CEO Fraud ist eine der häufigsten und teuersten Formen von Identitätsdiebstahl im Unternehmensumfeld. Kriminelle geben sich als Führungskraft aus, erzeugen Zeitdruck und Vertraulichkeit und steuern Zahlungen oder Datenänderungen. In diesem Beitrag zeige ich, wie Sie CEO Fraud zuverlässig erkennen und abwehren.
Sie erfahren, wie typische Angriffe ablaufen, welche Varianten es gibt, woran Sie Warnsignale in E-Mail, Telefon und Messenger erkennen, welche Systeme und öffentlich verfügbaren Informationen Täter ausnutzen und welche Prozesse, Kontrollen und Schulungen Ihr Unternehmen jetzt einführen sollte. Praxisnah. Kompakt. Umsetzbar.
Ich arbeite seit Jahren an der Schnittstelle von Forensic Analytics, Cybersecurity und Prävention. Die Beispiele stammen aus Projekten und Trainings mit Finance, Einkauf, IT und Interner Revision. Ziel ist ein klarer Fahrplan, der ohne Sonderwege auskommt und im Alltag funktioniert. Wir sprechen auch darüber, wie Datenanalysen und Anomalieerkennung unterstützen können und wo die Grenzen von Echtzeitanalysen liegen.
Das Wichtigste in 30 Sekunden
CEO Fraud nutzt Autorität, Zeitdruck und Vertraulichkeit. Schützen Sie Zahlungen und Stammdaten mit Vier Augen, Zweitkanal, sauberer E-Mail-Authentifizierung und wacher Kommunikation. Erkennen, verifizieren, dokumentieren.
Der CEO Fraud ist keine einzigartige Betrugsmasche
Es gibt verschiedene ähnliche Betrugsmaschen, die in ähnlicher Weise wie der CEO Fraud darauf abzielen, Unternehmen oder Einzelpersonen finanziell zu schädigen; zB. beim Vorschuss-, Rechnungs-, Bestell-, Investment- & Mietbetrug.
Verallgemeinert gilt, dass es sich bei diesen Betrugsmaschen oft um eine Form des Identitätsdiebstahl handelt, bei dem Verbrecher:innen die Identität einer Person oder Firma stiehlt, um betrügerische Aktivitäten auszuführen oder vorzubereiten.
Im Zusammenhang treten dann auch Cybercrime Delikte auf, wie zB. Social Engineering und Phishing.
Varianten des CEO Fraud
In der Praxis treten mehrere Muster auf. Die wichtigsten Varianten im Überblick:
Interne fiktive Geschäftsvorfälle: Aufforderung zu Überweisungen im Zusammenhang mit angeblichen Akquisitionen, Geschäftsabschlüssen oder Anschaffungen wie Patenten, Immobilien oder Maschinen.
Rückzahlung angeblicher Überzahlungen: Forderung einer Erstattung, weil Kundenzahlungen vermeintlich doppelt oder zu hoch erfolgt seien.
Dringende Intercompany-Zahlungen: Verweis auf angebliche Notfälle oder Liquiditätsengpässe innerhalb des Konzerns, oft gestützt durch plausibel wirkende Belege.
Missbrauch externer Geschäftspartner:innen: Namen realer Kunden, Lieferanten oder Dienstleister werden genutzt, um Waren, Daten oder Zahlungen in laufenden oder neu konstruierten Vorgängen anzufordern.
Anzahlungen und Vorauszahlungen: Bitte um Vorabzahlungen für vermeintliche Großbestellungen oder „Beschleunigungsgebühren“.
Gefälschte Bestellungen: Fiktive Orders mit echten Ansprechpartnern und täuschend echten Dokumenten, um Ware oder Geld zu erlangen.
Änderung von Bankdaten: Aufforderung zur Aktualisierung von Kontoverbindungen bei Lieferanten oder Kunden, um Zahlungen auf neue IBANs umzuleiten.
Vortäuschung behördlicher Zuständigkeit: Schreiben mit Zahlungsaufforderungen für Steuern, Gebühren oder angebliche Strafen.
Kurz gesagt: CEO Fraud ist Identitätsdiebstahl in vielen Ausprägungen und betrifft Finance, Einkauf, Stammdaten, HR, IT und Management.
Beispiele für Varianten des CEO Fraud. Quelle: Expert Talk, Frankfurt School of Finance & Management, 13. Juni 2023, Patrick Müller.
Der übliche Ablauf des CEO Fraud
Recherche und Vorbereitung: Täter sammeln offene Informationen über Unternehmen, Rollen, Abläufe und Kontaktwege. Quellen sind Website, Social Media, Handelsregister, Presse, Abwesenheitsnotizen und öffentlich sichtbare E-Mail-Muster.
Kontaktaufnahme per E-Mail, Telefon oder Messenger: Es folgen personalisierte Nachrichten an Finanzbereich, Einkauf oder Leitung. Absender wirken legitim, oft mit sehr ähnlichen Domains oder Display-Namen. Häufig wird schriftliche Kommunikation durch Anrufe gestützt.
Manipulation: Dringlichkeit und Vertraulichkeit sollen Rückfragen verhindern. Gefälschte Dokumente, angebliche Verträge oder PO-Nummern erhöhen die Glaubwürdigkeit. Aufforderungen zielen auf Prozessumgehungen und schnelle Entscheidungen.
Zahlungsfreigabe oder Stammdatenänderung: Verlangt werden Überweisungen auf neue Konten, Splitting in Teilbeträge oder die Änderung von Lieferanten-IBANs. Zweitkanal-Bestätigungen werden gezielt umgangen.
Verdeckung: Gelder fließen auf Auslands- oder Mule-Konten, werden weitergeleitet und abgezogen. Spuren werden gelöscht, Kommunikation wird beendet.
Woran erkenne ich CEO Fraud
Ungewöhnlicher Zeitdruck und Forderung nach Vertraulichkeit
Neue IBAN oder neue Domain bei vertrautem Namen
Kommunikation über privaten Mailaccount oder Messenger
Abweichender Sprachstil oder untypische Uhrzeit
Bitte, Prozesse zu umgehen oder Ausnahmen zu machen
Sofortmaßnahmen bei Verdacht
Zahlstopp veranlassen und ausstehende Freigaben pausieren.
Rückruf über bekannten Zweitkanal an die angeblich anweisende Person.
Bank kontaktieren, Rückruf der Zahlung versuchen, Fraud Team einschalten.
IT-Security und Forensik informieren, Passwörter betroffener Konten ändern.
Versicherer und rechtliche Ansprechpersonen informieren, wenn relevant.
Präventionsmaßnahmen
Betrüger springen nur so hoch, wie sie müssen. Heben Sie die Latte an.
Prozesse absichern: Vier-Augen-Prinzip und Zweitkanal-Freigabe ab definierten Betragsgrenzen. Keine Ausnahmen ohne schriftliche Dokumentation.
Stammdaten schützen: Änderungen von Bankdaten nur nach Rückruf über bekannte Nummern aus dem ERP. Erste Zahlung nach neuer IBAN mit 24-Stunden-Wartezeit und zusätzlicher Freigabe.
E-Mail-Sicherheit aktivieren: SPF, DKIM und DMARC auf Durchsetzung. Externe Absender kennzeichnen. Anzeige des vollständigen Absenders aktivieren. Anhänge in einer sicheren Umgebung prüfen.
Öffentliche Informationen begrenzen: Abwesenheiten von Führungskräften nicht offen publizieren. Interne Durchwahlen, Organigramme und Rollenprofile nur wo nötig veröffentlichen.
Anomalien erkennen: Zahlungs- und Stammdatenänderungen kontinuierlich per Datenanalyse überwachen. Regeln für untypische Beträge, neue Empfänger, Zahlungen kurz nach IBAN-Wechsel und ungewöhnliche Uhrzeiten.
Schulen und testen: Regelmäßige Awareness-Trainings für Management, Finance, Einkauf, IT und Stammdatenpflege. Quartalsweise Phishing- und Social-Engineering-Tests mit Feedback.
Vorbildfunktion des Managements: Keine Sonderwege bei Freigaben. Wenn Führungskräfte Prozesse umgehen, wirkt identisches Verhalten durch Täter glaubwürdig.
Kommunikation und Notfallplan: Über aktuelle Maschen intern informieren. Klarer Ablauf bei Verdacht: Zahlstopp, Rückruf über Zweitkanal, Bank kontaktieren, Beweise sichern, Forensik einbinden.
Präventionsmaßnahmen gegen CEO Fraud. Quelle: Expert Talk, Frankfurt School of Finance & Management, 13. Juni 2023, Patrick Müller.
Praxis-Checkliste für CFO, Accounting und HR
CFO
Zweitkanal-Freigabe ab Betrag X festlegen und veröffentlichen. Schriftliche Dokumentation jeder Ausnahme.
IBAN-Änderungen nur nach Rückruf über bekannte Nummern aus dem ERP. Erste Zahlung nach neuer IBAN mit 24 Stunden Wartezeit und zusätzlicher Freigabe.
Monatlicher Report zu Zahlungen an neue Empfänger, Splitting in Teilbeträge, Zahlungen außerhalb Kernzeiten.
DMARC Richtlinie auf enforce setzen und Reports quartalsweise prüfen.
Notfallplan unterschreiben und testen. Zuständigkeiten und Eskalationskontakte benennen.
Accounting
Jede Zahlungsaufforderung auf Zeitdruck, Geheimhaltung und Absender prüfen. Rückruf über bekannten Zweitkanal vor Freigabe.
Zahlungen an neue Empfänger nur mit Belegkette und zwei Freigaben buchen. Keine Freigaben per Messenger.
Warnliste pflegen: neue IBAN, neue Domain, abweichender Sprachstil, ungewohnte Uhrzeit, Lieferant plötzlich Auslandskonto.
Journal-Kontrollen durchführen: ungewöhnliche Beträge, Serien von Rundbeträgen, Zahlungen kurz nach Stammdatenänderung.
Belege und Kommunikation revisionssicher ablegen. Änderungen im ERP protokollieren.
HR
Abwesenheiten von Führungskräften nicht öffentlich ankündigen. Interne Hinweise nur in geschützten Kanälen.
Awareness-Trainings für alle Rollen organisieren. Schwerpunkte Social Engineering, Phishing, CEO Fraud.
Onboarding mit Sicherheitsgrundlagen und Freigabeprozessen. Jährliche Auffrischung einplanen.
Rollen- und Rechtekonzept mit IT abstimmen. Sensible Prozesse nur für geschulte Mitarbeitende.
Häufige Fragen zu CEO Fraud
Was ist CEO Fraud?
Täter geben sich als Führungskraft oder Geschäftspartner aus, erzeugen Druck und veranlassen Zahlungen oder Stammdatenänderungen.
Welche Beträge sind besonders gefährdet?
Neue Empfänger und Beträge knapp unterhalb von Freigabeschwellen. Splitting in mehrere Teilzahlungen ist häufig.
Wie prüfe ich eine neue IBAN?
Rückruf über bekannte Nummer, Abgleich mit ERP, erste Zahlung mit Wartezeit und zweiter Freigabe.
Welche Technik hilft?
SPF, DKIM, DMARC, Extern Markierung, Sandboxing für Anhänge, SIEM-Regeln für Anomalien.
Wie oft trainieren?
Quartalsweise Phishing-Tests und jährliche Schulungen, ergänzt um kurze Mikro-Lerneinheiten.
Nächste Schritte
Setzen Sie heute den Startpunkt. Definieren Sie die Freigabeschwelle für den Zweitkanal, prüfen Sie DMARC, SPF und DKIM und geben Sie Ihrem Team ein kurzes Awareness-Update.
Füllen Sie unser Kontaktformular aus und skizzieren Sie Ihre Ziele. Wir melden uns mit einem Vorschlag. Abonnieren Sie unseren Newsletter für monatliche Lernimpulse und praktische Tool-Tipps.
Verwandeln Sie Daten in EBIT, verhindern Sie Betrug und steigern Sie Ihre Rentabilität mit unserem maßgeschneiderten Data & Analytics- und IT-Coaching. Wir unterstützen Sie bei der Optimierung und Sicherung Ihrer Geschäftsprozesse und IT-Systeme.
Noch keine Kommentare vorhanden
Was denken Sie?