CEO-Fraud
CEO-Fraud bezeichnet eine Betrugsform, bei der sich Angreifer als Geschäftsführung oder Vorgesetzte ausgeben und Mitarbeitende – meist in der Buchhaltung – zu einer dringlichen, vertraulichen Überweisung oder Datenherausgabe anweisen.
CEO-Fraud ist die Chef-Variante des Spear-Phishing und verbindet gezielte Personalisierung mit dem Autoritäts-Hebel des Social Engineering.
In einfachen Worten
Der Ablauf folgt einem festen Drehbuch. Die Nachricht kommt scheinbar von der Geschäftsführung persönlich, oft von einer Adresse, die der echten zum Verwechseln ähnelt. Inhaltlich verlangt sie eine Überweisung mit drei typischen Merkmalen: Sie ist eilig, sie ist vertraulich – etwa wegen einer angeblichen Firmenübernahme –, und sie soll am üblichen Weg vorbei laufen. Die Vertraulichkeit ist der Kern der Masche: Sie verbietet der angeschriebenen Person genau die Rückfrage, die den Betrug auffliegen ließe. Generative KI hat die Masche verstärkt: Texte treffen den Ton des Hauses, und ein Anruf mit geklonter Stimme kann die Mail bestätigen – der Stimm-Klon macht aus der schriftlichen Anweisung einen scheinbar persönlichen Auftrag. Vorbereitet wird der Angriff wie jedes Spear-Phishing über öffentlich verfügbare Informationen: wer zeichnet, wer bucht, wer wen vertritt und wann die Führungsebene unterwegs ist.
Wozu brauche ich das?
Der Schutz liegt in zwei Regeln, die ohne Ausnahme gelten. Jede Zahlungsanweisung außerhalb des üblichen Ablaufs wird über einen unabhängigen, vorher bekannten Weg rückbestätigt – ein Anruf bei der Geschäftsführung unter der gespeicherten Nummer genügt. Und ab einer definierten Schwelle gibt eine zweite Person frei, nach der Logik der doppelten Kontrolle, wie sie das Vier-Augen-Prinzip beschreibt. Beide Regeln müssen ausdrücklich auch für Anweisungen gelten, die von der Führungsebene zu kommen scheinen – der Betrug besteht exakt aus dieser Absender-Behauptung.
Beispiel aus der Praxis
Freitagnachmittag erreicht die Buchhaltung eines Autozulieferers eine Mail des angeblich auf Geschäftsreise befindlichen Geschäftsführers: Eine Anzahlung für eine vertrauliche Beteiligung müsse noch heute raus, der Steuerberater sei informiert, Rückfragen bitte nur per Mail. Minuten später ruft eine Nummer mit unterdrückter Kennung an, die Stimme klingt vertraut. Die Buchhalterin folgt der internen Regel, wählt selbst die bekannte Mobilnummer des Geschäftsführers – und erreicht ihn ahnungslos im Auto. Ohne den selbst gewählten Kontrollanruf hätte allein die Stimme die Zahlung ausgelöst.
Wirtschaftlicher Nutzen
CEO-Fraud gehört zu den Betrugsformen mit den höchsten Einzelschäden, weil die erschlichene Überweisung sofort abfließt und sich nur in einem engen Zeitfenster stoppen lässt. Die Abwehr kostet dagegen fast nichts: eine dokumentierte Rückbestätigungs-Regel, eine zweite Freigabe, eine kurze Team-Einweisung. Ergänzend erschwert E-Mail-Authentifizierung das Fälschen der eigenen Absender-Domain, und ein abgesichertes Postfach der Geschäftsführung verhindert, dass Angreifer aus dem echten Konto heraus schreiben.
Typische Fehler
- Anweisungen der Führungsebene vom Prüfprozess ausnehmen – genau auf diese Sonderrolle baut die Masche.
- Die Rückfrage über die Kontaktangaben aus der fraglichen Nachricht stellen, statt über einen selbst gewählten Weg.
- Eine vertraute Stimme am Telefon als Bestätigung werten, obwohl sich Stimmen inzwischen klonen lassen.
- Reisezeiten und Vertretungen der Geschäftsführung detailliert öffentlich machen und damit das Zeitfenster liefern.
- Nach einer ausgelösten Zahlung zögern – nur die sofort kontaktierte Bank kann eine Überweisung eventuell noch stoppen.
Worauf achten?
- Eine Rückbestätigungs-Regel für außerplanmäßige Zahlungen schriftlich festlegen und von der Geschäftsführung sichtbar mittragen lassen.
- Freigaben ab definierter Schwelle an eine zweite Person binden – ohne Eil-Ausnahme.
- Ein Codewort für mündliche Zahlungs-Freigaben festlegen, das ein Anrufer mit geklonter Stimme nicht kennen kann.
- Das Postfach der Geschäftsführung mit phishing-resistenten Verfahren absichern, damit die Masche nicht aus dem echten Konto läuft.
- Den Ernstfall-Ablauf festlegen: Bank anrufen, Vorfall intern melden, betroffene Zugänge prüfen – ohne Schuldzuweisung.
Häufig gestellte Fragen
Was ist CEO-Fraud?
Eine Betrugsform, bei der sich Angreifer als Geschäftsführung ausgeben und Mitarbeitende zu einer eiligen, vertraulichen Überweisung oder Datenherausgabe anweisen. International ist die Masche als Business Email Compromise bekannt.
Warum fallen Betriebe auf die Chef-Masche herein?
Die Masche kombiniert Autorität, Zeitdruck und ein Vertraulichkeits-Gebot, das die klärende Rückfrage unterbindet. Personalisierte Details aus öffentlichen Quellen und inzwischen auch geklonte Stimmen erhöhen die Glaubwürdigkeit zusätzlich.
Wie schützt sich ein Betrieb gegen CEO-Fraud?
Mit zwei ausnahmslosen Regeln: Außerplanmäßige Zahlungsanweisungen werden über einen selbst gewählten, bekannten Kanal rückbestätigt, und ab einer definierten Schwelle gibt eine zweite Person frei. Beide Regeln gelten ausdrücklich auch für Anweisungen der Führungsebene.
Was tun, wenn eine Zahlung bereits ausgelöst wurde?
Sofort die eigene Bank kontaktieren – kurz nach der Ausführung lässt sich eine Überweisung teilweise noch anhalten. Danach den Vorfall intern melden, betroffene Zugänge prüfen und den Ablauf dokumentieren.