CEO-Fraud: Risiken erkennen, Schäden vermeiden

CEO-Fraud stoppen: Business Email Compromise (BEC), Chef-Betrug & Zahlungsbetrug per E-Mail erkennen. Schutz vor Social Engineering.

Was ist CEO-Fraud und warum ist es so wirksam?

CEO-Fraud (auch Chef-Betrug) ist eine Form von Social Engineering im Unternehmen, bei der Angreifende Mitarbeitende mit Entscheidungsspielraum oder Zahlungsbefugnis manipulieren, um Geld oder Informationen zu erlangen.
Europol beschreibt das Vorgehen als CEO/BEC-Fraud: Eine zahlungsberechtigte Person wird dazu gebracht, eine gefälschte Rechnung zu begleichen oder eine unautorisierte Überweisung auszulösen.

Wirksam ist die Masche, weil sie weniger Technik als vielmehr Prozesse und menschliche Routinen ausnutzt: Dringlichkeit, Autorität und Vertraulichkeit senken die Wahrscheinlichkeit, dass Rückfragen gestellt werden.

Typische Angriffsvarianten: von BEC bis Zahlungsbetrug per E-Mail

Unter dem Begriff Business Email Compromise (BEC) laufen mehrere Varianten zusammen – vom Spoofing bis zur Übernahme echter Postfächer. Typische Szenarien sind:

  • Dringende Sonderzahlung („vertraulich“, „bitte ohne Standardprozess“)
  • Änderung von Bankverbindungen bei Lieferantenrechnungen (Rechnungsbetrug)
  • Datenabfluss (z. B. personenbezogene Daten, interne Listen), ausgelöst durch manipulative Anfragen

Dass die Schäden erheblich sind, zeigt der FBI-IC3-Report: Für 2024 weist er 21.442 BEC-Beschwerden und $2,77 Mrd. Verlust aus.

Red Flags: Woran Mitarbeitende CEO-Fraud erkennen

Ein pragmatischer Check hilft besonders in Finance, HR und Assistenzbereichen – überall dort, wo Zahlungen, Freigaben oder sensible Informationen verarbeitet werden.

Warnsignale (Auswahl):

  • ungewöhnlicher Kommunikationskanal oder neuer Absender (z. B. externe Adresse mit ähnlich klingendem Namen)
  • starker Zeitdruck („sofort“, „vertraulich“, „bin nicht erreichbar“)
  • Bitte, bestehende Freigaben/Prozesse zu umgehen
  • atypische Zahlungshöhe, Auslandsbezug oder neue Kontoverbindung

Prävention im Unternehmen: Prozesse, Technik, Awareness

Das BSI empfiehlt bei Social-Engineering-Risiken ausdrücklich, organisatorische und Awareness-Maßnahmen zu stärken, weil Angreifende gezielt Schutzmechanismen „über den Menschen“ umgehen. Bewährt sind insbesondere:

  1. Verifikationsprozess für Zahlungsanweisungen (z. B. Rückruf über bekannte Nummer, niemals über Kontaktdaten aus der Mail)
  2. Klare Freigaberegeln (Mehr-Augen-Prinzip, definierte Limits, dokumentierte Ausnahmen)
  3. Awareness-Training mit Rollenfokus (Finance/HR/Assistenz) – wiederkehrend, mit konkreten Szenarien

Was tun im Ernstfall: Sofortmaßnahmen und Meldewege

Wenn ein Verdacht besteht, zählt Geschwindigkeit – insbesondere, wenn bereits eine Überweisung angestoßen wurde. Europol empfiehlt, Vorfälle konsequent zu melden und klare Routinen zu etablieren.

Sofortplan (kurz):

  1. Zahlung stoppen/recallen (Bank umgehend kontaktieren)
  2. interne Meldung an IT-Security / Compliance / Geschäftsleitung
  3. Beweise sichern (Mail-Header, Chatverläufe, Anrufdetails)
  4. ggf. Behördenmeldung je nach Prozess (z. B. Strafanzeige)


CEO-Fraud 2026: KI-Stimme, BEC und Schutz

Aktueller Fall aus Schwyz: KI-Stimme als Beschleuniger

Ein aktueller Schweizer Fall zeigt, wie sich CEO-Fraud durch generative KI verändert: Laut SRF wurde ein Unternehmer im Kanton Schwyz durch eine KI-manipulierte Stimme im Rahmen eines angeblich vertraulichen Geschäfts zu mehreren Geldtransaktionen in Millionenhöhe verleitet.

Für Unternehmen in D-A-CH ist daran vor allem relevant: Angriffe verlagern sich zunehmend von „auffälligen“ Phishing-Mails hin zu glaubwürdigen Autoritäts-Szenarien (Chef, CFO, Rechtsabteilung) – inklusive Telefon/Sprachnachricht.

Warum Business Email Compromise weiter Milliarden kostet

CEO-Fraud ist eng verwandt mit Business Email Compromise (BEC): Das FBI beschreibt BEC als Betrug, der Unternehmen bzw. Mitarbeitende in zahlungsrelevanten Prozessen adressiert – oft durch kompromittierte Konten und Social Engineering.

Die Schadensdimension bleibt hoch: Der FBI IC3 2024 Annual Report weist für Business Email Compromise 21.442 Beschwerden aus.


Nach „Complaint Loss“ werden für BEC 2.770.151.146 USD ausgewiesen.

Für IT-Leitung, HR und DSGVO-Beauftragte folgt daraus ein klarer Risikopunkt: Bei CEO-Fraud/BEC stehen häufig autorisierte Zahlungen und Prozessschwächen im Vordergrund – nicht nur technische Exploits.

EPC-Trendreport 2025: Deepfakes treffen Payment-Prozesse

Der European Payments Council (EPC) ordnet Social Engineering im Corporate-Kontext explizit als Hebel für CEO fraud und business email compromise ein.

Schutzmaßnahmen: Prozesse schlagen Perfektion

Ein zentraler Hebel gegen CEO-Fraud und vergleichbare Betrugsmaschen ist die unabhängige Verifikation von Zahlungsanweisungen: Sobald eine Überweisung ungewöhnlich wirkt (z. B. hohe Summe, neue Kontoverbindung, „streng vertraulich“), sollte sie nicht auf Basis der erhaltenen Nachricht freigegeben werden, sondern durch einen Rückruf über eine bereits bekannte, intern verifizierte Telefonnummer bestätigt werden – ausdrücklich nicht über Kontaktdaten, die in der betreffenden E-Mail oder Nachricht mitgeliefert werden.

Ergänzend reduziert ein konsequent umgesetztes Vier-Augen-Prinzip das Risiko, dass Drucksituationen zu Fehlentscheidungen führen: Gerade bei angeblich „dringenden“ oder „vertraulichen“ Sonderfällen sollten klare Freigabegrenzen und definierte Ausnahmeregeln gelten, sodass Zahlungen oberhalb bestimmter Schwellenwerte oder außerhalb normaler Prozesse stets eine zweite, unabhängige Prüfung erfordern.

Damit diese Kontrollen im Alltag zuverlässig greifen, braucht es außerdem Awareness für Social Engineering im Unternehmen – nicht abstrakt, sondern anhand typischer Szenarien wie „Chef-Betrug“, „Zahlungsbetrug per E-Mail“ und Business Email Compromise (BEC). Der „2025 Payments Threats and Fraud Trends Report“ des European Payments Council betont, dass Social-Engineering-Angriffe weiterhin zunehmen und Organisationen ihre Präventionsmaßnahmen – insbesondere durch Sensibilisierung und passende Prozesse – konsequent stärken sollten.


CEO-Fraud und BEC: warum Unternehmen besonders gefährdet sind

Beim CEO-Fraud (Chef-Betrug) geben sich Kriminelle als hochrangige Führungskräfte aus und bringen insbesondere Mitarbeitende aus Finanzabteilung/Buchhaltung dazu, hohe Summen zu überweisen – oft unter einem dringenden Vorwand, erklärt das Landeskriminalamt Baden-Württemberg.
Eng verwandt ist Business Email Compromise (BEC): Dabei werden etablierte Geschäftsbeziehungen ausgenutzt, Zugänge abgegriffen und Rechnungen/Bankverbindungen manipuliert.

 

KI verändert die Angriffe: Voice- und Video-Deepfakes im Einsatz

Der European Payments Council beschreibt, dass Betrüger KI nutzen, um besonders überzeugende Phishing-Inhalte zu erzeugen – bis hin zu Voice- oder Video-Deepfakes, mit denen sich Executives realistisch imitieren lassen.
Für Unternehmen bedeutet das: Neben der E-Mail wird auch Telefon/Vishing als Angriffsfläche relevanter (insbesondere bei „dringenden“ Zahlungsanweisungen)

 

Zahlen zur Einordnung: BEC bleibt ein Milliardenproblem

Der FBI IC3 weist für 2024 21.442 BEC-Beschwerden und adjusted losses von über 2,7 Mrd. USD aus.
Gerade weil CEO-Fraud/BEC häufig autorisierte Zahlungen auslösen (statt „gehackte“ Überweisungen), sind robuste Prozesse und trainiertes Verhalten in den Fachbereichen entscheidend.

Sicherheitsmaßnahmen, die Finance und HR sofort umsetzen können

Das LKA Baden-Württemberg empfiehlt klare Kontrollmechanismen für ungewöhnliche Überweisungen und geänderte Bankverbindungen – inklusive Verifizierung per Rückruf über bekannte Kontaktdaten.

Pragmatische Red-Flags-Checkliste:

  • „vertraulich“ + „sofort“ + Bitte, Standardprozesse zu umgehen
  • neue/abweichende Kontoverbindung bei scheinbar korrekter Rechnung
  • Kontakt über verschleierte Nummern oder ungewöhnliche Kanäle

5-Schritte-Prozess für Zahlungsanweisungen:

  1. Absender/Domain sorgfältig prüfen
  2. Zahlungsaufforderung verifizieren (Rückruf über bekannte Nummer
  3. Zweitfreigabe/Vorgesetzte einbeziehen
  4. E-Mail-Konten mit Zwei-Faktor-Authentifizierung absichern
  5. Im Betrugsfall sofort Bank kontaktieren und Anzeige erstatten


Mitarbeitende gezielt auf CEO-Fraud vorbereiten

Ein wirksamer Schutz vor CEO-Fraud beginnt nicht bei Technik, sondern bei Handlungsfähigkeit im Alltag. Der CEO-Fraud-Kurs von SecurityIsland / mybreev ist deshalb als Awareness- und Handlungskurs konzipiert – ausdrücklich keine technische IT-Schulung. Im Mittelpunkt stehen die psychologischen Manipulationsmuster, die Angreifende gezielt einsetzen, um Zahlungen oder sensible Informationen zu erzwingen: Autorität, Zeitdruck und Angst. Mitarbeitende lernen, diese Muster zuverlässig zu erkennen, typische Eskalationssignale einzuordnen und in kritischen Situationen sicher zu reagieren – auch ohne Security-Vorkenntnisse.

Für den Unternehmenseinsatz ist der Kurs so aufgebaut, dass er konsequent aus der Mitarbeitendenperspektive arbeitet und klare, unmittelbar umsetzbare Leitplanken vermittelt. Dazu gehören konkrete Präventions- und Verhaltensregeln für den Ernstfall, etwa zur Verifikation ungewöhnlicher Anweisungen, zur Einhaltung von Freigabeprozessen und zum korrekten Melden verdächtiger Vorgänge. Gleichzeitig wird CEO-Fraud als Business-Risiko eingeordnet – mit Blick auf finanzielle Schäden und möglichen Informationsabfluss, der weitere Angriffe nach sich ziehen kann. Durch das kompakte Format von 25 Minuten eignet sich der Kurs besonders für Rollouts in größeren Organisationen und ist zudem in zwei Sprachen verfügbar, was die Umsetzung in internationalen Teams erleichtert.


CEO Fraud Kurs anfragen