CEO-Fraud (Betrugsmethode im Geschäftsverkehr)
CEO-Fraud ist eine Betrugsmasche, bei der sich Kriminelle als Geschäftsführung oder hochrangige Führungskraft eines Unternehmens ausgeben und Mitarbeitende per E-Mail, Telefon oder Nachricht dazu bewegen, hohe Geldbeträge auf ausländische Konten zu überweisen.
Ausführliche Erklärung
Bei CEO-Fraud, auch bekannt als Fake President Fraud oder Business E-Mail Compromise, handelt es sich um eine Form der Wirtschaftskriminalität, die auf Social Engineering basiert. Die Täter sammeln im Vorfeld gezielt Informationen über das Unternehmen aus öffentlichen Quellen wie Handelsregister, Firmenwebsite, Wirtschaftsberichten oder sozialen Netzwerken. Mit diesem Insiderwissen können sie überzeugend auftreten und kennen interne Strukturen, Mitarbeitende mit Zahlungsvollmacht sowie geplante Geschäftsaktivitäten.
Die Kontaktaufnahme erfolgt meist per gefälschter E-Mail, zunehmend aber auch über Telefonanrufe mit KI-generierten Stimmen oder gefälschte Videokonferenzen. Die Betrüger geben sich als CEO, Geschäftsführung oder andere Führungskräfte aus und fordern unter einem vermeintlich dringlichen und vertraulichen Vorwand – etwa eine geheime Unternehmensübernahme, Akquisition oder geänderte Kontoverbindung – die schnelle Überweisung größerer Summen ins Ausland, häufig nach China, Hongkong oder osteuropäische Staaten. Die Masche setzt auf Zeitdruck, Autoritätshörigkeit und die Diskretion der Mitarbeitenden.
Für österreichische und deutsche KMU stellt CEO-Fraud ein erhebliches Risiko dar. Laut Bundeskriminalamt entstanden weltweit bereits Schäden in Milliardenhöhe. Bekannte Fälle im deutschsprachigen Raum sind der bayerische Autozulieferer Leoni (40 Millionen Euro Schaden) und der österreichische Luftfahrtzulieferer FACC (50 Millionen Euro). Besonders gefährdet sind Unternehmen ohne etablierte Kontrollmechanismen und mit autoritären Führungsstrukturen, in denen Mitarbeitende Anweisungen der Geschäftsführung nicht hinterfragen.
Schutzmaßnahmen umfassen klare interne Kontrollprozesse wie das Vier-Augen-Prinzip bei ungewöhnlichen Zahlungsaufträgen, die Sensibilisierung aller Mitarbeitenden für diese Betrugsmasche und die Überprüfung ungewöhnlicher Zahlungsanweisungen durch Rückfrage beim Auftraggeber über einen bekannten Kommunikationskanal. Unternehmen sollten zudem kritisch prüfen, welche Informationen sie öffentlich zugänglich machen.
Praxisbeispiel
Eine mittelständische Steuerberatungskanzlei in Wien mit 35 Mitarbeitenden erhält eine E-Mail, die scheinbar vom Geschäftsführer stammt. Dieser befinde sich gerade in Verhandlungen über eine Fusion und benötige dringend eine vertrauliche Überweisung von 180.000 Euro nach Hongkong. Die Buchhalterin ist zunächst überzeugt, da die E-Mail interne Details erwähnt. Erst beim genauen Blick auf die Absenderadresse fällt ihr eine minimale Abweichung auf – statt ".at" endet die Domain auf ".eu". Sie ruft den Geschäftsführer direkt an und verhindert so den Betrug.