Wie härten Sie Ihre Buchhaltung gegen den „Enkeltrick für Unternehmen“ ab?

Ein Anruf, die Nummer ist unterdrückt. Am anderen Ende die Stimme des CEOs – gestresst, von unterwegs, es geht um eine dringende, vertrauliche Transaktion. Eine Akquisition, die platzen könnte. Die Zahlung muss sofort raus, vorbei an den üblichen Prozessen. Für CFOs und Leiter des Rechnungswesens ist dieses Szenario der ultimative Test für ihre Prozesse und ihre Nerven. Die psychologische Last ist enorm: Der Druck, dem Vorgesetzten zu gehorchen, versus die Einhaltung interner Richtlinien.

Viele Unternehmen wiegen sich in Sicherheit, weil sie auf die üblichen Abwehrmassnahmen vertrauen: regelmässige Schulungen der Mitarbeitenden und ein etabliertes Vier-Augen-Prinzip. Doch diese Verteidigungslinien bröckeln, wenn Angreifer nicht nur psychologische Tricks, sondern auch hochentwickelte Technologie einsetzen. Das Problem ist heute nicht mehr nur eine gut gefälschte E-Mail. Es ist die Kombination aus Social Engineering, technischer Raffinesse und der gezielten Ausnutzung von Stresssituationen.

Was aber, wenn die eigentliche Schwachstelle nicht die Wachsamkeit eines einzelnen Mitarbeiters ist, sondern die fehlende Resilienz des Freigabeprozesses selbst? Die wirksamste Verteidigung gegen den modernen CEO-Betrug liegt nicht darin, Mitarbeiter zu Superhelden der Betrugserkennung zu schulen. Sie liegt in der Implementierung von systemischen, nicht verhandelbaren Protokollen, die einen Betrug technisch und prozessual unmöglich machen – selbst wenn der Mitarbeiter am Haken ist. Es geht um eine Zero-Trust-Mentalität für Transaktionen.

Dieser Artikel seziert die Angriffsvektoren des modernen „Enkeltricks für Unternehmen“ aus einer forensischen Perspektive. Wir analysieren, wie KI-Stimmen und E-Mail-Spoofing funktionieren, und zeigen auf, wie Sie Ihre Finanzprozesse mit robusten, technischen und organisatorischen Massnahmen härten können, die auch unter höchstem Druck standhalten.

Warum die Stimme des Chefs am Telefon heute künstlich generiert sein kann?

Die Annahme, die eigene Stimme sei ein unverwechselbares biometrisches Merkmal, ist überholt. Fortschritte in der künstlichen Intelligenz ermöglichen es Angreifern, mit nur wenigen Sekunden Audiomaterial einer Person deren Stimme nahezu perfekt zu klonen. Diese als „Voice-Cloning“ oder „Deepfake Audio“ bekannte Technik ist der Kern des modernen Voice-Phishings (Vishing) und hebt den CEO-Betrug auf eine neue Eskalationsstufe. Die Software analysiert Tonhöhe, Sprachmelodie und charakteristische Eigenheiten und kann anschliessend beliebige Sätze in der geklonten Stimme generieren.

Die Bedrohung ist nicht theoretisch. Ein erster Fall in der Schweiz wurde bereits dokumentiert, bei dem ein Finanzchef per Videocall von einem Deepfake seines Vorgesetzten kontaktiert wurde, um ihn zu Transaktionen zu bewegen. Glücklicherweise flog der Betrug aufgrund von Auffälligkeiten bei der Kleidung auf. International sind die Schäden bereits immens: Eine Warnung des FBI berichtet von einem Fall, bei dem ein multinationaler Konzern durch einen KI-gestützten Vishing-Angriff einen Verlust von 23 Millionen Euro erlitt. Die Angreifer hatten die Stimme eines Direktors geklont und eine „dringende“ Überweisung angeordnet.

Für die Finanzabteilung bedeutet dies, dass die auditive Verifikation per Telefon kein verlässlicher Sicherheitsmechanismus mehr ist. Ein Anruf, selbst wenn er von der bekannten Nummer des Vorgesetzten zu kommen scheint (via Call-ID-Spoofing), kann eine Fälschung sein. Die einzige wirksame Gegenmassnahme ist die Etablierung eines Prozesses, der nicht auf der Authentizität der Stimme beruht, sondern auf einem vordefinierten, sicheren Verifikations-Rückkanal. Die Frage darf nicht mehr lauten „Klingt das wie der Chef?“, sondern „Wurde die Anweisung über den vereinbarten, sicheren Kanal bestätigt?“.

Wie setzen Sie strikte Freigabeprozesse durch, auch wenn der „Chef“ angeblich im Stress ist?

Der effektivste Hebel von Betrügern ist nicht die Technologie, sondern die Psychologie. Sie erzeugen ein Szenario von extremer Dringlichkeit, Vertraulichkeit und Autorität, um etablierte Prozesse gezielt auszuhebeln. Die Anweisung „Das muss sofort raus, keine Zeit für das übliche Prozedere!“ ist eine klassische rote Flagge. Die Verteidigung dagegen ist nicht Flexibilität, sondern rigide Protokoll-Resilienz. Ein strikter Freigabeprozess muss so konzipiert sein, dass er auch unter dem grössten Druck nicht umgangen werden kann.

Das Kernstück ist ein nicht verhandelbares Vier-Augen-Prinzip, das über eine blosse zweite Unterschrift hinausgeht. Es erfordert eine aktive und unabhängige Verifikation durch die zweite Person. Beide Parteien müssen die Legitimität der Zahlung unabhängig voneinander und über getrennte, gesicherte Kanäle bestätigen. Die Anweisung des „Chefs“, den Prozess zu umgehen, muss der definierte Auslöser für einen internen Alarm sein, nicht für eine Ausnahme.

Dieser Prozess muss schriftlich fixiert und allen Mitarbeitenden der Finanzabteilung bekannt sein. Er sollte klare Schritte beinhalten: Bei jeder ausserordentlichen Zahlungsaufforderung, die per E-Mail oder Telefon eingeht, ist eine Gegenprüfung über einen vorab definierten Rückkanal (z. B. eine bekannte interne Handynummer, ein persönliches Gespräch oder eine Nachricht über einen sicheren internen Messenger) zwingend erforderlich. Keine Ausnahme, für niemanden.

Wie im Bild dargestellt, erfordert echte Kontrolle die Zusammenarbeit und das gegenseitige Hinterfragen von Dokumenten und Anweisungen. Die grösste Herausforderung ist die Unternehmenskultur. Es muss klar kommuniziert werden, dass die strikte Einhaltung des Protokolls ein Zeichen von Professionalität und Sorgfalt ist und nicht von Misstrauen oder mangelnder Flexibilität. Ein Mitarbeiter, der eine ungewöhnliche Anweisung hinterfragt und verifiziert, schützt das Unternehmen und sollte dafür gelobt, nicht gerügt werden.

Lieferant ändert Bankverbindung: Welcher Rückruf-Prozess schützt Sie vor Betrug?

Ein weiterer hochwirksamer Angriffsvektor ist die Manipulation von Lieferanten-Stammdaten. Kriminelle verschaffen sich Zugang zu den E-Mail-Konten von Lieferanten und fangen die Kommunikation ab. Kurz vor einer grossen fälligen Zahlung senden sie dann eine E-Mail mit der Mitteilung über eine neue Bankverbindung. Wie die Schweizerische Kriminalprävention warnt, ist die Fälschung von Absenderadressen oder die Übernahme von E-Mail-Konten ein zentraler Bestandteil dieser Masche. Der Betrug wird oft erst bemerkt, wenn der echte Lieferant seine unbezahlte Rechnung anmahnt.

Nach der Recherche erfolgt die Kontaktaufnahme per E-Mail. Absender-E-Mail-Adressen können relativ leicht gefälscht werden. Es kann aber auch sein, dass das E-Mail-Konto eines Mitarbeitenden gehackt wurde. Die Kriminellen geben sich dabei als Firmenchef/-chefin aus.

– Schweizerische Kriminalprävention, Leitfaden CEO-Fraud

Eine Mitteilung über eine geänderte IBAN darf niemals als alleinige Grundlage für eine Stammdatenänderung dienen. Hier ist ein formalisierter Verifikations-Rückruf-Prozess unerlässlich. Dieser Prozess muss vorschreiben, dass jede Änderung einer Bankverbindung telefonisch bei einem bekannten Ansprechpartner des Lieferanten verifiziert werden muss. Die zu verwendende Telefonnummer darf dabei niemals aus der E-Mail stammen, in der die Änderung mitgeteilt wurde. Stattdessen muss auf im System hinterlegte, vertrauenswürdige Kontaktdaten, wie sie beispielsweise im Schweizer Handelsregister (Zefix) zu finden sind, zurückgegriffen werden.

Die folgende Tabelle des Nationalen Zentrums für Cybersicherheit (NCSC) fasst die wichtigsten Warnsignale und empfohlenen Massnahmen zusammen. Eine Analyse der aktuellen Betrugsmaschen zeigt, wie wichtig die proaktive Erkennung dieser Signale ist.

SPF, DKIM, DMARC: Wie verhindern Sie, dass Betrüger im Namen des CEO mailen?

Die technische Grundlage vieler CEO-Betrugsversuche ist das E-Mail-Spoofing, also die Fälschung der Absenderadresse. Eine E-Mail, die aussieht, als käme sie direkt vom CEO, erzeugt sofort Autorität und Glaubwürdigkeit. Das Nationale Zentrum für Cybersicherheit (NCSC) warnt regelmässig vor Szenarien, in denen die Finanzabteilung eine angeblich dringende Zahlungsaufforderung vom Chef erhält, oft verbunden mit der Drohung, dass bei Nichtzahlung ein wichtiger Auftrag verloren gehen könnte. Solche E-Mails umgehen oft einfache Spamfilter.

Um diese Art von Betrug an der Wurzel zu packen, reichen Sensibilisierung und visuelle Prüfung der Absenderadresse nicht aus. Es braucht eine technische Härtung der eigenen E-Mail-Infrastruktur. Die drei entscheidenden Standards dafür sind SPF, DKIM und DMARC. In Kombination bilden sie eine robuste Verteidigungslinie:

• SPF (Sender Policy Framework): Eine Liste der Server, die berechtigt sind, E-Mails im Namen Ihrer Domain (z.B. @ihre-firma.ch) zu versenden.
• DKIM (DomainKeys Identified Mail): Eine digitale Signatur, die an jede ausgehende E-Mail angehängt wird und deren Integrität sicherstellt.
• DMARC (Domain-based Message Authentication, Reporting and Conformance): Eine Richtlinie, die dem empfangenden E-Mail-Server mitteilt, was er mit E-Mails tun soll, die die SPF- oder DKIM-Prüfung nicht bestehen (z.B. in den Spam-Ordner verschieben oder komplett abweisen).

Die Implementierung von DMARC ist ein Projekt, das sorgfältig geplant werden muss, aber für jedes Unternehmen, das sich vor CEO-Betrug schützen will, unerlässlich ist. Es schützt nicht nur vor gefälschten E-Mails von aussen, sondern verhindert auch, dass der eigene Domainname für Angriffe auf andere missbraucht wird, was einen erheblichen Reputationsschaden bedeuten kann.

Wann haben Sie die Chance, das Geld noch zurückzuholen, wenn es erst mal überwiesen ist?

Wenn trotz aller Vorsichtsmassnahmen eine betrügerische Überweisung getätigt wurde, beginnt ein Wettlauf gegen die Zeit. Die Chancen, das Geld zurückzuholen, sinken mit jeder Minute drastisch. Der entscheidende Faktor ist die Geschwindigkeit der Reaktion. Sobald der Betrugsverdacht aufkommt, müssen unverzüglich zwei Massnahmen parallel eingeleitet werden: die sofortige Kontaktierung der eigenen Hausbank und die Erstattung einer Strafanzeige bei der zuständigen kantonalen Polizeibehörde.

Die Bank kann versuchen, einen sogenannten „SWIFT-Recall“ (bei internationalen Zahlungen) oder eine Rückforderung im nationalen Zahlungsverkehr zu initiieren. Der Erfolg hängt massgeblich davon ab, ob das Geld das Konto des Empfängers bereits erreicht und ob es von dort bereits weiter transferiert wurde. Kriminelle arbeiten mit einem System von „Money Mules“ und transferieren die Beträge oft innerhalb von Minuten auf weitere Konten in verschiedenen Ländern, was die Rückverfolgung extrem erschwert. Rechtsprechung aus Deutschland, die auch für die Schweiz relevant ist, zeigt, dass ein kritisches Zeitfenster von 48 Stunden besteht, innerhalb dessen die Bank handeln muss, um ihre Sorgfaltspflichten zu erfüllen, doch die besten Chancen bestehen in den ersten Stunden.

Ein klar definierter Notfallplan für Betrugsfälle ist daher unerlässlich. Jeder Mitarbeiter in der Buchhaltung muss wissen, wer sofort zu informieren ist und welche Schritte einzuleiten sind. Die Telefonnummer des persönlichen Bankberaters und der Notfall-Hotline der Bank für Betrugsfälle müssen griffbereit sein. Eine Strafanzeige bei der Polizei ist nicht nur für die Strafverfolgung wichtig, sondern oft auch eine Voraussetzung für die Bank und die Versicherung, um tätig zu werden. Die Hoffnung, das Geld vollständig zurückzuerhalten, ist leider oft gering, aber schnelles und koordiniertes Handeln maximiert die Chancen signifikant.

PGP oder S/MIME: Welcher Standard ist für Ihre Kunden noch zumutbar?

Neben der Absicherung gegen eingehende betrügerische Anweisungen ist auch der Schutz der ausgehenden Kommunikation von entscheidender Bedeutung. Der Austausch sensibler Finanzdaten, Verträge oder Rechnungen mit Kunden und Partnern sollte verschlüsselt erfolgen. Die beiden etabliertesten Standards für die E-Mail-Verschlüsselung sind S/MIME und PGP. Die Wahl des richtigen Standards ist jedoch ein Abwägen zwischen maximaler Sicherheit und praktikabler Anwendbarkeit für den Kommunikationspartner.

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist oft in Unternehmensumgebungen verbreitet, da es nativ in weit verbreitete E-Mail-Clients wie Microsoft Outlook und in Verbindung mit Exchange-Servern integriert ist. Es basiert auf einem zentralisierten Zertifikatsmodell, bei dem Zertifikate von vertrauenswürdigen Zertifizierungsstellen (CAs) ausgestellt werden müssen. Dies erleichtert die Verwaltung in grossen Organisationen.

PGP (Pretty Good Privacy) hingegen basiert auf einem dezentralen Vertrauensmodell („Web of Trust“), bei dem sich die Benutzer gegenseitig die Echtheit ihrer Schlüssel bescheinigen. Es erfordert in der Regel die Installation von Zusatzsoftware (z.B. Gpg4win oder GPG Suite) und einen manuellen Schlüsselaustausch, was die Handhabung für technisch weniger versierte Anwender komplexer macht. PGP ist vor allem in der Tech- und Sicherheits-Community stark verankert.

Die Entscheidung für einen Standard hängt stark von Ihrem Geschäftsumfeld in der Schweiz ab. Für die Kommunikation mit grossen Unternehmen, die bereits eine PKI-Infrastruktur betreiben, ist S/MIME oft die pragmatischere Wahl. Für den Austausch mit Privatpersonen oder kleineren, technikaffinen Firmen kann PGP eine Option sein. Zunehmend etablieren sich jedoch auch benutzerfreundlichere, plattformbasierte Lösungen als Alternative.

Whitelisting und Spamfilter: Wie kommt Ihre Test-Mail überhaupt im Posteingang an?

Um die eigene Abwehr und die Sensibilisierung der Mitarbeitenden zu testen, sind kontrollierte Phishing-Simulationen ein effektives Mittel. Das Ziel ist, eine realitätsnahe, aber harmlose Betrugs-E-Mail (z.B. eine gefälschte Anweisung des CEOs) an die eigenen Mitarbeitenden zu senden und deren Reaktion zu messen. Doch hier entsteht eine paradoxe Herausforderung: Die eigenen, gut konfigurierten Sicherheitsmassnahmen wie Spamfilter und Mail-Gateways könnten genau diese Test-E-Mails blockieren, bevor sie die Posteingänge überhaupt erreichen.

Um eine erfolgreiche Phishing-Kampagne durchzuführen, ist daher ein gezieltes, temporäres Whitelisting des Simulationsdienstes erforderlich. Dies ist ein heikler technischer Prozess, der eng mit der IT-Abteilung abgestimmt werden muss, um keine echten Sicherheitslücken zu schaffen. Der Prozess stellt sicher, dass nur die E-Mails von den spezifischen IP-Adressen und Domains des vertrauenswürdigen Simulationsanbieters die Filter passieren, während der Schutz vor allen anderen Bedrohungen vollumfänglich aktiv bleibt.

Die genauen Schritte hängen von Ihrer E-Mail-Infrastruktur ab (z.B. Microsoft 365, Google Workspace) und erfordern oft eine Kombination verschiedener Massnahmen. Die Koordination mit Schweizer Hosting-Providern wie Hostpoint oder Cyon kann ebenfalls notwendig sein, falls diese zusätzliche Filterebenen betreiben. Folgende technische Massnahmen sind typischerweise Teil des Whitelisting-Prozesses:

• Aufnahme der IP-Adressen des Simulationsdienstes in die Whitelist der Firewall und des Mail-Gateways.
• Erstellung von Transportregeln (z.B. in Exchange Online), die E-Mails mit bestimmten Headern als sicher einstufen und die Spam-Prüfung umgehen.
• Konfiguration von Microsoft Defender für Office 365 oder anderen Sicherheitstools, um die Simulation zuzulassen.
• Temporäre Aufnahme der Test-Domain in die eigenen SPF-Records, um Authentifizierungsprobleme zu vermeiden.

Dieser Prozess muss nach Abschluss der Simulation wieder vollständig rückgängig gemacht werden, um die Sicherheitskonfiguration wieder in den gehärteten Zustand zu versetzen. Eine sorgfältige Dokumentation aller vorgenommenen Änderungen ist dabei zwingend erforderlich.

Wie verankern Sie IT-Sicherheit in der Unternehmensstrategie, statt sie an die IT zu delegieren?

Die Abwehr von CEO-Betrug und anderen Cyberangriffen ist keine reine IT-Aufgabe. Wie die Angriffsvektoren zeigen, liegen die grössten Schwachstellen oft in menschlichen Prozessen, der Unternehmenskultur und der Finanzabteilung. Die Annahme, die IT-Abteilung könne das Unternehmen allein durch technische Massnahmen schützen, ist eine gefährliche Delegationsfalle. Sicherheit ist eine Geschäftsfunktion und muss auf C-Level-Ebene strategisch verankert und verantwortet werden. Die schiere Menge an Vorfällen, mit allein 62’954 gemeldeten Cybervorfällen in der Schweiz im Jahr 2024 laut dem NCSC, macht deutlich, dass es sich um ein fundamentales Geschäftsrisiko handelt.

Eine strategische Verankerung bedeutet, dass Sicherheit nicht als Kostenfaktor, sondern als notwendige Investition in die Geschäftsresilienz betrachtet wird. Dies erfordert ein Umdenken: Der CFO ist nicht nur Opfer potenzieller Angriffe, sondern ein zentraler Akteur in der Verteidigungsstrategie. Er muss die Implementierung und Einhaltung robuster Finanzprozesse vorantreiben und das Budget für notwendige technische und organisatorische Massnahmen bereitstellen. Die Sicherheitspolitik muss die Realität moderner Bedrohungen widerspiegeln, wie das NCSC in einer Warnung betont:

Künstliche Intelligenz wird zunehmend bei Cyberangriffen eingesetzt, insbesondere bei Social Engineering. KI kann leicht verwendet werden, um authentisch aussehende E-Mails zu schreiben, Stimmen nachzuahmen oder Bilder zu fälschen. Diese gefälschten Identitäten verleihen Cyberkriminellen mehr Glaubwürdigkeit.

– NCSC, European Cyber Security Month 2024

Ein strategischer Ansatz umfasst regelmässige Risikobewertungen, bei denen Finanz-, Personal- und IT-Abteilung zusammenarbeiten. Es beinhaltet die Schaffung einer Sicherheitskultur, in der das Hinterfragen von Anweisungen und das Melden von Verdachtsfällen gefördert wird. Und es bedeutet, dass das Top-Management die Sicherheitsprozesse nicht nur absegnet, sondern sie aktiv vorlebt und ihre Einhaltung kompromisslos einfordert. Nur wenn Sicherheit als integraler Bestandteil der Unternehmensführung verstanden wird, kann eine Organisation der wachsenden Professionalität und technologischen Raffinesse von Cyberkriminellen wirksam begegnen.

Beginnen Sie noch heute mit der Überprüfung Ihrer Finanzprozesse und etablieren Sie eine Zero-Trust-Kultur für alle Transaktionen, um Ihr Unternehmen wirksam vor den finanziellen und reputativen Schäden des CEO-Betrugs zu schützen.