CEO-Fraud (Fake-President-Trick)
CEO-Fraud (Fake-President-Trick)
CEO-Fraud (Fake-President-Trick) ist eine Spielart des Social Engineering, bei der Täter sich als Geschäftsführer oder Vorstand ausgeben und unter Druck eine vertrauliche Eilüberweisung anordnen. Der bekannteste DACH-Fall traf 2016 den Nürnberger Autozulieferer Leoni mit rund 40 Mio EUR Schaden, im Mittelstand liegen typische Einzelforderungen zwischen 50.000 und 500.000 EUR.
Detaillierte Erklärung
Beim Fake-President-Trick recherchieren die Angreifer zunächst Hierarchie, Reisetermine und Tonalität der Geschäftsführung über LinkedIn, Handelsregister und veröffentlichte Geschäftsberichte. Anschließend kontaktieren sie eine berechtigte Person in der Buchhaltung oder im strategischen Einkauf, meist freitags am späten Nachmittag, mit der Aufforderung, eine streng vertrauliche Akquisitionszahlung zu leisten. Das Bundeskriminalamt zählt CEO-Fraud zu den Cybertrade-Delikten und ordnet es §263 StGB (Betrug) sowie bei Datenmanipulation §263a StGB zu. Die Banken haben nach SEPA-Regelwerk und §675y BGB nur ein enges Zeitfenster von zwei bis drei Werktagen, in dem ein Rückruf einer Auslandsüberweisung realistisch ist; danach ist das Geld in der Regel über Korrespondenzbanken in Hongkong, Dubai oder Litauen weitergeleitet. Cyber-Versicherer wie Allianz, Munich Re und HDI führen CEO-Fraud seit 2018 als eigenen Schadentatbestand und setzen Selbstbehalte von 10.000 bis 50.000 EUR an.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Industriedienstleister mit 620 Mitarbeitern erhält am Donnerstag um 17:42 Uhr eine Mail vom CFO an die Leiterin Treasury. Die Mail trägt korrekte Signatur und verweist auf eine angebliche M&A-Transaktion in Singapur, für die kurzfristig 312.000 EUR an einen Treuhänder gehen sollen. Die Sachbearbeiterin folgt der internen Richtlinie aus 2023, die Zahlungen über 100.000 EUR generell nur nach persönlicher Rückfrage über die im Active Directory hinterlegte Mobilnummer freigibt. Der CFO bestätigt am Telefon, dass er weder eine M&A-Transaktion noch die Mail kennt. Die Mail wird forensisch gesichert, bei der Zentralen Ansprechstelle Cybercrime der Polizei Bayern angezeigt und im internen Compliance-Register dokumentiert.
Typische Fehler & Verhandlungskontext
Der häufigste Fehler ist eine starre Eskalationskette ohne Out-of-Band-Verifikation; sobald Angreifer die internen Mail-Verteiler kennen, simulieren sie ganze Antwortketten. Ebenso problematisch ist eine Compliance-Kultur, in der Mitarbeitende lieber zahlen als Rückfragen beim Vorstand stellen, weil Fehler stärker sanktioniert werden als Mut zur Prüfung; dieses Tone-at-the-Top-Defizit war im Leoni-Fall eine Hauptursache. In Lieferantenverhandlungen sollte vereinbart sein, dass Eilüberweisungen außerhalb des EDI- oder Portalprozesses grundsätzlich nicht akzeptiert werden, weder eingehend noch ausgehend. Aus Versicherungssicht greift die Vertrauensschadenversicherung typischerweise nur, wenn der Vier-Augen-Grundsatz dokumentiert eingehalten wurde; Leoni erhielt 2016 lediglich 5 Mio EUR von 40 Mio EUR Schaden zurück, weil interne Kontrollen umgangen worden waren.
Verwandte Begriffe
[[bec-business-email-compromise]], [[phishing-beschaffung]], [[lieferantenscam]], [[cyber-security-einkauf]], [[compliance-officer-einkauf]], [[internal-audit-einkauf]], [[iso-37301-compliance]], [[tone-at-the-top]], [[forensik-einkauf]], [[audit-trail-einkauf]], [[whistleblower-schutz]], [[antitrust-compliance]], [[tax-compliance-einkauf]], [[datenschutzaudit]]