Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
CEO Fraud: Eine falsche Mail und 200.000 € sind weg.
Konkretes Szenario, klare 4-Augen-Freigaben, gezieltes Training für Finance und Assistenz sowie ein definierter Notfall-Ablauf - so verhindern Sie CEO Fraud, bevor er Schaden anrichtet.
Edouard Jacques
Managing Director, Cyber Culture
Der Buchhalter bekommt eine E-Mail vom Chef: „Wir sind in einer vertraulichen Akquisitionsverhandlung. Bitte überweise sofort 195.000 Euro auf dieses Konto – diskret, das ist wichtig." Die E-Mail-Adresse sieht exakt aus wie die des Chefs. Kein Tippfehler. Der Schreibstil stimmt. Und weil der Buchhalter seinen Chef nicht enttäuschen und das Unternehmen nicht gefährden will, überweist er.
Die E-Mail war gefälscht. Das Geld ist in Minuten auf einem Konto in einem Land ohne Rückholmöglichkeit.
Warum CEO Fraud so häufig funktioniert
CEO Fraud – auch Business Email Compromise (BEC) genannt – hat im vergangenen Jahr laut FBI-Statistik einen weltweiten Schaden von über 2,7 Milliarden Dollar verursacht. Und das Erschreckende: Es braucht keine Schadsoftware, keine gehackte E-Mail-Adresse, keine technische Raffinesse. Es braucht nur eine überzeugende Mail, einen unter Zeitdruck stehenden Mitarbeiter und einen Prozess ohne Vier-Augen-Prinzip.
Was wirksam schützt
Erstens: ein klares Regelwerk für Zahlungsfreigaben. Jede Überweisung über einem definierten Betrag – zum Beispiel 5.000 Euro – wird über einen zweiten, unabhängigen Kanal bestätigt. Ein Telefonanruf auf die bekannte Nummer. Eine Bestätigung per Chat-System. Die Regel gilt ohne Ausnahme, auch wenn die E-Mail Dringlichkeit signalisiert. Besonders beim Stichwort „dringend, vertraulich, sofort".
Zweitens: eine saubere DKIM- und SPF-Konfiguration, die verhindert, dass Angreifer E-Mails von einer täuschend ähnlichen Domain verschicken.
Drittens: ein kurzes, praxisnahes Training für alle Mitarbeiter, die Zahlungen freigeben – damit sie wissen, dass Dringlichkeit ein Warnsignal ist, keine Handlungsaufforderung.
Wir liefern alle drei Lösungen - technische Absicherung, prozessuale Strukturen und Training mit Effekt.
Was die häufigste Reaktion der Opfer ist: „Ich hätte es wissen müssen, aber in dem Moment hat es so echt geklungen." Das ist keine Schwäche – das ist menschlich. Der Schutz liegt nicht darin, jeden Mitarbeiter zum Sicherheitsexperten zu machen, sondern im Prozess: Vier-Augen-Prinzip, Rückrufpflicht, keine Ausnahmen.
Ihre nächsten Schritte
Persönliches Gespräch oder Selbst-Assessment?
Schadenskalkulator
Berechnen Sie in 2 Minuten, was ein Cybervorfall Ihr Unternehmen tatsächlich kosten würde.
Schaden berechnenPersönliches Gespräch mit der Geschäftsführung
30 Minuten Klarheit zu Haftung, Pflichten und nächsten Schritten - vertraulich, ohne Verkaufsdruck.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen