trick nur funktioniert, solange eine einzelne Person allein und schnell entscheidet.
Technik flankiert, ersetzt aber nicht den Prozess. E-Mail-Authentifizierung erschwert es Tätern, exakt die echte Firmenadresse zu fälschen, und ein gut eingestellter Spam-Filter fängt einen Teil ab. Die Täter weichen aber auf täuschend ähnliche Adressen oder andere Kanäle aus. Deshalb ist die Kombination entscheidend: technische Hürden senken die Zahl der Versuche, die feste Freigabe-Regel und aufmerksame Mitarbeitende stoppen den Rest.
Sofort handeln: die eigene Bank kontaktieren und um einen Rückruf der Überweisung bitten — bei schnellem Eingreifen lässt sich der Betrag manchmal noch stoppen. Parallel den Vorfall intern melden, dokumentieren und Anzeige bei der Polizei erstatten. Wichtig ist, ohne Schuldzuweisung vorzugehen: Wer einer professionell gemachten Masche aufsitzt, ist Opfer, nicht Täter. Ein offener Umgang sorgt dafür, dass solche Fälle gemeldet statt verschwiegen werden.
Eine Regel schlägt jede Inszenierung
Die Chef-Masche ist gut gemacht, aber sie hat eine feste Schwachstelle: Sie braucht eine einzelne Person, die unter Druck allein und schnell entscheidet. Nimmt man ihr diese Voraussetzung — durch eine ausnahmslose Vier-Augen-Freigabe über einen zweiten Kanal —, läuft selbst die überzeugendste Inszenierung ins Leere.
Der wirksamste Schutz kostet kein Werkzeug, sondern eine Entscheidung: eine klare Regel, technische Flankierung und eine Führung, die ausdrücklich zum Nachfragen ermutigt. Wer das einmal verankert, macht aus der gefährlichsten Eigenschaft der Masche — ihrem Tempo — den Auslöser für die eigene Gegenwehr.
Wir prüfen in 2 Werktagen Ihre Freigabe- und Zahlungsprozesse und zeigen, wo eine gefälschte Eil-Mail heute durchkäme.