// CEO Fraud · Business Email Compromise

CEO Fraud in Österreich: Wie Kriminelle Ihren Namen missbrauchen

KPMG Austria: Deepfake-gestützte Angriffe auf Unternehmen stiegen 2024 um 119 %. Das FBI beziffert weltweite BEC-Schäden auf 26 Milliarden Dollar. Und die meisten Opfer dachten, sie hätten gute Prozesse.

Inhalt: Was ist CEO Fraud? So läuft ein Angriff ab Warum KMU besonders gefährdet sind Zahlen & Fakten 5 konkrete Schutzmaßnahmen Checkliste für Ihr Unternehmen FAQ

Was ist CEO Fraud – und warum trifft es auch KMU?

CEO Fraud – in Fachkreisen auch Business Email Compromise (BEC) genannt – ist kein einfacher Spam-Angriff. Es handelt sich um einen gezielten, oft wochen- oder monatelang vorbereiteten Betrugsversuch, bei dem Kriminelle die Identität einer Führungskraft oder eines vertrauenswürdigen Partners vortäuschen.

Das Ziel ist simpel: Ein Mitarbeiter – oft in der Buchhaltung, im Einkauf oder im Assistenzbereich – soll dazu gebracht werden, eine Überweisung durchzuführen, Zugangsdaten preiszugeben oder sensible Dokumente weiterzuleiten. Die E-Mail kommt scheinbar vom Chef, vom CFO oder vom Anwalt. Der Ton ist vertraut. Die Dringlichkeit ist hoch. Die Bitte erscheint plausibel.

Was viele Unternehmen nicht wissen: CEO Fraud benötigt keine technische Schwachstelle in Ihrer IT. Es genügt, dass ein Mitarbeiter die E-Mail für echt hält und handelt. Deshalb versagen auch die besten Firewalls und Virenscanner gegen diese Angriffe – der Faktor Mensch ist das eigentliche Angriffsziel.

Wichtig: Bei CEO Fraud muss kein System „gehackt" werden. Die Schwachstelle ist das Vertrauen – und das lässt sich nur durch Training und klare Prozesse schließen.

So läuft ein CEO-Fraud-Angriff Schritt für Schritt ab

Ein erfolgreicher BEC-Angriff folgt einem klaren Muster. Wer es kennt, kann es erkennen – und unterbrechen.

01

Reconnaissance – Recherche im Hintergrund

Der Angreifer sammelt über LinkedIn, die Unternehmenswebsite, XING, Handelsregisterauszüge und soziale Medien alle relevanten Informationen: Wer ist Geschäftsführer? Wer macht die Buchhaltung? Gibt es laufende Projekte, Übernahmen, Lieferantenbeziehungen? Welche Unterschriften oder Formulierungen sind öffentlich zugänglich? Diese Phase dauert Tage bis Wochen.

02

Domain Spoofing – Die gefälschte Absenderadresse

Jetzt richtet der Angreifer eine täuschend ähnliche E-Mail-Adresse ein: ceo@ihr-unternehmen-gmbh.at statt ceo@ihr-unternehmen.at, oder er nutzt eine Domain ohne DMARC-Schutz und sendet direkt als Ihre Adresse. Ohne korrekte DMARC-Konfiguration ist Letzteres in wenigen Minuten möglich – der Empfänger sieht Ihre echte E-Mail-Adresse als Absender.

03

Urgency & Pretext – Dringlichkeit und Vorwand

Die E-Mail kommt oft außerhalb der Bürozeiten oder wenn die Führungskraft bekanntermaßen auf Reisen ist. Der Vorwand ist immer plausibel: eine vertrauliche Übernahme, eine dringende Lieferantenzahlung, eine regulatorische Frist. Der Mitarbeiter soll schnell handeln und den normalen Genehmigungsweg umgehen – „das muss heute noch raus".

04

Die Überweisung – oder der Datenverlust

In 60 % der Fälle endet der Angriff mit einer Banküberweisung auf ein ausländisches Konto. In weiteren Fällen werden Zugangsdaten, Personalakten, Steuerdokumente oder Vertragsunterlagen abgegriffen. Das Geld ist in der Regel innerhalb von 24 Stunden weitertransferiert – eine Rückbuchung ist fast nie möglich.

Deepfake-Eskalation: Seit 2023 setzen professionelle Angreifer zunehmend KI-generierte Sprachanrufe oder Videokonferenzen ein, bei denen die Stimme oder das Gesicht der Führungskraft imitiert wird. KPMG Austria dokumentierte 2024 einen Anstieg solcher Deepfake-gestützten Angriffe um 119 % – auch gegen österreichische Unternehmen.

Warum österreichische KMU besonders gefährdet sind

Großkonzerne haben dedizierte Security-Teams, strenge Zahlungsrichtlinien mit Dual-Control-Prinzip und automatisierte Anomalieerkennung. KMU haben das in der Regel nicht – und genau das machen Angreifer gezielt zur Schwachstelle.

  • Flache Hierarchien: In kleinen Teams ist es normal, dass der Chef direkt einen Mitarbeiter anschreibt und eine sofortige Erledigung erwartet. Dieses Vertrauen wird ausgenutzt.
  • Keine dedizierten Security-Prozesse: Es gibt selten eine schriftliche Richtlinie, die besagt: „Überweisungen über X Euro brauchen immer eine telefonische Bestätigung."
  • Zeitdruck im Alltag: Mitarbeiter in KMU jonglieren viele Aufgaben gleichzeitig. Kritisches Nachfragen bei dringenden Chef-Anfragen fühlt sich unangemessen an.
  • Öffentliche Informationslage: Viele österreichische KMU-Inhaber sind auf LinkedIn, in Branchenverzeichnissen oder auf der eigenen Website mit vollem Namen und Rolle sichtbar – eine Goldmine für Angreifer.
  • Fehlende technische Schutzmaßnahmen: Laut einer Studie von EY haben weniger als 40 % der österreichischen KMU eine vollständige DMARC-Konfiguration aktiv – was Domain-Spoofing erst ermöglicht.

Zahlen, die Sie kennen sollten

CEO Fraud und BEC sind keine Randphänomene. Die Datenlage ist eindeutig – und erschreckend.

Quelle Kerndaten
FBI Internet Crime Report 2023 BEC verursachte 2,9 Mrd. USD Schaden allein in den USA; weltweit geschätzte 26 Mrd. USD
KPMG Austria 2024 Deepfake-gestützte Angriffe auf österreichische Unternehmen +119 % gegenüber 2023
Bitkom Wirtschaftsschutz 2024 72 % der deutschen Unternehmen wurden Opfer von Cybercrime; Social Engineering häufigste Einstiegsmethode
Hiscox Cyber Readiness 2024 Ø Schaden pro Cyberangriff für KMU: 26.200 EUR
Verizon DBIR 2024 68 % aller Sicherheitsvorfälle involvieren einen menschlichen Faktor (Social Engineering, Phishing, Fehler)

Quellen: FBI IC3 2023, KPMG Austria 2024, Bitkom 2024, Hiscox 2024, Verizon DBIR 2024

Besonders alarmierend: Die durchschnittliche Zeit zwischen dem Angriff und der Entdeckung beträgt laut IBM X-Force Intelligence noch immer über 200 Tage. Das Geld ist dann längst weg.

5 konkrete Schutzmaßnahmen für Ihr Unternehmen

1. DMARC korrekt konfigurieren

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist die technische Grundlage gegen Domain-Spoofing. Wenn Ihre Domain mit p=reject konfiguriert ist, können Angreifer keine E-Mails mehr unter Ihrer echten Adresse versenden – das Mail-Server des Empfängers lehnt sie automatisch ab. Die Einrichtung dauert für einen Experten wenige Stunden und ist die wirkungsvollste Einzelmaßnahme gegen CEO Fraud.

Eine vollständige Schritt-für-Schritt-Anleitung finden Sie in unserem Artikel: DMARC einrichten in Österreich.

2. Zwei-Kanal-Verifikation bei Zahlungen

Führen Sie eine unternehmensweit verbindliche Regel ein: Jede Überweisung über einem definierten Schwellenwert (z.B. 2.000 EUR) oder jede Änderung von Bankverbindungen eines Lieferanten muss telefonisch auf einer bekannten Nummer bestätigt werden. Nicht per Rückruf an die in der E-Mail genannte Nummer – sondern über die im System hinterlegte Nummer. Diese einfache Regel hat schon viele Überfälle verhindert.

3. Phishing-Simulation für Mitarbeiter-Awareness

Technische Maßnahmen allein reichen nicht. Mitarbeiter müssen CEO-Fraud-Muster aus eigener Erfahrung kennen – nicht nur aus einer PowerPoint-Schulung. Eine kontrollierte Phishing-Simulation, die gezielt CEO-Fraud-Szenarien nachstellt, zeigt Ihnen, wer klickt, wer antwortet und wo Trainingsbedarf besteht – ohne echten Schaden. Nach einer Simulation mit anschließendem Training sinkt die Klickrate erfahrungsgemäß um bis zu 80 %.

Mehr dazu: Phishing-Simulation legal durchführen in Österreich.

4. Vier-Augen-Prinzip bei Zahlungsverkehr

Keine Überweisung sollte von einer einzigen Person autorisiert werden können – zumindest nicht ab einem bestimmten Betrag. Das Vier-Augen-Prinzip ist in vielen Buchhaltungssystemen (DATEV, BMD, SAP) bereits technisch umsetzbar. Prüfen Sie, ob es bei Ihnen aktiviert ist.

5. Regelmäßiges Awareness-Training

CEO Fraud entwickelt sich ständig weiter – von einfachen Text-E-Mails zu Deepfake-Anrufen. Ein einmaliges Training reicht nicht. Planen Sie mindestens jährliche Auffrischungen ein, und integrieren Sie aktuelle Angriffsmuster. Besonders wichtig: neue Mitarbeiter sollten im Onboarding-Prozess explizit auf CEO-Fraud-Risiken hingewiesen werden.

Gute Nachricht: All diese Maßnahmen benötigen keine teure Enterprise-Software und keine eigene IT-Abteilung. Ein strukturierter Ansatz von einem externen Experten reicht für KMU vollkommen aus – und zahlt sich bereits beim ersten verhinderten Angriff vielfach aus.

CEO-Fraud-Schutz-Checkliste für KMU

Prüfen Sie, wo Ihr Unternehmen heute steht. Je mehr Punkte Sie abhaken können, desto besser sind Sie geschützt:

  • DMARC mit p=reject ist für alle Unternehmensdomains konfiguriert
  • SPF und DKIM sind korrekt eingerichtet und funktionieren nachweislich
  • Schriftliche Zahlungsrichtlinie mit klaren Freigabegrenzen und Rückfragepflicht existiert
  • Zwei-Kanal-Verifikation bei Überweisungen über dem Schwellenwert ist verbindlich geregelt
  • Vier-Augen-Prinzip ist im Buchhaltungssystem technisch erzwungen
  • Phishing-Simulation wurde mindestens einmal durchgeführt – mit Auswertung und Nachschulung
  • Awareness-Training findet mindestens einmal jährlich statt und schließt CEO-Fraud-Szenarien ein
  • Notfallkontakt und Meldeprozess für verdächtige E-Mails ist allen Mitarbeitern bekannt
Wenn Sie weniger als 5 Punkte abhaken können: Ihr Unternehmen ist heute ein attraktives Angriffsziel. Die gute Nachricht: Die meisten dieser Maßnahmen können innerhalb weniger Wochen umgesetzt werden – ohne großen Aufwand und zu kalkulierbaren Kosten.

Häufige Fragen zu CEO Fraud

Was ist CEO Fraud und wie funktioniert es?

CEO Fraud (Business Email Compromise) ist ein gezielter Angriff, bei dem Kriminelle die Identität einer Führungskraft vortäuschen – per E-Mail oder Telefon – um Mitarbeiter zu Überweisungen oder Datenweitergabe zu veranlassen. Der Angreifer recherchiert vorher Unternehmensstruktur, Mitarbeiternamen und laufende Projekte, um authentisch zu wirken.

Wie erkenne ich eine CEO-Fraud-E-Mail?

Typische Merkmale: ungewöhnliche Dringlichkeit, Bitte um geheime Überweisung, Aufforderung den normalen Genehmigungsweg zu umgehen, leicht abweichende Absenderadresse (z.B. chef@unternehmen-gmbh.com statt chef@unternehmen.at), Kontaktaufnahme außerhalb der Geschäftszeiten. Auch Anfragen über WhatsApp oder Signal mit angeblichem Chef-Bezug sind ein Warnsignal.

Was kostet CEO Fraud österreichische Unternehmen im Schnitt?

Laut FBI Internet Crime Report verursachte Business Email Compromise 2023 weltweit Schäden von über 2,9 Milliarden US-Dollar allein in den USA. Der durchschnittliche Schaden pro Vorfall liegt bei KMU zwischen 50.000 und 250.000 Euro – hinzu kommen Reputationsschäden und mögliche DSGVO-Strafen bei Datenverlust.

Hilft eine Phishing-Simulation gegen CEO Fraud?

Ja – eine spezialisierte CEO-Fraud-Simulation trainiert Mitarbeiter gezielt darin, gefälschte Führungskräfte-E-Mails zu erkennen. Studien (SoSafe 2024) zeigen, dass die Klickrate auf Social-Engineering-Angriffe nach einer Simulation mit anschließendem Training um bis zu 80 % sinkt. Die Simulation sollte realistische Szenarien abbilden – nicht nur generische Spam-Nachrichten.

Wissen Ihre Mitarbeiter, wie ein CEO-Fraud-Angriff aussieht? Finden Sie es heraus – bevor ein Angreifer es tut. Eine kontrollierte Phishing-Simulation zeigt Ihnen in konkreten Zahlen, wo Ihr Risiko liegt.

Kostenloses Erstgespräch buchen →