Das einfache Muster hinter spektakulären Verlusten
CEO-Fraud oder Business Email Compromise (BEC) ist heute die teuerste E-Mail-Kriminalität überhaupt. Kein Trojaner, kein Hack im klassischen Sinn - nur ein gut getimter, gut formulierter Anruf zur Handlung. In den USA und Europa zusammen geht es um Milliarden pro Jahr.
Das Skript ist immer ähnlich:
- Die Angreifer recherchieren öffentlich (LinkedIn, Pressemitteilungen, Website).
- Sie identifizieren eine Person mit Zahlungsbefugnis - oft in der Buchhaltung.
- Sie schreiben als CEO, CFO oder Geschäftspartner mit einer dringenden, vertraulichen Überweisungsbitte.
- Sie drängen auf Geschwindigkeit, Diskretion und Abweichung vom üblichen Prozess.
Druck + Geheimhaltung = Alarm
'Dringend, bitte vertraulich behandeln' ist die Signatur von BEC. Echte Aufträge halten Prozesse ein.
Antwort-Adresse prüfen
Antworten landen oft bei `vorname.nachname@firma-ch.com` statt `firma.ch`. Ein Buchstabe Unterschied.
Vier-Augen-Prinzip bei Eile
Genau dann, wenn es schnell gehen soll, gilt die Regel: zweite Person fragen. Per Telefon, nicht per E-Mail.
Die drei häufigsten BEC-Varianten
1. CEO-Spoofing Eine E-Mail im Stil des CEOs an die Buchhaltung: „Ich bin in einem Meeting, brauche eine schnelle Überweisung für eine Akquisition. Vertraulich. Sende mir die IBAN, dann gebe ich Details." Das Konto ist im Ausland, das Geld in Minuten weg.
2. Lieferanten-Übernahme Ein echter Lieferant wird gehackt. Die Angreifer warten auf eine echte Rechnung, ändern die IBAN, leiten weiter. Sie zahlen pünktlich - an die Angreifer. Erkennbar oft erst Wochen später bei der Mahnung.
3. Anwalt / M&A-Szenario „Ich vertrete im Auftrag eine Kanzlei. Vertraulicher Deal. Wir benötigen schnell 250'000." Spielt auf die natürliche Diskretion bei juristischen Angelegenheiten an.
Echter Fall - Schweizer Mittelständler 2024
CFO erhält Freitag 16:30 eine Mail vom „CEO" (Anzeigename korrekt, Antwortadresse ähnlich): „Bin im Flug Richtung Singapur. Akquisition braucht heute noch 287'500 EUR Anzahlung auf folgende IBAN. Bitte selbst freigeben, ich erkläre Montag." CFO weiß: Compliance verlangt zwei Unterschriften. Ruft den CEO an - der hebt verwundert ab und sitzt am Schreibtisch. Schaden: null.
In der Nachbarsfirma genau der gleiche Versuch eine Woche zuvor - dort wurde überwiesen. Schaden: 287'500 EUR.
Die fünf Anker, die jeden BEC entlarven
- Zeitdruck: „Innerhalb einer Stunde", „bevor das Meeting endet" - legitime Geschäftsabläufe geben Zeit.
- Geheimhaltung: „Erzähle es niemandem im Team" - das ist der Klassiker. Echte CEOs ziehen das Team mit ein.
- Abweichung vom Standardprozess: „Direkt überweisen, ohne SAP" - genau diese Abweichung ist das Ziel der Angreifer.
- Andere Zahlungsdaten: Die IBAN ist neu, oft in einem anderen Land. Legitime Lieferanten kündigen Kontowechsel im Voraus an.
- Antwort-Adresse weicht ab: Display-Name stimmt, aber die echte E-Mail-Adresse hat einen Buchstaben Unterschied oder ein anderes TLD.
Der eine Reflex, der schützt
Bei jeder ungewöhnlichen Zahlungsaufforderung: zweiter Kanal, andere Person.
Das heißt konkret:
- Rufen Sie den vermeintlichen Absender unter einer bekannten Telefonnummer an. Nicht der Nummer aus der E-Mail.
- Bei Lieferanten-IBAN-Wechsel: Telefon-Rückbestätigung mit der Buchhaltung des Lieferanten.
- Bei Eile: Lieber 30 Minuten warten als 300'000 Euro verlieren.
Was Ihr Unternehmen tun kann
- Vier-Augen-Prinzip ab einer Schwelle (z.B. CHF 10'000) - immer, auch wenn der CEO drängt.
- Stammdaten-Änderungen bei Lieferanten nur nach telefonischer Rückbestätigung.
- Phishing-Tests mit BEC-Szenarien, nicht nur klassisches Mail-Phishing.
Wenn Sie unsicher sind: Es ist nie peinlich, eine Anweisung zu hinterfragen. Es ist peinlich, sie blind zu befolgen.