CEO Fraud: Wenn Betrüger den Vorgesetzten imitieren

Gefälschte Chef-E-Mails, Social Engineering und Millionenverluste – wie CEO Fraud funktioniert, wer haftet und wie Unternehmen sich schützen

Eine E-Mail vom CEO, die den Finanzverantwortlichen dringend auffordert, eine große Summe auf ein ausländisches Konto zu überweisen – vertraulich, sofort, ohne die üblichen Freigabeprozesse. CEO Fraud, auch Business Email Compromise (BEC) genannt, ist eine der kostspieligsten Betrugsmaschen gegen Unternehmen. In Deutschland haben Firmen in den vergangenen Jahren Millionenbeträge durch diese Masche verloren. Die rechtliche Aufarbeitung ist vielschichtig: Wer haftet, wenn ein Mitarbeiter eine betrügerische Anweisung ausführt? Welche Möglichkeiten bestehen, das Geld zurückzuholen?

Was ist CEO Fraud und wie läuft der Angriff ab?

CEO Fraud bezeichnet eine Betrugsmasche, bei der Täter die Identität von Geschäftsführern, Vorständen oder anderen Führungskräften fälschen – eine Form des Identitätsdiebstahls, um Mitarbeiter – typischerweise aus Buchhaltung oder Finanzabteilung – zur Ausführung ungenehmigter Überweisungen zu veranlassen. Der Begriff Business Email Compromise ist weiter und umfasst auch Fälle, in denen Geschäftspartner oder Lieferanten imitiert werden.

Der Angriff beruht auf drei Elementen: Informationsbeschaffung, Identitätstäuschung und sozialem Druck – eine Form des Social Engineering. In der Vorbereitungsphase recherchieren Täter das Unternehmen gründlich: Wer ist Geschäftsführer, wer ist für Finanzen zuständig, gibt es öffentlich bekannte Akquisitionen oder Investitionen? Diese Informationen stammen häufig aus LinkedIn, Unternehmenswebsites, Pressemitteilungen und Handelsregistereinträge.

In der Ausführungsphase wird eine E-Mail im Namen der Führungskraft versandt – entweder durch eine gefälschte Absenderadresse, die optisch der echten ähnelt, oder nach einem vorangehenden Phishing-Angriff, der tatsächlichen Zugang zum E-Mail-Account der Führungskraft verschafft hat. Die Nachricht enthält typischerweise eine vertrauliche Anweisung für eine dringende Überweisung, einen Hinweis, dass normale Genehmigungsprozesse in diesem Fall ausgesetzt sind, und eine glaubwürdige Begründung: eine laufende Akquisition, eine regulatorische Zahlung, ein vertrauliches Projekt.

Typische Varianten des CEO Frauds

Classic CEO Fraud per E-Mail – Die klassische Variante: Eine gefälschte oder kompromittierte Chef-E-Mail fordert eine sofortige Zahlung. Die Absenderadresse ähnelt der echten so stark, dass der Unterschied – ein zusätzliches Zeichen, eine leicht geänderte Domain – im Alltagsstress nicht auffällt.

Invoice Fraud und Lieferantenwechsel – Täter imitieren nicht den Chef, sondern einen Geschäftspartner oder Lieferanten und fordern dazu auf, künftige Zahlungen auf ein neues Konto umzuleiten. Der Mitarbeiter ändert die Bankverbindung in der Buchhaltungssoftware; alle weiteren Zahlungen gehen an die Täter.

Voicefraud und KI-gestützte Stimmfälschung – Eine zunehmend verbreitete Variante: Täter rufen als angebliche Führungskraft an – eine Methode, die an Vishing (Telefonbetrug) erinnert – oder nutzen KI-generierte Stimmklone, die auf öffentlich verfügbaren Audio-Samples basieren. Diese Variante hat in mehreren deutschen Unternehmen zu Millionenverlusten geführt.

Lawyer Scam – Täter geben sich als Anwälte aus, die im vermeintlichen Auftrag der Geschäftsführung eine vertrauliche Transaktion abwickeln. Die Kombination aus juristischer Autorität und Führungsauftrag erhöht den psychologischen Druck erheblich.

Warum CEO Fraud so oft funktioniert: Die psychologischen Mechanismen

CEO Fraud ist deshalb so wirkungsvoll, weil er gezielt auf die Dynamik von Hierarchien und Vertrauen in Organisationen setzt. Mitarbeiter werden dazu sozialisiert, Anweisungen von Führungskräften zu folgen – insbesondere wenn diese dringlich und vertraulich sind. Der explizite Hinweis, die normalen Genehmigungsprozesse auszusetzen, wirkt nicht als Warnsignal, sondern als Bestätigung der Besonderheit des Vorgangs.

Hinzu kommt zeitliche Dringlichkeit: Die meisten CEO-Fraud-Angriffe arbeiten mit engen Fristen. Unter Zeitdruck prüfen Menschen weniger gründlich, hinterfragen weniger kritisch und fühlen sich weniger legitimiert, beim Vorgesetzten nachzuhaken. Schließlich isoliert die Vertraulichkeitsanweisung den Mitarbeiter von natürlichen Kontrollmechanismen: Wenn niemand sonst informiert werden soll, fällt der Schutzmechanismus des kollegialen Doppelchecks weg.

Strafrechtliche Einordnung: CEO Fraud als gewerbsmäßiger Betrug

CEO Fraud erfüllt den Betrugstatbestand nach § 263 StGB. Wenn der Angriff über kompromittierte E-Mail-Systeme oder manipulierte Buchungssoftware erfolgt, kann zusätzlich Computerbetrug nach § 263a StGB vorliegen. Täter täuschen durch gefälschte Identitäten über Tatsachen, erzeugen beim Mitarbeiter einen Irrtum über die Echtheit der Anweisung und veranlassen ihn zur Überweisung. In seiner typischen Ausprägung ist CEO Fraud als gewerbsmäßiger Betrug einzuordnen, weil Täter die Masche regelmäßig und arbeitsteilig betreiben. Wenn mehrere Personen für Recherche, Angriff und Geldwäsche zuständig sind, kommt zusätzlich bandenmäßiger Betrug in Betracht.

Für die strafrechtliche Verfolgung ist eine sofortige Strafanzeige entscheidend, weil nur über staatliche Ermittlungsbehörden Auskunftsersuchen an ausländische Banken gestellt werden können. CEO-Fraud-Gelder fließen häufig über mehrere Länder und werden über Money Mules weitergeleitet. Je früher Ermittlungen beginnen, desto größer ist die Chance, Gelder noch zu sperren.

Zivilrechtliche Haftung: Mitarbeiter, Bank und Täter

Haftung des ausführenden Mitarbeiters – Grundsatz ist die Arbeitnehmerhaftungsprivilegierung: Mitarbeiter haften gegenüber ihrem Arbeitgeber nur bei Vorsatz oder grober Fahrlässigkeit vollumfänglich. Bei leichter Fahrlässigkeit ist die Haftung reduziert oder entfällt. Ob ein Mitarbeiter, der einer täuschend echt wirkenden Chef-E-Mail gefolgt ist, grob fahrlässig handelte, hängt davon ab, ob die Warnsignale erkennbar waren und ob das Unternehmen Schulungen und Kontrollprozesse implementiert hatte.

Haftung der ausführenden Bank – Wenn die Bank eine auffällige Transaktion – erstmalige Auslandsüberweisung in unbekannter Höhe an eine unbekannte Empfängerbank – ohne Rückfrage ausgeführt hat, kann eine Verletzung der Transaktionsüberwachungspflicht vorliegen. Zusätzlich kommt eine Haftung in Betracht, wenn die Zahlung nicht durch einen dazu befugten Vertreter des Unternehmens wirksam autorisiert wurde. Parallelen zur Erstattungspflicht nach § 675u BGB bei nicht autorisierten Zahlungsvorgängen können sich in Einzelfällen ergeben, wenn die Zahlung ohne wirksame Autorisierung des Kontoinhabers ausgeführt wurde.

Gegen identifizierte Täter und Money Mules bestehen zivilrechtliche Schadensersatzansprüche nach § 823 Abs. 2 BGB in Verbindung mit den verletzten Strafgesetzen sowie nach § 826 BGB wegen vorsätzlicher sittenwidriger Schädigung. Die parallele Inanspruchnahme der ausführenden Bank wegen Transaktionsüberwachungsversagens ist in vielen Fällen wirtschaftlich erfolgversprechender, weil die Bank als inländischer Schuldner greifbarer ist als ausländische Täterstrukturen.

Darüber gibt es einen Aspekt, den viele Geschädigte übersehen: Die geldwäscherechtliche Verdachtsmeldepflicht der Banken nach dem Geldwäschegesetz. Wenn eine Bank eine auffällige Transaktion – etwa eine erstmalige Auslandsüberweisung in sechsstelliger Höhe – nicht als verdächtig meldet, kann darin ein eigenständiger Sorgfaltspflichtverstoß liegen. Dieser Aspekt eröffnet in manchen Fällen zusätzliche Haftungsansätze gegen die ausführende Bank.

Sofortmaßnahmen nach einem CEO-Fraud-Angriff

Wer erkennt, dass eine Zahlung auf eine betrügerische Anweisung hin ausgeführt wurde, muss sofort handeln. Jede Minute zählt.

Der erste Schritt ist der sofortige Anruf bei der eigenen Bank, um einen Transaktionsstopp oder Rückruf einzuleiten. Die Bank muss telefonisch kontaktiert werden – nicht per E-Mail, da unbekannt ist, ob der Unternehmens-E-Mail-Account noch kompromittiert ist. Gleichzeitig sollte die Empfängerbank – identifizierbar über den SWIFT-Code im Zahlungsbeleg – direkt kontaktiert und um Sperrung der Auszahlung gebeten werden.

Ausführliche Informationen zu Rückholverfahren und Fristen finden Sie in unserem Beitrag zu Überweisungen zurückfordern.

Sofortige Strafanzeige bei der Polizei oder dem für Wirtschaftskriminalität zuständigen Landeskriminalamt. Das Aktenzeichen ist für Bankkorrespondenz, Versicherungsanspruch und anwaltliche Schritte erforderlich. Alle Kommunikation im Zusammenhang mit dem Betrug – gefälschte E-Mail mit Header-Informationen, interne Kommunikation, Zahlungsbelege – muss vollständig gesichert werden.

Prävention: Die vier wirksamsten Schutzmaßnahmen

CEO Fraud lässt sich durch konsequente organisatorische Maßnahmen weitgehend verhindern. Die folgenden vier Ansätze adressieren die Kernmechanismen des Angriffs direkt.

Vier-Augen-Prinzip für Zahlungen über Schwellenwerten – Jede Zahlung, die einen definierten Betrag überschreitet, muss von mindestens zwei Personen freigegeben werden – unabhängig davon, wer die Anweisung gegeben hat. Dieses Prinzip neutralisiert CEO Fraud vollständig: Ein Täter, der nur eine Person kontaktiert, kann die zweite Freigabe nicht liefern.

Telefonische Rückrufpflicht bei neuen Zahlungsempfängern – Jede Änderung von Bankverbindungen und jede erstmalige Zahlung an neue Empfänger muss telefonisch über eine vorher gespeicherte und verifizierte Nummer bestätigt werden – niemals über eine Nummer aus der Anfrage-E-Mail. Dieser Schritt macht Invoice Fraud nahezu unmöglich.

Mitarbeiterschulung und simulierte Angriffe – Mitarbeiter müssen regelmäßig auf die Merkmale von CEO-Fraud-Angriffen hingewiesen werden: Dringlichkeit, Vertraulichkeit, Aufforderung zur Umgehung normaler Prozesse. Simulierte Angriffe – ähnlich wie Phishing-Simulationen – sind besonders effektiv, weil sie das Erkennen unter realitätsnahem Druck üben.

E-Mail-Authentifizierung (DMARC, DKIM, SPF) – Diese Protokolle verhindern, dass externe Täter E-Mails mit der echten Unternehmensdomäne als Absender versenden können. Unternehmen, die DMARC korrekt implementiert haben, sind gegen Domain-Fälschung weitgehend geschützt. Die Implementierung ist verhältnismäßig einfach und kostet deutlich weniger als ein einziger erfolgreicher Betrugsangriff.

Cyber-Versicherung: Was Policen bei CEO Fraud abdecken

Viele Unternehmen verfügen über Cyber-Versicherungen, die auch CEO-Fraud-Schäden abdecken können. Die genaue Deckung hängt von den Versicherungsbedingungen ab: Manche Policen decken Social-Engineering-Schäden explizit ab, andere schließen sie aus oder unterwerfen sie besonderen Voraussetzungen wie einem Mindestmaß an Präventionsmaßnahmen.

Wenn eine Versicherungsdeckung besteht, muss der Schaden unverzüglich gemeldet werden. Versicherungen können die Leistung verweigern, wenn Meldepflichten verletzt wurden oder wenn das Unternehmen zumutbare Präventionsmaßnahmen nicht implementiert hatte. Die anwaltliche Prüfung der Police unmittelbar nach dem Schadensfall ist deshalb wichtig.

Einen allgemeinen Überblick über Bankenhaftung bei nicht autorisierten Zahlungen bietet unser Beitrag zu Online-Banking-Betrug sowie unser Beitrag zu Internetbetrug und Bankenhaftung sowie unser Beitrag zum Anwalt für Finanzbetrug.

Wann lohnt sich anwaltliche Beratung nach CEO Fraud?

Anwaltliche Beratung lohnt sich ab sofort – parallel zu den ersten operativen Schritten, nicht erst danach. Ein Anwalt für Bank- und Kapitalmarktrecht koordiniert gleichzeitig Rückrufversuche bei der eigenen Bank und der Empfängerbank, SWIFT-Sperranfragen, Strafanzeige mit vollständiger Beweismittelsicherung, Prüfung der Bankenhaftung wegen Transaktionsüberwachungsversagens und Prüfung der Versicherungspolice auf Deckung.

Schadensersatzansprüche unterliegen der regelmäßigen Verjährungsfrist von drei Jahren, die kenntnisabhängig nach § 199 BGB beginnt. Je schneller anwaltliche Unterstützung einsetzt, desto größer ist die Chance, Gelder noch zu sperren, bevor sie über mehrere Länder und Konten weitergeleitet wurden. CEO-Fraud-Täter bewegen Gelder schnell – innerhalb von Stunden können sie über Zwischenkonten in Nicht-EU-Ländern verschwunden sein.

Fazit: CEO Fraud – Prävention und sofortige Reaktion entscheiden

CEO Fraud greift nicht technische Systeme an, sondern menschliche Hierarchie- und Vertrauensmuster. Genau deshalb ist Prävention so wichtig und so gut möglich: Vier-Augen-Prinzip, Rückrufpflicht, Mitarbeiterschulung und E-Mail-Authentifizierung reduzieren das Risiko erheblich. Wer diese Maßnahmen implementiert hat, macht es Tätern strukturell schwer.

Wenn ein Angriff trotzdem erfolgreich war, zählen die ersten Stunden. Die Rückholchancen sinken mit jeder Stunde, die vergeht, ohne dass ein Transaktionsstopp initiiert wurde. Rechtliche Unterstützung sollte parallel zu den ersten operativen Schritten eingeholt werden.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu CEO Fraud