McAfee Total Protection
Virenschutz
Virtuelles privates Netzwerk (VPN)
Mobile Sicherheit
Web-Schutz
PC-Leistung
Virenbeseitigung 
Unternehmensübersicht:
Auszeichnungen und Rezensionen
Investoren
Vielfalt und Inklusion
Integrität und Ethik
Öffentlichkeitspolitik
Jobs
Leben bei McAfee
Unsere Teams
Unsere Standorte
Blog de McAfee
McAfee Labs
McAfee bei YouTube
McAfee-Presse-Center
Lernen bei McAfee 
Was ist Identitätsdiebstahl?
Kunden-Support
Häufig gestellte Fragen
Kontakt
Protection iconKundenkarte einlösen
Startseite
Ist das wirklich Ihr Chef? CEO-Betrug erklärt
Stellen Sie sich vor, Sie erhalten eine dringende E-Mail vom Geschäftsführer (CEO) Ihres Unternehmens. Er fordert Sie auf, eine bestimmte Summe vertraulich und umgehend zu überweisen, sonst drohen ernsthafte Konsequenzen. Sie handeln sofort, müssen jedoch später feststellen, dass die E-Mail gar nicht von Ihrem Chef stammte. Dieses beunruhigende Szenario spielt sich in Unternehmen auf der ganzen Welt ab und kostet sie jedes Jahr Millionen.
Da die Taktiken der Betrüger immer überzeugender werden, ist es wichtiger denn je, die Warnsignale solcher Betrugsmaschen zu erkennen und zu verstehen. In diesem Artikel erfahren Sie, wen CEO-Betrug üblicherweise betrifft, wie Sie die Anzeichen erkennen und Ihr Unternehmen vor dieser Art von Cyberbedrohung schützen können.
Was ist CEO-Betrug?
CEO-Betrug (Chief Operating Officer, engl. für Geschäftsführer) ist eine Form von Spear-Phishing, bei der Cyberkriminelle zielgerichtete E-Mails versenden, in denen sie sich als Geschäftsführer eines Unternehmens oder eine andere hochrangige Führungskraft ausgeben, um Mitarbeiter zur Überweisung von Geldern oder zur Herausgabe sensibler Daten zu verleiten. CEO-Betrug ist eine spezielle und äußerst effektive Form einer größeren Kategorie von Angriffen, die als Business Email Compromise (BEC) bekannt ist.
Bei CEO-Betrug nutzen die Betrüger das Vertrauen und die Autorität der Unternehmensführung aus, um an Geld zu gelangen. Zu diesem Zweck werden Mitarbeiter der Finanz- oder Personalabteilung dazu verleitet, nicht autorisierte Überweisungen auf die Konten der Kriminellen durchzuführen. Unter CEO-Betrug fallen auch Betrugsversuche, mit denen wertvolle Daten gestohlen werden sollen, z. B. Steuerunterlagen von Mitarbeitern oder Kundenlisten, die dann verkauft oder für weitere betrügerische Aktivitäten verwendet werden.
CEO-Betrug und Whaling
Sowohl CEO-Betrug als auch das sogenannte Whaling (engl. für Walfang) sind zielgerichtete Social-Engineering-Angriffe. Sie unterscheiden sich jedoch in Bezug auf ihre Opfer und ihre Ziele. Beim CEO-Betrug geben sich die Betrüger als hochrangige Führungskraft aus, um Mitarbeiter zu unbefugten Handlungen wie einer Überweisung oder der Weitergabe vertraulicher Daten zu verleiten. Hier ist also der Mitarbeiter das Ziel des Betrugs.
Im Gegensatz dazu ist Whaling eine Form des Phishings, die direkt auf die Führungskräfte selbst abzielt. Im Englischen werden diese lukrativen Opfer als “whales” (Wale) bezeichnet. Ziel eines Whaling-Angriffs ist es, eine Führungskraft zur Herausgabe ihrer persönlichen Anmeldedaten oder von sensiblen Unternehmensdaten zu bringen. Diese können dann für größere Angriffe verwendet werden.
Sorgfältig ausgearbeitete Cyberangriffe
CEO-Betrugsversuche sind sorgfältig inszenierte Angriffe, bei denen Social Engineering und technische Tricks genutzt werden. In der Regel kundschaften die Betrüger ihre Opfer zunächst aus, indem sie das Organigramm des Unternehmens studieren, Schlüsselpersonen in der Finanzabteilung ausmachen und sich mit dem Kommunikationsstil des Geschäftsführers vertraut machen.
Im nächsten Schritt manipulieren sie die E-Mail-Adresse so, dass es aussieht, als käme die E-Mail direkt von der echten Adresse des Geschäftsführers. In der betrügerischen Nachricht selbst werden dann vor allem die Dringlichkeit und Vertraulichkeit der Angelegenheit betont, damit der Empfänger kein Misstrauen entwickelt. Dazu behaupten die Angreifer beispielsweise, dass es um eine geheime Fusion oder eine dringende Steuernachzahlung geht, die sofort bearbeitet werden muss. Dadurch wird Handlungsdruck auf die Mitarbeiter ausgeübt, sodass sie nicht zum Nachdenken kommen und die Anfrage nicht verifizieren.
Eine lukrative Betrugsmasche
CEO-Betrug kommt immer häufiger vor, da diese Masche für Cyberkriminelle äußerst profitabel ist und sich in der heutigen digitalen Welt leicht durchführen lässt. Zudem sind durch Remote- und Hybridarbeit am modernen Arbeitsplatz ungewollt neue Schwachstellen entstanden.
So ist es beispielsweise nicht mehr möglich, einfach zum Schreibtisch des Kollegen zu gehen und etwas zu bestätigen. Dies macht es den Betrügern deutlich leichter, die Empfänger ihrer dringenden E-Mails erfolgreich zu täuschen.
→ Weitere Informationen: Die 9 häufigsten Betrugsmethoden in sozialen Medien und wie man sie erkennt
Wer primär mit CEO-Betrug ins Visier genommen wird
Bei CEO-Betrug kundschaften die Angreifer ihre Opfer sorgfältig aus und erstellen ein Profil von ihnen. Die Kriminellen nehmen vor allem Personen und Abteilungen ins Visier, die mit hoher Wahrscheinlichkeit Zugriff auf sensible Finanzdaten haben oder befugt sind, Geld zu überweisen. Im Folgenden finden Sie einige Beispiele typischer Opfer von CEO-Betrug. Wenn Sie eine dieser Funktionen ausüben, sollten Sie besonders aufmerksam und wachsam sein:
- Mitarbeiter in der Finanz- und Kreditorenbuchhaltung: Diese Mitarbeiter werden am häufigsten ins Visier genommen, da sie direkten Zugriff auf Unternehmensgelder haben und Zahlungen sowie Überweisungen durchführen dürfen. Angreifer nutzen ihre Pflicht aus, Anweisungen der Geschäftsführung zu befolgen, insbesondere wenn diese als dringend dargestellt werden.
- Mitarbeiter der Personalabteilung: Da Personalabteilungen über eine Fülle von persönlichen Daten aller Mitarbeiter verfügen, sind sie zu einem bevorzugten Ziel für Datendiebstahl geworden. Die Betrüger geben sich als Führungskräfte aus, um an sensible Mitarbeiterdaten (z. B. Gehaltslisten, Steuererklärungen und andere personenbezogene Daten) zu gelangen, die für Identitätsdiebstahl und weiteren Betrug verwendet werden können.
- Assistenten der Geschäftsführung und Verwaltung: Diese Personen arbeiten eng mit hochrangigen Führungskräften zusammen und sind oft damit betraut, in deren Namen logistische und finanzielle Angelegenheiten zu erledigen, beispielsweise Reisen zu buchen oder Material einzukaufen. Betrüger fordern sie gezielt auf, Gutscheinkarten zu kaufen oder kleine, scheinbar legitime Zahlungen zu tätigen, die sich später als Betrug herausstellen.
- Neue oder jüngere Mitarbeiter: Neu eingestellte Mitarbeiter sind in der Regel weniger mit den Zahlungsmodalitäten des Unternehmens vertraut. Zudem sind sie bestrebt, schnell auf Anfragen zu reagieren und Hilfe zu leisten. Cyberkriminelle nutzen die mangelnde Erfahrung aus und hoffen, dass der neue Mitarbeiter eine betrügerische Anfrage erfüllt, ohne deren Legitimität zu hinterfragen.
So erkennen Sie die Warnsignale von CEO-Betrug
Da CEO-Betrug darauf abzielt, Mitarbeiter in Panik zu versetzen und sie zu einem Fehler zu verleiten, ist es von entscheidender Bedeutung, einen kühlen Kopf zu bewahren und wachsam zu bleiben. Wenn Sie lernen, die unauffälligen und offensichtlichen Warnsignale zu erkennen, können Sie solche Betrugsversuche bereits im Vorfeld unterbinden. Darüber hinaus sollten alle Mitarbeiter – nicht nur die im Finanzwesen – darin geschult werden, die folgenden Warnzeichen zu erkennen, die oft auf betrügerische Aktivitäten hindeuten.
- Unter Druck setzen: In der E-Mail wird extremer Zeitdruck aufgebaut oder um strenge Vertraulichkeit gebeten. Sätze wie “Das muss sofort erledigt werden”, “Erledigen Sie das auf diskrete Weise” oder “Ich bin in einer Besprechung und kann nicht reden” dienen dazu, Sie zum Handeln zu drängen, ohne die Angelegenheit zu überprüfen.
- Ungewöhnliche Anfragen: In der Nachricht wird um etwas gebeten, das nicht der normalen Vorgehensweise des Unternehmens entspricht. Dies kann beispielsweise das Umgehen eines erforderlichen Genehmigungsschritts, die Überweisung von Geldern auf ein unbekanntes internationales Konto oder der Kauf von Gutscheinkarten sein.
- Falsche E-Mail-Adresse: Schauen Sie sich die E-Mail-Adresse des Absenders genau an. Betrüger verwenden oft einen Anzeigenamen, der auf den ersten Blick korrekt aussieht. Die tatsächliche Adresse ist jedoch eine öffentliche Domain wie @gmail.com oder eine leicht falsch geschriebene Version der Domain Ihres Unternehmens, zum Beispiel CEO@unternemen.de.
- Auffälliger Ton oder Sprachstil: Die in der E-Mail verwendete Sprache erscheint ungewöhnlich. Im Vergleich zum typischen Kommunikationsstil der Führungskraft ist sie eventuell übermäßig formell oder informell oder enthält ungewöhnliche Grammatik- und Rechtschreibfehler.
- Beschränkung des Kommunikationskanals: Der Absender weist ausdrücklich darauf hin, dass Sie ihn nicht telefonisch kontaktieren oder mit anderen Mitarbeitern im Unternehmen über das Anliegen sprechen dürfen, da er angeblich beschäftigt ist oder die Angelegenheit streng vertraulich ist. Mit dieser Taktik soll eine Überprüfung verhindert werden.
Nicht nur Geld: Die wahren Folgen von CEO-Betrug
CEO-Betrug ist eine globale Bedrohung, die Unternehmen Verluste in Milliardenhöhe beschert. Die folgenden Fälle zeigen, dass selbst etablierte Unternehmen Opfer raffinierter Social-Engineering-Taktiken werden können.
- Die Deepfake-Videokonferenz für 25 Mio. US-Dollar: Anfang 2024 wurde ein Mitarbeiter der Finanzabteilung eines multinationalen Konzerns dazu gebracht, 25 Millionen US-Dollar auszuzahlen, nachdem er an einer Videokonferenz mit Personen teilgenommen hatte, die er für den Finanzvorstand des Unternehmens und andere leitende Mitarbeiter gehalten hatte. Die vermeintlichen Kollegen in der Konferenz waren in Wirklichkeit Deepfakes. Der raffinierte Angriff wurde durch eine verdächtige E-Mail eingeleitet, gewann aber durch den äußerst realistisch wirkenden Videoanruf an Glaubwürdigkeit. Dieses Beispiel zeigt, in welche besorgniserregende Richtung sich Betrugstaktiken entwickeln.
- Filmgesellschaft Pathé verliert 19 Millionen Euro: Die niederländische Tochter des großen Filmunternehmens Pathé verlor über 19 Millionen Euro durch einen klassischen CEO-Betrug. Die Betrüger gaben sich als Führungskräfte der französischen Muttergesellschaft aus und wiesen den niederländischen CEO und CFO mit gefälschten E-Mails an, eine Reihe dringender Überweisungen für eine vermeintliche, “vertrauliche” Übernahme in Dubai durchzuführen. Durch Beharren auf Vertraulichkeit und ihre Autorität gelang es den Angreifern, die Führungskräfte dazu zu bewegen, die normalen Abläufe zu umgehen.
Der anfängliche finanzielle Verlust durch einen CEO-Betrugsangriff kann verheerend sein. Die wahren Folgen gehen jedoch weit über gestohlene Gelder hinaus. Häufig gibt es erhebliche Folgekosten, darunter kostspielige forensische Untersuchungen zur Ermittlung des Ausmaßes der Kompromittierung, Anwaltskosten sowie mögliche Bußgelder, falls sensible Daten kompromittiert wurden.
Noch schädlicher ist jedoch der Vertrauensverlust. Ein Angriff kann den Ruf eines Unternehmens bei Kunden, Partnern und Investoren schwer beschädigen, sodass es schwierig wird, Geschäftsbeziehungen aufrechtzuerhalten. Intern kann ein solcher Vorfall die Aufstiegschancen und die Moral der Mitarbeiter beeinträchtigen und eine Kultur des Misstrauens und der Schuldzuweisung schaffen, die die Zusammenarbeit und Produktivität negativ beeinflusst. Diese verhängnisvolle Kettenreaktion von Konsequenzen macht proaktive Prävention zum unverzichtbaren Bestandteil einer Geschäftsstrategie.
Der Anstieg von Betrugsfällen mit Deepfakes und KI-Stimmen
Die nächste Stufe des CEO-Betrugs ist der Einsatz von künstlicher Intelligenz zur Erstellung äußerst glaubwürdiger Deepfakes. Cyberkriminelle sind nicht mehr nur auf textbasierte E-Mails angewiesen. Mit einem kleinen Ausschnitt aus einem öffentlichen Interview oder einem Social-Media-Beitrag können sie die Stimme einer Führungskraft klonen und für einen Vishing-Angriff verwenden.
Stellen Sie sich vor, Sie erhalten eine Sprachnachricht, in der die Stimme Ihres Geschäftsführers zu hören ist. Er bittet Sie darin, dringend eine Zahlung abzuwickeln und ihm nach Abschluss der Transaktion die Details per SMS mitzuteilen. Mit der neuen Technologie wird es schwieriger, sich auf herkömmliche Warnsignale wie schlechte Rechtschreibung oder einen ungewöhnlichen Tonfall zu verlassen. damit wird deutlich: Feste Verfahren und Abläufe sind der beste Schutz.
Ganz gleich, wie glaubwürdig eine Nachricht auch erscheint: Bestätigen Sie die Angelegenheit immer über einen anderen Kanal. Rufen Sie beispielsweise die Führungskraft unter ihrer offiziellen, bekannten Telefonnummer zurück, noch bevor Sie sensible Daten herausgeben.
Schützen Sie Ihr Unternehmen vor CEO-Betrug
Um CEO-Betrug wirksam zu verhindern, ist eine vielschichtige und proaktive Sicherheitsstrategie erforderlich. Diese Strategie sollte eine Kombination aus Technologie, bewährten Verfahren und kontinuierlichen Mitarbeiterschulungen beinhalten, um die Vermögenswerte und sensiblen Daten des Unternehmens vor immer ausgefeilteren Betrugsmaschen zu schützen. Wenn Sie diese Best Practices umsetzen, können Sie eine starke Verteidigung aufbauen und eine sicherheitsbewusste Kultur schaffen, in der sich Mitarbeiter nicht scheuen, verdächtige Anfragen zu hinterfragen.
- Verifizieren Sie Anfragen immer über andere Kanäle: Wenn es um Geldüberweisungen oder die Herausgabe von Daten geht, muss immer eine zusätzliche Überprüfung über andere Kanäle erfolgen. Bestätigen Sie die Anfrage beispielsweise durch einen direkten Anruf bei einer bekannten Nummer oder durch ein persönliches Gespräch. Verwenden Sie niemals die in der verdächtigen E-Mail angegebenen Kontaktdaten.
- Nehmen Sie regelmäßig an Mitarbeiterschulungen teil: Wenn in Ihrem Unternehmen eine Schulung zu den Gefahren von CEO-Betrug und anderen Phishing-Angriffen angekündigt wird, sollten Sie nach Möglichkeit an allen Veranstaltungen teilnehmen – insbesondere, wenn Sie in den Bereichen Finanzen, Personalwesen oder Assistenz der Geschäftsführung tätig sind. Schauen Sie sich die Praxisbeispiele für betrügerische E-Mails genau an, damit Sie die Warnsignale erkennen.
- Verwenden Sie erweiterte E-Mail-Sicherheit: Prüfen Sie, ob die modernen E-Mail-Sicherheitslösungen, die Ihr Unternehmen anbietet, auch auf Ihren Geräten implementiert sind. Diese Lösungen sind in der Lage, Nachahmer-Betrug und externe E-Mails zu erkennen und verdächtige E-Mails automatisch zu kennzeichnen.
- Halten Sie sich an die Finanzvorschriften: Wenn Sie für die Finanzen oder die Beschaffung zuständig sind, befolgen Sie die strengen Richtlinien für alle Transaktionen. Halten Sie sich außerdem an das Vier-Augen-Prinzip für alle Überweisungen oder Zahlungen, die einen bestimmten Schwellenwert überschreiten. Dadurch wird sichergestellt, dass Sie nicht dazu genötigt werden können, Geld zu überweisen, ohne dass eine zweite Person den Vorgang geprüft hat.
Phishing-Simulationen zur Schulung
Phishing-Simulationen sind ein wirkungsvolles Instrument, um Ihre Mitarbeiter aktiv zu schulen und sie dazu befähigen, einen wesentlichen Beitrag zur Sicherheit des Unternehmens zu leisten. Bei diesen Übungen werden harmlose simulierte Phishing-E-Mails (z. B. E-Mails mit CEO-Betrug) an die Mitarbeiter in einer kontrollierten Umgebung versendet.
Dabei geht es nicht darum, Mitarbeiter zu erwischen oder zu bestrafen, sondern sie praxisnah zu schulen. Anschließend sehen Sie, wer auf die E-Mails geklickt hat, und können so die Effektivität Ihres Sicherheitsprogramms messen und Problembereiche identifizieren.
Vor allem aber eröffnen Simulationen wertvolle Möglichkeiten: Mitarbeiter können anhand von Feedback zu ihrem Verhalten im Test lernen und Warnsignale in einem realen Kontext besser erkennen. Diese Maßnahme stärkt die menschliche Firewall Ihres Unternehmens und macht es insgesamt widerstandsfähiger gegen CEO-Betrug.
Das sollten Sie tun, wenn Sie Opfer eines CEO-Betrugs geworden sind
Opfer eines CEO-Betrugs zu werden, kann eine besorgniserregende und kritische Situation sein. Eine schnelle und organisierte Reaktion kann den Schaden jedoch erheblich begrenzen und Ihre Aussichten auf eine schnelle Erholung verbessern. Wenn Sie glauben, Opfer geworden zu sein, sollten Sie Folgendes sofort und in den folgenden Tagen tun:
- Stoppen Sie die Zahlung sofort: Wenden Sie sich umgehend an Ihr Finanzinstitut, wenn Sie den Verdacht haben, dass eine betrügerische Überweisung stattgefunden hat, und fordern Sie die Rückbuchung der Gelder. Bitten Sie anschließend Ihre Bank darum, sich mit der Empfängerbank in Verbindung zu setzen, um das Konto zu sperren. Zeit spielt eine entscheidende Rolle, daher muss dies die allererste Maßnahme sein.
- Benachrichtigen Sie die interne Führung: Informieren Sie die Führung Ihres Unternehmens, die Sicherheits- bzw. IT-Abteilung und die Rechtsabteilung über den Vorfall. Sie müssen wissen, was passiert ist, um den Vorfallreaktionsplan des Unternehmens in Kraft zu setzen und das Ausmaß des Schadens zu beurteilen.
- Sichern Sie alle Beweise: Löschen Sie nichts. Bewahren Sie die ursprünglichen betrügerischen E-Mails sowie sämtliche Kommunikationsnachweise und relevante Transaktionsprotokolle auf. Diese Beweise sind sowohl für die Ermittlungen der Strafverfolgungsbehörden als auch für Ihre interne Überprüfung äußerst wichtig.
- Melden Sie den Vorfall den Strafverfolgungsbehörden: Erstatten Sie bei den zuständigen Strafverfolgungsbehörden eine detaillierte Anzeige. Für deutsche Unternehmen bedeutet dies, so schnell wie möglich eine Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einzureichen.
- Führen Sie eine Prüfung nach dem Vorfall durch: Sobald die unmittelbare Krise bewältigt ist, sollten Sie eine gründliche interne Prüfung durchführen. Analysieren Sie, wie es zu dem CEO-Betrugsfall gekommen ist, identifizieren Sie Schwachstellen in Ihren Abläufen und Systemen, und führen Sie entsprechende Behebungsmaßnahmen sowie zusätzliche Schulungen durch, um zukünftige Angriffe zu verhindern.
FAQ zu CEO-Betrug
Was ist der Unterschied zwischen CEO-Betrug und normalen Phishing-Angriffen?
Beim normalen Phishing verschicken die Betrüger generische E-Mails an Tausende Menschen und hoffen, dass einige auf den Köder hereinfallen. CEO-Betrug dagegen ist eine Form des Spear-Phishing, bei dem gezielt bestimmte Personen mit einem speziell auf sie abgestimmten Köder ins Visier genommen werden. Es sind äußerst zielgerichtete Angriffe, bei denen sich die Betrüger als eine konkrete Führungskraft ausgeben, um einen bestimmten Mitarbeiter zu täuschen. Die Informationen, die sie über Ihr Unternehmen gesammelt haben, dienen dazu, die Anfrage legitim erscheinen zu lassen.
Reicht unser Spamfilter aus, um diese Betrugsversuche zu stoppen?
Ein guter Spam-Filter ist zwar ein wichtiger Schutz, reicht aber oft nicht aus, um einen raffinierten CEO-Betrugsversuch zu stoppen. Diese E-Mails sind sorgfältig formuliert, sodass sie nicht als Spam erkannt werden. Sie enthalten in der Regel keine schädlichen Links oder Anhänge und werden nur in geringem Umfang versendet, sodass Filter, die nach Massen-E-Mails suchen, sie durchlassen.
Warum wollen Betrüger Gutscheinkarten?
Betrüger schätzen Gutscheinkarten, da diese eine Form von anonymem Geld darstellen. Sobald Sie den Betrügern die Kartennummer und PIN mitteilen, können sie das Geld sofort einlösen oder die Karte im Darknet verkaufen. Im Gegensatz zu einer Überweisung, die eine digitale Spur hinterlässt und mitunter zurückgebucht werden kann, sind Gutscheinkartentransaktionen schnell, anonym und nicht rückbuchbar, was sie zu einer risikoarmen und lohnenden Beute für Kriminelle macht.
Kann ich in Schwierigkeiten geraten, wenn ich auf einen CEO-Betrug hereinfalle?
Dass Sie sich Sorgen machen, ist eine ganz natürliche Reaktion. Wichtig ist jedoch, sich vor Augen zu halten, dass diese Angriffe von professionellen Kriminellen entwickelt wurden, um gezielt die menschliche Psychologie auszunutzen und technische Abwehrmaßnahmen zu umgehen. In einer unterstützenden Unternehmenskultur sollte dies berücksichtigt werden. Das oberste Gebot sollte immer sein, einen mutmaßlichen Vorfall sofort zu melden, ohne Angst vor Schuldzuweisungen haben zu müssen. Durch eine schnelle Meldung erhöhen sich die Chancen, Gelder zurückzubekommen, und Mitarbeiter demonstrieren damit ihre Verantwortung. Nach dem Vorfall sollten Lehren gezogen werden, um gemeinsam die Verteidigung zu stärken.
Fazit
Da Cyberkriminelle ihre Taktiken kontinuierlich weiterentwickeln, ist eine proaktive und einheitliche Sicherheitsstrategie der beste Schutz. Wenn Sie eine Kultur fördern, in der alle Mitarbeiter das Gefühl haben, Anfragen hinterfragen und überprüfen zu dürfen, entsteht eine wirksame menschliche Firewall. Wie bereits erwähnt sind robuste Abläufe, kontinuierliche Schulungen und eine Verifizierungspflicht entscheidende Maßnahmen, um Ihr Unternehmen vor CEO-Betrug zu schützen.
