CEO-Fraud (auch "Business Email Compromise" oder schlicht "Chef-Masche" genannt) ist alt, simpel und kostet deutsche Unternehmen jedes Jahr Millionen. Die Masche ist seit Jahren bekannt, BSI und Polizei warnen regelmäßig – und trotzdem fallen Mitarbeiter darauf rein. Warum eigentlich?

Wie die Masche funktioniert

Der Ablauf ist immer ähnlich:

1. Der Täter recherchiert im Vorfeld – LinkedIn, Impressum, Pressemitteilungen, manchmal auch das gehackte Postfach 2. Er identifiziert: Geschäftsführer, Buchhaltung, typische Kommunikationsmuster 3. Er schickt eine Mail, die scheinbar vom Chef kommt – meist mit einer leicht abgewandelten Domain (firma-gmbh.de statt firma.de) 4. Inhalt: dringende, vertrauliche Überweisung, möglichst außerhalb der normalen Prozesse

Die typischen Sätze

Wir haben in den letzten Jahren ein gutes Dutzend dieser Mails gesehen. Sie ähneln sich erstaunlich:

"Sind Sie kurz am Platz? Ich brauche dringend Ihre Unterstützung. Bitte nur per E-Mail antworten, ich bin gerade in einer wichtigen Besprechung."
"Bitte tätigen Sie heute noch eine Überweisung über 47.500 EUR an folgende Bankverbindung. Es handelt sich um eine vertrauliche Akquisition, bitte mit niemandem darüber sprechen."
"Die normale Prozedur dauert zu lange. Sie haben mein volles Vertrauen, dass Sie das schnell und diskret regeln."

Erkennen Sie das Muster? Dringlichkeit, Vertraulichkeit, Autorität, Umgehung der normalen Prozesse. Genau die Punkte, die das menschliche Pflichtbewusstsein gegen die eigene Vorsicht ausspielen.

Warum es funktioniert

Drei Gründe:

Soziale Hierarchie. "Wenn der Chef etwas von mir will, frage ich nicht zurück." In vielen mittelständischen Unternehmen wird Diskutieren mit der Geschäftsführung als Frechheit empfunden. Genau diese Kultur nutzt der Angreifer.

Zeitdruck. Wer sich gehetzt fühlt, denkt nicht klar. Der Angreifer baut diesen Druck bewusst auf.

Vertrauen. "Bitte vertraulich, nicht weitersagen" – das schmeichelt. Der Mitarbeiter fühlt sich als Vertrauensperson und wird mit dem Geheimnis allein gelassen, wo eine zweite Meinung den Schwindel sofort enttarnt hätte.

Die Lösung ist erstaunlich simpel

Eine Anruf-Regel. Schwarz auf weiß im Buchhaltungs-Prozess festgehalten:

"Bei jeder Überweisung außerhalb der laufenden Geschäftsbeziehung – egal welcher Betrag, egal wer es anweist – wird der Auftraggeber persönlich zurückgerufen. Nicht über eine Nummer aus der Mail, sondern über die in unserem Adressbuch gespeicherte Nummer."

Das ist alles. Ein Anruf, und 95% aller CEO-Fraud-Angriffe laufen ins Leere. Der Angreifer hat den Chef nicht in der Leitung – Sie schon.

Was Sie zusätzlich tun sollten

  • DMARC mit p=reject für Ihre Domain, damit der Angreifer Sie nicht direkt impersonieren kann
  • Externe Mail-Markierung in Outlook: ein deutlicher Hinweis bei jeder Mail von außerhalb der Organisation
  • Anzeigename-Spoofing erkennen: Mailadresse hovern, nicht nur den Namen lesen
  • Vier-Augen-Prinzip bei Überweisungen ab einer Schwelle, die Sie selbst festlegen
  • Awareness-Training mit echten Beispielen, nicht mit theoretischer Belehrung

Ein letzter Hinweis

Wenn Ihre Mitarbeiter doch mal reinfallen: bitte keine Schuldzuweisungen. Die Person, die auf eine gut gemachte CEO-Fraud-Mail reagiert hat, ist nicht dumm – sie war pflichtbewusst und hat einer scheinbaren Anweisung gefolgt. Schuld ist der Angreifer und das fehlende Sicherheitsnetz im Prozess.

Wir haben Fälle erlebt, in denen Mitarbeiter aus Scham gar nicht erst zur Geschäftsführung gegangen sind – und dadurch der Schaden noch viel größer wurde. Eine offene, fehlerfreundliche Kultur ist hier wichtiger als jede technische Maßnahme.

Wenn Sie sich unsicher sind, ob Ihre Prozesse und Mailsysteme dagegen gewappnet sind – wir schauen gerne mal drauf.