CEO-Fraud: Wenn Autorität gezielt für Betrug missbraucht wird
Einordnung
CEO-Fraud zählt zu den wirtschaftlich folgenschwersten Betrugsformen im Unternehmensumfeld. Der Angriff nutzt keine technischen Schwachstellen, sondern organisatorische und menschliche Faktoren: Autorität, Vertrauen und Zeitdruck. Besonders betroffen sind Unternehmen mit klaren Hierarchien, hoher Eigenverantwortung von Mitarbeitenden und hohem Transaktionsvolumen. Awareness ist hier kein Begleitthema – sondern der zentrale Schutzmechanismus.
Was CEO-Fraud bedeutet
Beim CEO-Fraud geben sich Angreifer als Geschäftsführung, Vorstand oder andere hochrangige Führungspersonen aus. Ziel ist es, Mitarbeitende zu einer Handlung zu bewegen, die sie unter normalen Umständen nicht durchführen würden – meist eine Überweisung oder eine vertrauliche Änderung.
Typische Ziele sind:
- Überweisungen auf fremde Konten
- Änderung von Bankverbindungen
- Freigabe sensibler Informationen
- Umgehung interner Kontrollmechanismen
Wie CEO-Fraud in der Praxis abläuft
1. Vorbereitung durch Informationsbeschaffung
Angreifer analysieren das Unternehmen im Vorfeld sehr genau:
- Geschäftsführung und Organigramme
- Finanz- und Freigabeprozesse
- Assistenzfunktionen und Stellvertretungen
- öffentliche Informationen und Leaks
Ziel ist es, glaubwürdig und situationsgerecht aufzutreten.
2. Kontaktaufnahme mit Autorität
Der Angriff erfolgt meist per:
- Messenger-Dienst
- Telefon oder Sprachnachricht
Der Ton ist bestimmt, aber nicht aggressiv. Häufige Elemente:
- Vertraulichkeit („Das bleibt unter uns“)
- Zeitdruck („Ich brauche das sofort“)
- Hierarchie („Bitte direkt erledigen“)
3. Auslösen der kritischen Handlung
Die eigentliche Betrugshandlung erfolgt oft schnell:
- einmalige Sonderüberweisung
- dringende Projektzahlung
- vermeintlich strategische Transaktion
Kontrollmechanismen werden bewusst umgangen.
Warum CEO-Fraud so wirksam ist
Autorität schlägt Routine
Mitarbeitende sind darauf trainiert, Anweisungen der Geschäftsführung umzusetzen. CEO-Fraud nutzt genau diese Erwartungshaltung.
Zeitdruck verhindert Verifikation
Dringlichkeit reduziert Rückfragen. Der Angriff lebt davon, dass „keine Zeit“ bleibt, Prozesse einzuhalten.
Keine technischen Auffälligkeiten
Die Kommunikation wirkt legitim. Absender, Sprache und Kontext passen – technische Schutzmaßnahmen greifen oft nicht.
Typische Schadensszenarien
- hohe sechs- bis siebenstellige Überweisungen
- Verlust von Rückgriffsmöglichkeiten
- Reputationsschäden
- interne Vertrauenskrisen
Warum Awareness hier entscheidend ist
CEO-Fraud lässt sich nicht vollständig technisch verhindern. Der wirksamste Schutz liegt in der Fähigkeit von Mitarbeitenden, auch unter Autoritätsdruck korrekt zu handeln.
Awareness schafft Sicherheit im Umgang mit Hierarchie.
Was Awareness-Training konkret vermitteln muss
1. Autorität ist kein Sicherheitsmerkmal
Auch Anweisungen von „oben“ müssen verifiziert werden, wenn sie von etablierten Prozessen abweichen.
2. Klare Regeln für Ausnahmen
- keine Sonderüberweisungen ohne Verifikation
- kein Umgehen des Vier-Augen-Prinzips
- keine geheimen Abkürzungen
3. Verifikationspflicht statt Gehorsam
Rückruf, Zweitkanal, dokumentierte Freigabe – immer.
4. Rückendeckung durch die Führung
Awareness funktioniert nur, wenn Führungskräfte klar kommunizieren: Sicherheit geht vor Schnelligkeit.
Was Unternehmen organisatorisch umsetzen sollten
- verbindliche Zahlungs- und Freigabeprozesse
- klar definierte Eskalationswege
- regelmäßige Awareness-Szenarien zu CEO-Fraud
- Schulungen für Assistenz-, Finanz- und Managementfunktionen
Fazit
CEO-Fraud ist kein technischer Angriff – sondern ein gezielter Missbrauch von Autorität. Unternehmen, die sich ausschließlich auf Technik verlassen, bleiben verwundbar. Awareness-Training schafft die notwendige Handlungssicherheit, um auch unter Druck und Hierarchie korrekt zu entscheiden.
Die wirksamste Kontrolle gegen CEO-Fraud ist eine gelebte Sicherheitskultur.
