CEO-Fraud / Fake-Überweisungen

Cybercrime mit Köpfchen – wenn Vertrauen zur Schwachstelle wird

In der Welt der Cyberkriminalität zählen CEO-Fraud und Fake-Überweisungen zu den raffiniertesten und gleichzeitig verheerendsten Betrugsmaschen überhaupt. Anders als klassische Phishing-Angriffe oder technische Hacks zielen diese Angriffe nicht auf Systemlücken – sondern auf Menschen. Genauer gesagt: auf deren Entscheidungsverhalten, Loyalität und Arbeitsroutinen.

Beim CEO-Fraud geben sich Kriminelle gezielt als Geschäftsführer, leitende Angestellte oder Geschäftspartner aus – mit dem Ziel, einen Mitarbeiter zu einer hohen Geldüberweisung zu bewegen, oft unter Zeitdruck, Geheimhaltung und Druck. Die Täuschung ist dabei so überzeugend, dass selbst erfahrene Mitarbeiter darauf hereinfallen.

Was ist CEO-Fraud?

CEO-Fraud, auch bekannt als Business Email Compromise (BEC), ist eine Form des Social-Engineering-Angriffs, bei dem Betrüger sich als hochrangige Führungskraft ausgeben, um eine Überweisung oder Herausgabe sensibler Informationen zu erwirken.

Typisches Ziel: Mitarbeiter aus der Buchhaltung, dem Rechnungswesen oder Finanzcontrolling – Personen, die in der Lage sind, Zahlungen freizugeben oder auszuführen, oft ohne weitere Kontrolle.

Häufig erfolgt der Angriff per E-Mail, manchmal telefonisch oder in Kombination mit gehackten Kommunikationswegen. Die Kommunikation wirkt dabei professionell, glaubwürdig und dringlich. Typische Elemente:

• Die angebliche Führungskraft ist gerade „nicht erreichbar“, z. B. auf Geschäftsreise.
• Die Transaktion ist „vertraulich“ und darf nicht hinterfragt werden.
• Es besteht „höchster Zeitdruck“ wegen Fristen, Verträgen oder behördlichen Vorgaben.

Wie funktioniert ein CEO-Fraud-Angriff?

CEO-Fraud basiert in der Regel auf gründlicher Vorbereitung. Die Täter analysieren öffentlich zugängliche Informationen (z. B. auf Websites, LinkedIn, Pressemitteilungen), um das Unternehmen, seine Hierarchien und Kommunikationswege genau zu verstehen. Die eigentliche Täuschung läuft dann in mehreren Phasen:

1. Informationsbeschaffung

Angreifer sammeln Daten über:

• Vorstände und Geschäftsführer
• Zuständige Mitarbeiter in Buchhaltung oder Controlling
• Geschäftsadressen, E-Mail-Formate, Signaturen, Sprachstil
• Geschäftspartner und aktuelle Projekte

2. Identitätsfälschung

Die Täter nutzen gefälschte oder kompromittierte E-Mail-Adressen, die der echten zum Verwechseln ähnlich sind (z. B. ceo@firma.com statt ceo@firma.de). Manche Fälle basieren auch auf echten gehackten E-Mail-Konten.

3. Täuschung und psychologischer Druck

Die Fake-E-Mail fordert eine dringende Überweisung an ein ausländisches Konto – z. B. im Namen eines geheimen Firmenkaufs, einer Steuerzahlung oder eines Projekts. Der Tonfall ist höflich, aber autoritär. Es wird oft betont, dass Rückfragen nicht möglich oder erwünscht sind.

4. Durchführung der Überweisung

Der Mitarbeiter – oft im guten Glauben zu helfen – führt die Zahlung aus. Erst später fällt der Betrug auf. Dann ist das Geld meist auf einem Konto im Ausland verschwunden und längst weitergeleitet.

Varianten und verwandte Maschen

Neben dem klassischen CEO-Fraud gibt es weitere Betrugsformen mit ähnlicher Methodik:

• Fake-Supplier-Betrug: Der Angreifer gibt sich als bestehender Lieferant aus und teilt eine angeblich neue Kontoverbindung mit.
• Rechnungsmanipulation: Echte Rechnungen werden abgefangen und mit anderen Bankdaten versehen.
• Anwaltsbetrug: Kriminelle geben sich als Rechtsanwälte aus, die eine vertrauliche Transaktion für den CEO abwickeln sollen.

Wer ist gefährdet?

Betroffen sind Unternehmen aller Größen und Branchen – vom Mittelständler bis zum internationalen Konzern. Besonders gefährdet sind Firmen mit:

• internationalem Zahlungsverkehr
• dezentralen Strukturen und Kommunikationswegen
• wenigen Kontrollinstanzen im Zahlungsprozess
• hoher Personalfluktuation
• hoher Medienpräsenz oder öffentlicher Ausschreibungstätigkeit

Auch öffentliche Einrichtungen, Stiftungen und Hochschulen waren in der Vergangenheit Ziel solcher Angriffe.

Die Folgen: Finanziell und juristisch fatal

CEO-Fraud kann zu Verlusten in Millionenhöhe führen. Doch der finanzielle Schaden ist oft nur ein Teil der Konsequenzen:

• Haftungsfragen bei Mitarbeitern und Geschäftsleitung
• Verlust von Kundenvertrauen und öffentlichem Ansehen
• Versicherungsprobleme, da viele Policen Social Engineering nur begrenzt abdecken
• interne Konflikte und Vertrauensbrüche

Nicht selten ist der Imageschaden für das Unternehmen größer als der monetäre Verlust – insbesondere wenn öffentlich wird, wie leicht sich die Täter Zugang verschaffen konnten.

Schutzmaßnahmen gegen CEO-Fraud

Die gute Nachricht: CEO-Fraud lässt sich mit vergleichsweise einfachen Maßnahmen verhindern – sofern das Bewusstsein dafür vorhanden ist. Der wichtigste Hebel: Menschliche Wachsamkeit und klar geregelte Prozesse.

1. Schulungen und Sensibilisierung

• Mitarbeitende in Buchhaltung, HR und IT regelmäßig über Betrugsmaschen informieren
• Verdächtige Merkmale in E-Mails erkennen lernen (ungewöhnliche Sprache, Domainabweichungen)
• Interne „Awareness-Kampagnen“ zum Thema Social Engineering durchführen

2. Klare Prozesse und Vier-Augen-Prinzip

• Jede Überweisung ab einer bestimmten Summe doppelt freigeben lassen
• Verifizierung durch Rückruf bei neuen oder ungewöhnlichen Zahlungsanweisungen – über bekannte Nummern, nicht per E-Mail
• Keine „Sonderbehandlungen“ – auch nicht auf angeblich persönliche Bitte der Geschäftsführung

3. Technische Schutzmaßnahmen

• SPF, DKIM und DMARC zur Authentifizierung eingehender E-Mails konfigurieren
• E-Mail-Systeme mit Warnhinweisen bei externen Absendern versehen
• Zugriffsrechte einschränken und Zugänge zur Buchhaltung besonders absichern

4. Reaktionsplan für den Ernstfall

• Verdächtige Vorgänge sofort an IT und Geschäftsführung melden
• Bank informieren und versuchen, Überweisung zu stoppen (sofort!)
• Anzeige erstatten bei der Polizei (Zentralstelle Cybercrime)
• IT-forensische Sicherung des E-Mail-Verkehrs zur Beweissicherung

Fazit: Digitale Professionalität schützt vor analoger Täuschung

CEO-Fraud ist kein technisches Problem – sondern ein menschliches. Die Täter setzen auf Autorität, Stress und Unwissenheit. Der beste Schutz ist deshalb kein Software-Update, sondern ein geschulter, wachsamer Mitarbeiter.

Vertrauen ist gut – Kontrolle schützt vor Überweisung auf falsche Konten.

Unternehmen, die klare Prozesse definieren, ihre Teams sensibilisieren und bei verdächtigen Vorgängen konsequent gegenprüfen, haben die besten Karten. Denn CEO-Fraud ist kein Zufall – sondern das Ergebnis gezielter Ausnutzung von Schwächen, die man erkennen und beheben kann.