Zurück zum Blog
Alexander Tampier

Alexander Tampier

28. Mai 2026 · 13 Min. Lesezeit

CEO-Fraud: So schützen sich österreichische KMU

CEO-Fraud-Fälle stiegen in der Schweiz 2025 um 35 %, Einzelschäden gehen in die Millionen. Wie sich österreichische KMU mit Vier-Augen-Prinzip schützen.

CEO-Fraud ist Betrug mit gefälschter Autorität welches auch unter dem englischen Begriff Business Email Compromise (BEC) bekannt ist. Täter geben sich als Geschäftsführung oder vertrauter Geschäftspartner aus und drängen Mitarbeitende zu Überweisungen oder zur Preisgabe sensibler Daten. Für österreichische KMU ist das besonders gefährlich, weil Buchhaltung, Assistenz und Geschäftsführung oft eng, schnell und vertrauensbasiert zusammenarbeiten.

CEO-Fraud ist nicht die häufigste Betrugsform. Aber ein erfolgreicher Angriff kann weitaus größere Schäden verursachen, die unter Umständen existenzbedrohend werden. In der Schweiz stieg die Zahl gemeldeter CEO-Betrugsfälle laut Bundesamt für Cybersicherheit (BACS) von 719 im Jahr 2024 auf 971 im Jahr 2025 (BACS, 2026) – ein Steigerung von 35 Prozent in nur einem Jahr.

Geschäftsführung und Buchhaltung prüfen eine verdächtige Zahlungsanfrage bei CEO-Fraud

Das Wichtigste in Kürze

  • CEO-Fraud (auch Business Email Compromise, kurz BEC) nutzt Hierarchie, Zeitdruck und Vertraulichkeit.
  • Gemeldete CEO-Betrugsfälle in der Schweiz stiegen 2024 → 2025 von 719 auf 971 Fälle (BACS, 2026).
  • Schutz entsteht auf der Prozessebene durch das Vier-Augen-Prinzip.
  • Bei Verdacht zählen Minuten: Bank, Polizei, IT und Geschäftsführung informieren.

Was ist CEO-Fraud?

CEO-Fraud ist eine Form des Identitäts- und Zahlungsbetrugs. Angreifer täuschen eine entscheidungsbefugte Person vor (meist die Geschäftsführung). Dabei versuchen die Angreufer Mitarbeitende zu einer schädigenden Handlung zu zwingen. Das österreichische Bundeskriminalamt (BKA) beschreibt BEC als manipulierte geschäftliche E-Mail-Kommunikation, die Mitarbeitende zu Geldtransfers oder zur Übermittlung sensibler Daten bewegen soll (BMI Cybercrime Report, 2024).

Charakteristisch für den CEO-Fraud ist die Nutzung von gefälschten Absenderadressen, die von den originalen E-Mail-Adressen der Geschäftsführung visuell kaum zu unterscheiden sind (z. B. vorname.nachname@unternehmem.com statt ...@unternehmen.com.

Durch den Mix unterschiedlicher Kanäle wie Anrufe, E-Mail oder SMS-Nachrichten im Namen des vermeintlichen Vorgesetzten bauen Angreifer gezielt Vertrauen auf und erzeugen gleichzeitig Druck.

Der Betrug funktioniert, weil Nachrichten auf den ersten Blick vertrauenswürdig wirken. Eine Buchhalterin erhält zum Beispiel eine angebliche E-Mail des Geschäftsführers: „Bitte heute noch 48.000 Euro anweisen. Übernahmeprojekt. Streng vertraulich.“ Der Ton ist knapp, der Absender wirkt bekannt, der Zeitdruck ist hoch. Welcher Mitarbeitende will in so einem Moment die Geschäftsführung aufhalten?

Zusammengefasst: CEO-Fraud ist die Imitation einer Autoritätsperson, meist der Geschäftsführung, mit dem Ziel, eine Zahlung auszulösen oder sensible Daten abzugreifen. Im englischsprachigen Raum wird von Business Email Compromise (BEC) gesprochen.

Wie gehen Täter bei CEO-Fraud typischerweise vor?

CEO-Fraud ist meist kein spontaner Angriff, sondern wird systematisch vorbereitet. Ähnlich wie beim Spear-Phishing sammeln Täter vorab gezielt Informationen über Unternehmen und einzelne Mitarbeitende. Das deutsche Bundeskriminalamt warnt, dass Angreifer dafür unter anderem Websites, Handelsregister, Geschäftsberichte, Werbematerial und soziale Medien auswerten, bevor sie die relevante Zielperson kontaktieren (BKA Deutschland).

Im ersten Schritt sammeln sie Informationen über das Ziel: Namen, Rollen, Vertretungsregeln, E-Mail-Muster und Abwesenheiten. Das Firmenbuch, LinkedIn, Presseaussendungen und Teamseiten liefern oft genug Hinweise. Besonders wertvoll sind Informationen zu Geschäftsführung, Buchhaltung, Prokura und aktuellen Projekten.

Danach folgt der Druckaufbau. Per Mail, Anruf oder SMS wird ein Vorgang konstruiert, der keinen Aufschub duldet – eine überfällige Lieferantenzahlung, eine vertrauliche Akquisition, eine drohende Vertragsstrafe. Die typische Kombination aus Dringlichkeit, Autorität und Geheimhaltungsbitte („Bitte niemanden einbinden, der Deal ist vertraulich") soll genau verhindern, dass die Zielperson Rücksprachen hält.

Im Fall einer Überweisung landet das Geld oft auf einem ausländischen Konto und wird innerhalb weniger Stunden weitergeleitet. Wer den Betrug erst am nächsten Tag bemerkt, bekommt das Geld in der Regel nicht mehr zurück.

Typischer CEO-Fraud-Ablauf Recherche Firma & Rollen Kontakt Fake-CEO-Mail Druck Frist Überweisung Freigabe Abfluss Zielkonto Quelle: Warnhinweise des deutschen Bundeskriminalamts (BKA).
Typischer CEO-Fraud-Ablauf nach Warnhinweisen des deutschen BKA.

Welche Schadenshöhen entstehen in Österreich und DACH?

Einzelne Fälle zeigen, welche Schadenssummen durch CEO-Fraud entstehen können. Ein bekanntes Beispiel ist der oberösterreichische Luftfahrtzulieferer FACC: Laut Bank Austria entstand dort ein Schaden von rund 50 Millionen Euro (Bank Austria), indem sich die Täter:innen als Direktoren internationaler Firmen ausgaben um eine Geldüberweisung zu veranlassen. Bei einem weiteren Fall in den Niederlanden gaben sich die Angreifer als Geschäftsführer und Rechtsanwalt der alleinigen Gesellschafterin aus. Dabei kamen unter anderem Deepfake-Videos sowie gefälschte Dokumente und Sitzungsprotokolle zum Einsatz. Insgesamt entstand ein Schaden von 8,7 Millionen Euro wovon kurz darauf 1,5 Millionen Euro in Österreich sichergestellt werden konnten (Die Presse, 2025).

Die Entwicklung in der Schweiz zeigt, wie stark CEO-Fraud zunimmt: Beim Bundesamt für Cybersicherheit (BACS) gingen allein im ersten Halbjahr 2025 bereits 605 Meldungen zu CEO-Betrugsversuchen ein – nahezu so viele wie im gesamten Jahr 2024 (BACS Halbjahresbericht, 2025).

Gemeldeter CEO-Betrug Schweiz Jahresvergleich 2024 zu 2025 719 2024 971 2025 Quelle: Bundesamt für Cybersicherheit BACS.
Quelle: Bundesamt für Cybersicherheit BACS.

Zusammengefasst: CEO-Fraud kann im Einzelfall enorme Schäden verursachen. Entscheidend sind daher schnelle Reaktion und zuverlässige Kontrollprozesse.

Woran erkennen Sie und Ihr Team einen CEO-Fraud-Versuch?

CEO-Fraud ist erkennbar, wenn Autorität, Zeitdruck, Geheimhaltung und ein ungewöhnlicher Zahlungsweg zusammen auftreten. Die Verantwortung liegt nicht nur bei der Buchhaltung, sondern bei allen Personen mit Zugang zu Zahlungsfreigaben oder sensiblen Daten.

Dabei ist besonders auf Abweichungen vom Normalprozess zu achten. Eine neue IBAN, ein unbekannter Empfänger oder eine ungewöhnliche Summe sind nie Routine. Auch dann nicht, wenn die E-Mail freundlich klingt und seriös formuliert ist.

Typische Warnsignale sind:

  • Formulierungen wie „nur heute möglich“ oder „bitte sofort erledigen“
  • Hinweise wie „streng vertraulich“ oder „niemanden einbinden“
  • neue IBAN, Auslandskonto oder ungewohnter Zahlungsempfänger
  • minimal abweichende Domain oder ungewohnte Antwortadresse
  • ausdrückliche Vermeidung von Rückrufen oder Rückfragen
  • Tonalität, Schreibstil oder Wortwahl weichen vom bekannten Kommunikationsstil ab
Angriffsart im Vergleich Typischer Auslöser Ziel Bester Schutz
CEO-Fraud / BEC Anweisung der angeblichen Geschäftsführung Sofortige Zahlung oder Datenherausgabe Rückrufpflicht und Vier-Augen-Prinzip
Klassisches Phishing Link oder Anhang per Massenmail Zugangsdaten Mehr-Faktor-Authentifizierung und Mitarbeiterschulung
Lieferanten-Rechnungsbetrug geänderte Lieferanten-IBAN Zahlung an Täterkonto Stammdatenänderung getrennt prüfen

Konkrete Erkennungsmuster sowie Beispiele finden Sie im Leitfaden Was ist Spear Phishing? Leitfaden für KMU.

Wie schützen sich KMU wirksam vor CEO-Fraud?

Der wirksamste Schutz gegen Zahlungsbetrug ist ein verbindlicher Zahlungsfreigabeprozess. Das österreichische BKA empfiehlt ausdrücklich, ungewöhnliche Zahlungsaufforderungen über einen zweiten Kanal zu verifizieren – etwa telefonisch über eine bekannte Nummer oder aus dem Stammdatensatz (BMI Cybercrime Report, 2025).

Führen Sie klare Zahlungsgrenzen ein. Ab welchem Betrag braucht es zwei Freigaben? Wann muss die Geschäftsführung bestätigen? Welche Zahlungen dürfen nie allein ausgelöst werden? Diese Regeln müssen auch bei Urlaub und Krankenstand gelten.

Die wichtigste Einzelregel lautet: Jede ungewöhnliche Zahlung wird über eine bekannte Telefonnummer verifiziert. Nicht über die Nummer in der verdächtigen E-Mail. Nicht über die „Antworten" Funktion. Nutzen Sie bereits gespeicherte Kontaktdaten oder Stammdaten aus den Systemen.

Reduzieren Sie Ihre öffentliche Angriffsfläche. Prüfen Sie Teamseiten, direkte E-Mail-Adressen, Abwesenheitsnotizen, Firmenbuchdaten, Social-Media-Beiträge und Pressemitteilungen. Nicht jede interne Rolle muss öffentlich sichtbar sein.

Checkliste für österreichische KMU:

  • Vier-Augen-Prinzip für neue Empfänger und hohe Beträge.
  • Rückrufpflicht bei geänderter IBAN.
  • Keine Ausnahmen wegen „Vertraulichkeit".
  • Vertretungsregeln für Abwesenheiten schriftlich festlegen.
  • Stammdatenänderungen getrennt von Zahlungen prüfen.
  • Sichtbares Bekenntnis der Geschäftsführung: Rückfragen sind erwünscht, nicht störend.
  • Alle Verantwortlichen mit Zugang zu Zahlungen oder kritischen Daten regelmäßig schulen.
  • Verdächtige E-Mails zentral melden.

Bei Verdacht auf CEO-Fraud sollte der Vorfall intern sofort eskaliert und zusätzlich an die Cybercrime-Meldestelle des Bundeskriminalamts gemeldet werden: against-cybercrime@bmi.gv.at.

Ein passender nächster Schritt ist der Leitfaden zu Awareness-Training-Kosten für KMU, um einen Überblick über die Kosten für Awareness-Training zu bekommen.

Was tun, wenn bereits ein Schaden entstanden ist?

Nach einer Überweisung zählt jede Minute. Kontaktieren Sie sofort die Bank und verlangen Sie Zahlungsstopp oder Sperre des Konto. Parallel informieren Sie Geschäftsführung, Buchhaltung, IT und gegebenenfalls Ihre Versicherung.

Erstatten Sie umgehend Anzeige bei der Polizei und informieren Sie die weiteren verantwortlichen Stellen im Unternehmen. Schalten Sie externe Expertinnen und Experten ein, falls intern keine Erfahrung mit Cyber-Vorfällen besteht. Bewahren Sie alle Beweise auf – E-Mails, Headerdaten, Chatverläufe, Telefonnummern und Zahlungsbelege.

Recherchieren Sie anschließend, ob ähnliche Aktivitäten in den letzten Wochen vorgekommen sind. Prüfen Sie, ob weitere Zahlungen vorbereitet wurden, und kontrollieren Sie Postfachregeln, Weiterleitungen und Lieferantenstammdaten. Danach muss der Freigabeprozess angepasst werden.

Eine einfache Notfallkarte mit Telefonnummern gehört in jede Buchhaltung: Bank, Geschäftsführung, IT, Polizei und Versicherung. Diese Vorlage gehört in jeden internen Cyber-Notfallplan.

Häufige Fragen zu CEO-Fraud

Ist CEO-Fraud dasselbe wie Phishing?

Nein. CEO-Fraud kann Phishing-Techniken nutzen, verfolgt aber ein konkretes Ziel: eine Zahlung oder die Herausgabe sensibler Daten. Klassisches Phishing arbeitet mit Massenmails und ist auf Zugangsdaten ausgerichtet. CEO-Fraud ist hochgradig personalisiert und imitiert eine bestimmte Autoritätsperson.

Sind österreichische KMU wirklich betroffen?

Ja. Die zentrale Frage ist nicht ob, sondern wann ein Unternehmen ins Visier gerät. KPMG/KSÖ befragte 1.391 österreichische Unternehmen und stellte fest, dass jeder achte Cyberangriff erfolgreich verläuft (KPMG/KSÖ über onlinesicherheit.gv.at, 2025). Awareness und prozessuale Schutzmaßnahmen sind deshalb essenziell.

Was ist die wichtigste Sofortmaßnahme bei Verdacht?

Stoppen Sie die Zahlung und prüfen Sie über einen zweiten Kanal. Das österreichische BKA empfiehlt bei ungewöhnlichen Zahlungsaufforderungen eine Verifikation, etwa telefonisch (BMI, 2025). Nutzen Sie gespeicherte Kontaktdaten, nie die Angaben aus der verdächtigen Nachricht.

Hilft eine Versicherung gegen CEO-Fraud?

Manche Polizzen decken Social-Engineering-Schäden, andere schließen freiwillig ausgelöste Überweisungen aus. Prüfen Sie die Bedingungen vor dem Vorfall.

Fazit: CEO-Fraud lässt sich organisatorisch stark reduzieren

Auch wenn Österreich keine eigene jährliche CEO-Fraud-Schadenssumme veröffentlicht, zeigen DACH-Fallbeispiele mit Millionenbeträgen und das anhaltende Wachstum gemeldeter Fälle in der Schweiz den Handlungsbedarf. Die gute Nachricht: Viele Kontrollen sind einfach.

Starten Sie mit drei Maßnahmen: Zahlungsgrenzen definieren, Rückrufpflicht einführen und einen realistischen CEO-Fraud-Fall mit Buchhaltung und Geschäftsführung üben. Diese Schritte kosten wenig Zeit. Sie können aber verhindern, dass eine einzige E-Mail echten Schaden verursacht.

ceo-fraudcybersecuritykmusocial-engineeringbuchhaltungbetrugspraevention

Weiterlesen

Artikel

Cyber Security Awareness Training Kosten: KMU-Guide

Cyber Security Awareness Training als Gesamtlösung kostet 30–90 € pro Mitarbeiter/Jahr. ROI-Rechnung, Preisspannen und Budget-Tipps für österreichische KMU.

Felix Marcial

Felix Marcial

21. Mai 2026 · 12 Min. Lesezeit

Artikel

Was ist Spear Phishing? Erkennung und Schutz für KMU

Spear Phishing zielt nicht auf Masse, sondern auf einzelne Personen. Mit 66 Prozent Erfolgsquote (Proofpoint 2026) ist es die wirksamste Phishing-Variante. Wie KMU es erkennen und sich davor schützen.

Christian Orlowski

Christian Orlowski

04. Mai 2026 · 8 Min. Lesezeit