Was ist CEO-Fraud?

CEO-Fraud (auch „Business Email Compromise", BEC) ist eine Form des Social Engineerings, bei der Angreifer die Identität von Führungskräften fälschen. Ziel ist es, Mitarbeiter – oft aus der Buchhaltung – zur Ausführung von Überweisungen oder zur Herausgabe vertraulicher Informationen zu verleiten.

Die Masche ist erschreckend effektiv: Laut FBI ist CEO-Fraud eine der finanziell schädlichsten Cyberkriminalitätsformen weltweit. In Deutschland wurden zuletzt jährlich Schäden in Milliardenhöhe gemeldet.

Typischer Schaden: 50.000 bis 500.000 € pro Vorfall. Geld, das an ausländische Konten überwiesen wurde, ist in der Regel unwiederbringlich verloren.

So sieht eine typische Betrugs-E-Mail aus

Von: geschaeftsfuehrer@it-smarter-online.de (gefälschte Domain!)
An: buchhaltung@it-smarter.de
Betreff: Dringende Überweisung – vertraulich
Guten Morgen,

ich befinde mich gerade in einem wichtigen Meeting und benötige Ihre sofortige Hilfe. Bitte veranlassen Sie umgehend eine Überweisung von 47.500 € an folgendes Konto: [Kontonummer]. Dies ist absolut vertraulich und dringend – bitte sprechen Sie mit niemandem darüber und bestätigen Sie nur per E-Mail.

Ich erkläre Ihnen die Details später. Danke für Ihre Diskretion.

Mit freundlichen Grüßen
[Name der Geschäftsführung]

Typische Merkmale: Dringlichkeit, Vertraulichkeit, kein Rückruf möglich, leicht abweichende Domain (it-smarter-online.de statt it-smarter.de).

Warum funktioniert das?

CEO-Fraud nutzt psychologische Mechanismen aus:

  • Autorität: Anweisungen von Vorgesetzten werden selten hinterfragt
  • Dringlichkeit: Zeitdruck verhindert sorgfältiges Nachdenken
  • Vertraulichkeit: Die Bitte, nichts zu sagen, verhindert Rücksprache
  • Recherche: Angreifer kennen oft echte Namen, Hierarchien und aktuelle Geschäftsvorgänge (LinkedIn, Pressemitteilungen)

So schützen Sie Ihr Unternehmen

  • Vier-Augen-Prinzip: Überweisungen ab einem definierten Betrag (z.B. 5.000 €) immer von zwei Personen freigeben lassen
  • Rückruf-Pflicht: Bei ungewöhnlichen Überweisungsanfragen immer telefonisch bestätigen – über eine bekannte Nummer, nicht die in der E-Mail
  • Domain-Prüfung: E-Mail-Absenderadresse genau prüfen – auch minimale Abweichungen erkennen
  • Mitarbeiterschulung: Alle Mitarbeiter in Buchhaltung und Verwaltung über CEO-Fraud informieren
  • Klare Prozesse: Schriftlich festhalten, wie Überweisungsanfragen per E-Mail zu behandeln sind
  • E-Mail-Authentifizierung: DMARC, SPF und DKIM konfigurieren, damit Ihre eigene Domain nicht gefälscht werden kann

Was tun, wenn es passiert ist?

  1. Sofort die Bank anrufen – eine Rückbuchung ist nur in den ersten Stunden möglich
  2. Anzeige erstatten – bei der Polizei und dem BKA (Bundeskriminalamt)
  3. Versicherung informieren – falls eine Cyber-Versicherung besteht
  4. Intern aufarbeiten – Prozesse anpassen, um Wiederholung zu verhindern

IT-Smarter schult Ihre Mitarbeiter zu CEO-Fraud und Social Engineering – praxisnah und ohne Fachchinesisch. Für Unternehmen im Raum Erding auch direkt vor Ort.

Quellen