CEO Fraud / Business Email Compromise: So schützen sich Schweizer KMU

Q: Was ist CEO Fraud und Business Email Compromise?

See section: Was ist CEO Fraud und Business Email Compromise?

Q: Wie funktioniert ein CEO-Fraud-Angriff? Die 5 Phasen

See section: Wie funktioniert ein CEO-Fraud-Angriff? Die 5 Phasen

CEO Fraud — auch als Business Email Compromise (BEC) bekannt — ist die kostspieligste Form der Cyberkriminalität weltweit und trifft Schweizer KMU mit erschreckender Häufigkeit und Präzision. Das FBI beziffert den weltweiten Schaden durch BEC-Angriffe auf über 55 Milliarden US-Dollar seit 2013 (Stand September 2024), und das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnete 2024 in der Schweiz über 63’000 Cybervorfälle — CEO Fraud zählt zu den häufigsten Schadensmeldungen bei Schweizer KMU. Der durchschnittliche direkte Schaden einer erfolgreichen BEC-Attacke gegen ein Schweizer Unternehmen liegt bei mehreren zehntausend Franken — nicht selten sechs- oder siebenstellig. Nachfolgend:, wie CEO Fraud funktioniert, welche konkreten Angriffsmuster Schweizer KMU kennen müssen und welche Massnahmen Sie sofort umsetzen können.

Was ist CEO Fraud und Business Email Compromise?

CEO Fraud und Business Email Compromise sind verwandte, aber nicht identische Begriffe:

CEO Fraud (auch: CFO Fraud oder Chef-Masche) bezeichnet Angriffe, bei denen Kriminelle die Identität der Geschäftsführung imitieren — meistens per E-Mail — um Mitarbeitende in der Buchhaltung oder im Finanzbereich zu einer dringenden Überweisung zu verleiten. Der Absender erscheint als CEO, CFO oder Verwaltungsratsmitglied.

Business Email Compromise (BEC) ist der Oberbegriff für alle E-Mail-basierten Betrugsfälle in Unternehmen — darunter CEO Fraud, aber auch gefälschte Lieferantenrechnungen, kompromittierte Geschäfts-E-Mails und gefälschte Anwaltskorrespondenz.

Gemeinsam ist beiden: Sie nutzen soziale Manipulation statt technischer Schadsoftware. Es gibt keinen Virus, keinen Anhang, keinen verdächtigen Link — nur eine scheinbar legitime E-Mail von einer scheinbar vertrauenswürdigen Person. Das macht diese Angriffe so schwer zu erkennen und so effektiv.

Wie funktioniert ein CEO-Fraud-Angriff? Die 5 Phasen

Phase 1: Reconnaissance — Ihr Unternehmen wird analysiert

Bevor ein Angriff beginnt, investieren Kriminelle Zeit in die gründliche Recherche Ihres Unternehmens. Sie sammeln Informationen aus:

LinkedIn und XING: Wer ist CEO? Wer ist CFO? Wer arbeitet in der Buchhaltung? Wer hat Unterschriftsberechtigung?
Unternehmenswebsite: Organigramm, Kontaktdaten, Pressemitteilungen
Handelsregister: Zeichnungsberechtigte, Kapitalstruktur
Social Media: Ist der CEO gerade an einer Konferenz? Im Ausland? Urlaub?
Jahresberichte / Medienberichte: Welche grossen Projekte laufen? Gibt es M&A-Aktivitäten?

Das Ergebnis: Die Angreifer wissen, wer welche Entscheidungen treffen kann, wie die interne Kommunikation abläuft und wann der CEO nicht sofort erreichbar ist — genau der richtige Moment für den Angriff.

Phase 2: Die E-Mail-Adresse wird gefälscht oder kompromittiert

Es gibt zwei Varianten:

Variante A — Domain-Spoofing: Der Angreifer registriert eine täuschend ähnliche Domain. Aus mustag.ch wird mustag-ag.ch oder muestag.ch. Der Anzeigename in der E-Mail ist korrekt (“Max Muster, CEO”), die tatsächliche Absenderadresse weicht aber minimal ab.

Variante B — Echte Kompromittierung: Der Angreifer hat zuvor das echte E-Mail-Konto des CEO über einen Phishing-Angriff kompromittiert und schreibt tatsächlich vom echten Konto. Diese Variante ist wesentlich schwerer zu erkennen und kommt bei gezielten Spear-Phishing-Angriffen vor.

Phase 3: Der initiale Kontakt — klein und unverdächtig

Kluge Angreifer beginnen nicht sofort mit der Zahlungsaufforderung. Sie testen zunächst, ob das Ziel antwortet:

“Sind Sie gerade verfügbar? Ich habe eine dringende, vertrauliche Aufgabe für Sie.”

Sobald das Ziel antwortet, ist die psychologische Verbindung hergestellt. Die Zielperson hat bereits reagiert und fühlt sich verpflichtet, weiter zu helfen.

Phase 4: Die eigentliche Anfrage unter Zeitdruck

Jetzt kommt die Kernbotschaft — typischerweise mit mehreren psychologischen Hebeln gleichzeitig:

Autorität: “Ich als CEO/CFO ordne das an”
Dringlichkeit: “Muss heute noch erledigt sein”
Vertraulichkeit: “Sprechen Sie mit niemandem darüber — dies ist eine sensitive M&A-Transaktion”
Isolation: “Rufen Sie mich nicht an, ich bin im Meeting / schlechte Verbindung im Ausland”
Sozialer Druck: “Das Ansehen des Unternehmens hängt davon ab”

Phase 5: Das Geld wird sofort weitertransferiert

Sobald die Überweisung getätigt ist, wird das Geld sofort über eine Kette von Bankkonten — oft in verschiedenen Ländern — transferiert und gewaschen. Rückbuchungen sind fast unmöglich. Die Chancen, das Geld zurückzuerhalten, liegen statistisch unter 10 Prozent.

Reale Angriffsszenarien aus der Schweizer KMU-Praxis

Szenario 1: Die M&A-Transaktion (Zürich, Industrie-KMU, ~80 Mitarbeitende)

Details anonymisiert und verallgemeinert.

Ein Industrieunternehmen erhält an einem Freitagabend eine E-Mail, angeblich vom CEO, der gerade an einer Investorenkonferenz in London teilnimmt (Information aus einem LinkedIn-Post). Die E-Mail geht an die Leiterin der Buchhaltung:

“Wir stehen kurz vor dem Abschluss einer Akquisition. Die andere Seite hat heute auf Vertraulichkeit bestanden. Bitte überweise bis 17:00 Uhr CHF 125’000 auf folgendes Konto [ausländische IBAN]. Der CFO ist eingeweiht, aber bitte sprechen Sie mit niemand anderem. Ich erkläre alles am Montag.”

Die Buchhalterin, die seit 12 Jahren für das Unternehmen arbeitet und den CEO gut kennt, überweist — ohne den CEO direkt anzurufen. Am Montag stellt sich heraus: Der CEO hat nie eine solche E-Mail geschrieben. Das Geld ist weg.

Was hätte die Überweisung verhindert: Ein einziger Anruf auf der bekannten Mobilnummer des CEO.

Szenario 2: Die gefälschte Anwaltskanzlei (Basel, Handelsunternehmen, ~35 Mitarbeitende)

Ein Handelsunternehmen erhält eine E-Mail von einer “Anwaltskanzlei”, die vorgibt, das Unternehmen in einer Compliance-Angelegenheit zu vertreten. Die Anwälte fordern unter Berufung auf regulatorische Anforderungen eine sofortige Zahlung auf ein Treuhandkonto — CHF 48’000. Die E-Mail ist überzeugend formatiert, enthält das Logo einer echten Kanzlei (die das Unternehmen tatsächlich kennt) und eine gefälschte, aber realistisch klingende Fallnummer.

Was den Betrug letztlich enthüllte: Ein misstrauischer Mitarbeitender rief die Kanzlei über die Nummer auf deren offizieller Website an — nicht die Nummer in der E-Mail. Die Kanzlei wusste von nichts.

Szenario 3: Bankverbindungsänderung eines Stammlieferanten (Bern, Dienstleistungs-KMU, ~50 Mitarbeitende)

Ein Service-Unternehmen erhält eine E-Mail, scheinbar von einem langjährigen IT-Lieferanten: “Wir haben unsere Bankverbindung geändert. Bitte verwenden Sie ab sofort folgende IBAN für alle zukünftigen Zahlungen.” Die E-Mail sieht exakt wie normale Korrespondenz des Lieferanten aus — gleiches Layout, gleiche Signatur, sehr ähnliche E-Mail-Adresse.

Drei Rechnungen werden bezahlt, bevor der echte Lieferant eine ausstehende Zahlung anmahnt. Gesamtschaden: CHF 34’000.

Was hier ausgenutzt wurde: Routineprozesse ohne Verifizierung bei Bankdatenänderungen.

Die Psychologie des CEO Fraud: Warum Menschen darauf hereinfallen

Es wäre ein Fehler, Mitarbeitende zu beschuldigen, die auf CEO Fraud hereinfallen. Die psychologischen Mechanismen, die Angreifer nutzen, sind tief in der menschlichen Psychologie verwurzelt:

Autoritätsprinzip: Wir sind darauf konditioniert, Anweisungen von Vorgesetzten zu folgen — besonders in hierarchischen Organisationsstrukturen. Ein Befehl vom CEO wird selten hinterfragt.

Dringlichkeit und Stress: Unter Zeitdruck schaltet das analytische Denkvermögen ab. Angreifer nutzen das gezielt: Wer “sofort” handeln muss, hat keine Zeit für Rückfragen.

Vertraulichkeit als Isolationsmechanismus: “Sprechen Sie mit niemandem” verhindert genau das, was den Betrug aufdecken würde: eine schnelle Rückfrage beim Kollegen oder Vorgesetzten.

Angst vor Konsequenzen: “Das Ansehen des Unternehmens steht auf dem Spiel” — wer möchte derjenige sein, der eine wichtige Geschäftstransaktion platzen lässt?

Helpfulness-Bias: Gute Mitarbeitende wollen helfen. Eine Anfrage, die bedeutet, dem CEO in einer wichtigen Situation zu helfen, fühlt sich wie eine Chance an, sich zu beweisen.

Das Verständnis dieser Mechanismen ist der erste Schritt zur Verteidigung. Mehr zur psychologischen Dimension von Phishing-Angriffen in unserem Überblick über Phishing-Schutz für Schweizer Unternehmen.

8 Warnsignale für CEO Fraud, die jeder Mitarbeitende kennen muss

Ungewöhnlicher Kommunikationskanal: Der CEO schreibt plötzlich auf eine andere E-Mail-Adresse als üblich, oder die E-Mail-Adresse weicht minimal von der bekannten ab.
Dringlichkeit kombiniert mit Vertraulichkeit: “Sofort” und “Sprechen Sie mit niemandem” in derselben E-Mail sind ein klassisches BEC-Muster.
Isolation von normalen Prozessen: “Umgehen Sie das übliche Freigabeverfahren” ist nie eine legitime Unternehmensanweisung.
Aussergewöhnliche Kontosituationen: Neue Bankverbindung, ausländisches Konto, unbekannter Empfänger.
Unerreichbarkeit des angeblichen Absenders: “Rufen Sie mich nicht an, ich bin im Meeting” verhindert genau die Verifikation, die den Betrug aufdecken würde.
Bezug auf vertrauliche Projekte: M&A-Transaktionen, Compliance-Angelegenheiten oder Behördenanfragen, die bisher nie erwähnt wurden.
Zeitdruck am Tagesende oder vor Wochenenden: Angreifer wählen bewusst Freitagabende oder den letzten Tag vor Feiertagen, wenn weniger Zeit für Rückfragen bleibt und Kontrollen lockerer sind.
Änderungen von Stammdaten per E-Mail: Änderungen von Bankverbindungen, Lieferantendaten oder Zugangsdaten sollten nie nur per E-Mail bestätigt werden.

Sofortmassnahmen: So schützen Sie Ihr KMU vor CEO Fraud

Massnahme 1: Vier-Augen-Prinzip — keine Ausnahmen

Jede Zahlung über einem definierten Betrag (empfohlen: CHF 2’000–5’000 für KMU) muss von zwei Personen genehmigt werden. Diese Genehmigung darf nicht per E-Mail erfolgen — nur persönlich, per Telefon oder über ein internes System mit separater Authentifizierung.

Implementierung: Definieren Sie diese Regel schriftlich als verbindlichen Prozess. Sie muss so klar sein, dass kein “CEO-Befehl” per E-Mail sie ausser Kraft setzen kann — weil die Mitarbeitenden wissen, dass ein echter CEO diese Regel selbst eingeführt hat und respektiert.

Massnahme 2: Verifizierungspflicht bei Bankdatenänderungen

Jede Änderung von Bankverbindungen — bei Lieferanten, Kunden oder intern — erfordert eine telefonische Bestätigung über eine unabhängig ermittelte Nummer (nicht die Nummer in der Änderungs-E-Mail).

Erstellen Sie ein einfaches Formular: Wer hat die Änderung angefordert? Wer hat telefonisch verifiziert? Datum und Uhrzeit?

Massnahme 3: Call-Back-Verfahren für grosse Transaktionen

Für Überweisungen über einem definierten Schwellenwert (z.B. CHF 10’000) ist ein Rückruf beim Auftraggeber obligatorisch — und zwar nicht auf die Nummer in der E-Mail, sondern auf die bekannte, hinterlegte Nummer.

Massnahme 4: Sensibilisierungsschulung für Buchhaltung und Finanzteam

Die Buchhaltung ist das primäre Ziel von CEO Fraud. Jede Person mit Zahlungsberechtigung muss explizit über CEO-Fraud-Methoden informiert sein — nicht nur über allgemeines Phishing.

Führen Sie regelmässige Schulungen durch und ergänzen Sie diese mit Phishing-Simulationen, die auch CEO-Fraud-Szenarien beinhalten.

Massnahme 5: E-Mail-Authentifizierung technisch durchsetzen

Implementieren Sie SPF, DKIM und DMARC — diese Standards machen es schwieriger, Ihre eigene Domain zu fälschen. Beachten Sie aber: DMARC schützt Ihre Domain, nicht vor der Nutzung von Lookalike-Domains. Technische Schutzmassnahmen im Detail in unserer Cybersecurity-Checkliste für KMU.

Massnahme 6: Reisemitteilungen und Abwesenheiten vertraulich behandeln

CEO-Fraud-Angreifer nutzen öffentlich zugängliche Informationen über Abwesenheiten. Überdenken Sie, wie viel Sie auf LinkedIn, in Pressemitteilungen und auf Social Media über Reisepläne und Abwesenheiten veröffentlichen.

Massnahme 7: Interne Eskalationskultur fördern

Mitarbeitende, die eine Anfrage verdächtig finden, müssen wissen, dass sie eskalieren können und sollen — ohne Konsequenzen befürchten zu müssen. Eine Kultur, in der “ich war misstrauisch” positiv bewertet wird, ist die stärkste Verteidigung gegen Social Engineering.

CEO Fraud und nDSG-Compliance

Ein erfolgreicher CEO-Fraud-Angriff hat in der Regel keine direkten Datenschutzfolgen — wenn nur Geld überwiesen wird und keine Personendaten kompromittiert werden. Wird aber ein E-Mail-Konto tatsächlich kompromittiert (Variante B), dann sind sehr wahrscheinlich Personendaten betroffen — und damit greifen die Meldepflichten des nDSG.

Unter dem nDSG müssen Datenpannen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, wenn ein voraussichtlich hohes Risiko für die betroffenen Personen besteht. Mehr zu den konkreten Anforderungen in der nDSG-Checkliste für KMU.

Sofortmassnahmen nach einem CEO-Fraud-Angriff

Wenn Sie merken, dass Sie Opfer eines CEO-Fraud-Angriffs geworden sind — oder wenn ein Angriff soeben abgewehrt wurde:

Wenn die Überweisung bereits erfolgt ist:

Sofort die Bank kontaktieren: Rufen Sie unverzüglich Ihre Bank an und teilen Sie mit, dass es sich um einen betrügerischen Transfer handelt. Jede Minute zählt — Rückbuchungen sind nur möglich, solange das Geld noch nicht weitertransferiert wurde.
Polizei erstatten: Erstatten Sie Anzeige bei der kantonalen Polizei. Das ist auch für allfällige Versicherungsansprüche wichtig.
NCSC informieren: Melden Sie den Vorfall beim Nationalen Zentrum für Cybersicherheit über das Meldeformular auf ncsc.admin.ch.
Interne Sofortmassnahmen: Falls ein E-Mail-Konto kompromittiert wurde: sofortiger Passwortreset, MFA aktivieren, alle aktiven Sitzungen beenden.
Anwalt beiziehen: Bei grösseren Schäden sollte früh ein auf Cyberkriminalität spezialisierter Anwalt beigezogen werden.

Wenn der Angriff erkannt und abgewehrt wurde:

Den Vorfall intern dokumentieren: Wer hat die E-Mail erhalten? Was wurde unternommen? Wann?
Intern kommunizieren: Informieren Sie andere Mitarbeitende über das Angriffsmuster (ohne zu blamieren)
Prozesse überprüfen: Warum wäre dieser Angriff beinahe erfolgreich gewesen? Was muss verbessert werden?
NCSC informieren: Auch verhinderte Angriffe sollten gemeldet werden — sie helfen bei der nationalen Lageeinschätzung

CEO Fraud erkennen, bevor er passiert: Was Red Teaming leistet

“CEO Fraud ist keine technische Schwachstelle — es ist eine menschliche und prozessuale Schwachstelle. Technische Sicherheitslösungen können ihn nicht verhindern. Nur wenn Sie wissen, wie Ihre Mitarbeitenden und Prozesse auf einen gezielten sozialen Angriff reagieren, können Sie effektiv schützen.”

— Social Engineering Spezialist, CREST-zertifizierter Red-Teamer (anonymisiert)

Red Teaming ist die einzige Methode, mit der Sie wirklich wissen, ob Ihr Unternehmen einem gezielten CEO-Fraud-Angriff standhalten würde — bevor ein echter Angreifer es versucht.

Was ein Red Team im Kontext von BEC und CEO Fraud testet:

Reconnaissance-Phase: Wie viele Informationen können die Experten in kurzer Zeit über Ihr Unternehmen sammeln? Welche öffentlichen Quellen verraten zu viel?
Phishing und Social Engineering: Würden Mitarbeitende auf eine massgeschneiderte, personalisierten E-Mail hereinfallen — eine, die genau die Sprache Ihres CEOs imitiert?
Zahlungsprozesse: Können die Tester eine fiktive Zahlung durch Ihre Genehmigungsprozesse schleusen?
Incident Response: Wie reagiert Ihr Team, wenn es merkt, dass ein Angriff stattfindet oder stattgefunden hat?

Das Ergebnis ist kein Theoriepapier, sondern ein konkreter Massnahmenplan, der genau die Schwachstellen adressiert, die in Ihrem Unternehmen — mit Ihren spezifischen Prozessen, Ihrer Teamstruktur und Ihrer IT-Landschaft — gefunden wurden.

Mehr zur Methodik: Was ist Red Teaming? und Red Teaming vs. Penetrationstest.

CEO Fraud und Cyberversicherung

Viele Schweizer KMU glauben, durch ihre Cyberversicherung bei einem CEO-Fraud-Angriff gedeckt zu sein. Das ist nicht immer der Fall:

Einige Versicherungen decken CEO Fraud explizit aus, weil es als “einfacher Betrug” und nicht als “Cyberangriff” qualifiziert wird — insbesondere wenn keine technische Kompromittierung stattgefunden hat
Andere Versicherungen decken es unter einer speziellen “Social Engineering”-Klausel
Viele Versicherungen verlangen als Voraussetzung, dass bestimmte interne Kontrollprozesse (Vier-Augen-Prinzip, Verifizierungspflichten) nachweislich vorhanden waren

Empfehlung: Lesen Sie Ihre Cyberversicherungspolice sorgfältig und klären Sie explizit, ob und unter welchen Bedingungen CEO Fraud und BEC-Angriffe gedeckt sind.

Fazit

CEO Fraud und Business Email Compromise sind keine exotischen Cyberangriffe für Grosskonzerne — sie sind alltägliche Bedrohungen für Schweizer KMU jeder Grösse. Die gute Nachricht: Wirksamer Schutz erfordert keine millionenteuren technischen Systeme. Er erfordert klare Prozesse, gut informierte Mitarbeitende und eine Unternehmenskultur, in der kritisches Nachfragen belohnt wird.

Die entscheidende Frage ist: Würden Ihre Prozesse und Ihre Mitarbeitenden heute einem gezielten CEO-Fraud-Angriff standhalten? Theorie und Training können diese Frage nicht beantworten — nur ein realistischer Test kann es.

Red Teaming durch CREST-zertifizierte Experten aus Zürich simuliert genau dieses Szenario: massgeschneiderte Social-Engineering-Angriffe, Spear Phishing und Zahlungsmanipulationsversuche, die speziell auf Ihr Unternehmen zugeschnitten sind. Ab CHF 11’900 für Schweizer KMU. Jetzt unverbindliches Erstgespräch anfragen und Ihre Schwachstellen kennen, bevor ein echter Angreifer sie findet.

Quellen

FBI IC3 Public Service Announcement September 2024 – USD 55,5 Mrd. weltweite BEC-Schäden seit 2013 (Stand Dezember 2023)
NCSC Wochenrückblick 52/2024 – Rund 63’000 Cybervorfälle in der Schweiz 2024