```html

CEO-Fraud: So schützen Sie Ihr Unternehmen vor gefälschten Chef-E-Mails

Stellen Sie sich vor: Ein Mitarbeiter Ihrer Buchhaltung erhält eine dringende E-Mail vom Geschäftsführer – angeblich vertraulich, angeblich zeitkritisch. Die Nachricht fordert eine sofortige Überweisung von 85.000 Euro auf ein ausländisches Konto. Der Ton ist bestimmt, die E-Mail-Adresse sieht täuschend echt aus. Was folgt, ist in Hunderten deutschen Unternehmen bereits passiert: Das Geld ist weg, die Täter unbekannt. CEO Fraud Deutschland Schutz ist deshalb kein abstraktes IT-Thema mehr – es ist eine unmittelbare unternehmerische Priorität. Allein in Deutschland verursacht diese Betrugsmasche jährlich Schäden in dreistelliger Millionenhöhe. Dieser Artikel erklärt, wie CEO-Fraud funktioniert und wie Sie sich konkret dagegen absichern.

Was ist CEO-Fraud und wie funktioniert die Masche?

CEO-Fraud – auch bekannt als Business Email Compromise (BEC) – ist eine zielgerichtete Form des Social Engineering. Kriminelle geben sich dabei per E-Mail als Führungskraft aus, meist als Geschäftsführer oder Vorstand, und verleiten Mitarbeitende zu finanzschädlichen Handlungen. Die häufigsten Ziele sind Buchhaltung, Controlling und Finanzabteilungen.

Die Angriffe laufen typischerweise in mehreren Phasen ab:

  • Recherche: Täter sammeln öffentlich zugängliche Informationen – über LinkedIn, Unternehmenswebsites, Pressemitteilungen oder Social Media – um Strukturen, Namen und Prozesse zu verstehen.
  • Kontaktaufnahme: Eine E-Mail wird versendet, die von der echten Adresse der Führungskraft kaum zu unterscheiden ist. Oft werden nur einzelne Buchstaben verändert (z. B. „rn" statt „m").
  • Druckaufbau: Die Nachricht betont Vertraulichkeit und Dringlichkeit – klassische Manipulationstaktiken, die kritisches Denken ausschalten sollen.
  • Ausführung: Der Mitarbeitende überweist Geld, gibt Zugangsdaten weiter oder leitet interne Dokumente aus.

Besonders perfide: Viele Angriffe werden auf Reisen oder Urlaubszeiten der echten Führungskraft abgestimmt – wenn eine telefonische Rückfrage schwieriger erscheint.

Typische Beispiele aus der deutschen Unternehmenspraxis

CEO-Fraud trifft nicht nur Konzerne. Gerade mittelständische Unternehmen sind häufige Ziele, weil sie über ausreichend Liquidität verfügen, aber oft weniger ausgereifte Sicherheitsprozesse haben.

Ein reales Szenario: Ein Produktionsunternehmen mit 120 Mitarbeitenden aus Süddeutschland überwies nach einer gefälschten CEO-E-Mail rund 130.000 Euro an ein Konto in Hongkong. Der Buchhalter hatte keine Möglichkeit gesehen, den Auftrag zu hinterfragen – die E-Mail war stilistisch identisch mit der echten Kommunikation des Geschäftsführers, inklusive korrekter Signatur und Firmenlogo.

Ein weiteres Muster: Täter geben sich als neuer Lieferant aus und bitten per E-Mail – vermeintlich im Namen der Geschäftsleitung – darum, Bankverbindungen zu aktualisieren. Wer hier keine standardisierten Verifikationsprozesse hat, überweist direkt auf das Konto der Betrüger. In solchen Fällen kann eine sorgfältige Überprüfung von Geschäftspartnerdaten – etwa über spezialisierte Dienste wie VAT Verifizierung – dabei helfen, die Legitimität eines Unternehmens vorab zu prüfen.

CEO Fraud Deutschland Schutz: Technische Maßnahmen im Überblick

Technische Schutzmaßnahmen sind die erste Verteidigungslinie. Sie reduzieren die Wahrscheinlichkeit, dass gefälschte E-Mails überhaupt in den Posteingang gelangen.

  • SPF, DKIM und DMARC: Diese E-Mail-Authentifizierungsprotokolle erschweren das Fälschen von Absenderadressen erheblich. DMARC mit der Richtlinie „reject" blockiert nicht autorisierte E-Mails automatisch.
  • Anti-Phishing-Filter: Moderne E-Mail-Sicherheitslösungen (z. B. Microsoft Defender for Office 365 oder Proofpoint) erkennen verdächtige Absenderdomains und Inhalte.
  • Warnsystem für externe E-Mails: Konfigurieren Sie Ihr E-Mail-System so, dass externe Nachrichten, die einen internen Absender vortäuschen, mit einem deutlichen Hinweis markiert werden.
  • Multi-Faktor-Authentifizierung (MFA): Schützt E-Mail-Konten vor unbefugtem Zugriff, der für gezieltere Angriffe genutzt werden könnte.

Technische Maßnahmen allein reichen jedoch nicht aus. Sie müssen durch organisatorische Prozesse ergänzt werden.

Organisatorische Schutzmaßnahmen: Prozesse und Richtlinien

Die wirksamste Schutzmaßnahme gegen CEO-Fraud ist das sogenannte Vier-Augen-Prinzip kombiniert mit verbindlichen Rückfragepflichten. Kein Zahlungsauftrag über einem definierten Schwellenwert sollte allein auf Basis einer E-Mail ausgeführt werden – unabhängig davon, wer der vermeintliche Absender ist.

Empfohlene organisatorische Maßnahmen:

  • Freigabegrenzen festlegen: Definieren Sie klare Wertgrenzen, ab denen eine telefonische Verifizierung beim Absender verpflichtend ist – und zwar über eine bekannte, hinterlegte Nummer, nicht über eine in der E-Mail genannte.
  • Interne Kommunikationsregeln: Halten Sie schriftlich fest, dass Führungskräfte niemals per E-Mail zu Sofortüberweisungen auffordern – und kommunizieren Sie das aktiv im Unternehmen.
  • Lieferantendaten zentral verwalten: Änderungen von Bankverbindungen dürfen nur nach schriftlichem Antrag und telefonischer Bestätigung vorgenommen werden. Zur Verifikation der Legitimität neuer Geschäftspartner empfiehlt sich die Prüfung über VAT Verifizierung, um sicherzustellen, dass das Unternehmen tatsächlich existiert und steuerlich registriert ist.
  • Urlaubsvertretungen klar regeln: Abwesenheiten von Führungskräften sollten intern kommuniziert und Vertretungsregelungen schriftlich dokumentiert sein.

Mitarbeitersensibilisierung: Der menschliche Faktor entscheidet

Technologie und Prozesse nützen wenig, wenn Mitarbeitende nicht wissen, wie sie einen Angriff erkennen. Security Awareness Training ist daher kein einmaliges Event, sondern ein kontinuierlicher Prozess.

Wirksame Maßnahmen zur Sensibilisierung:

  • Regelmäßige Schulungen mit konkreten Beispielen – auch aus der eigenen Branche
  • Simulierte Phishing-Tests, um den Reifegrad der Belegschaft messbar zu machen
  • Klare Eskalationswege: Mitarbeitende müssen wissen, an wen sie sich wenden können, wenn sie eine E-Mail für verdächtig halten – ohne Angst vor negativen Konsequenzen
  • Führungskräfte als Vorbilder: Wenn das Management Sicherheitsregeln konsequent lebt, sinkt die Hemmschwelle für Rückfragen erheblich