Wie härten Sie Ihre Finanzprozesse gegen gefälschte Zahlungsanweisungen des „CEO“?

Eine E-Mail trifft an einem Freitagnachmittag in der Buchhaltung ein. Der Absender: der CEO. Der Inhalt: eine dringende, vertrauliche Anweisung zur Überweisung eines sechsstelligen Betrags für eine strategische Akquisition. Jede Verzögerung, so heisst es, gefährde den Deal. Dieses Szenario ist der klassische Angriffsvektor des „CEO-Betrugs“ oder „Fake President Fraud“, einer der finanziell verheerendsten Cyber-Bedrohungen für Unternehmen. Die Täter nutzen dabei kein komplexes Hacking, sondern gezieltes Social Engineering, um etablierte Prozesse und menschliche Autoritätsgläubigkeit auszuhebeln.

Die üblichen Ratschläge – auf schlechte Grammatik achten, misstrauisch sein – greifen für CFOs und Leiter der Buchhaltung zu kurz. Die Angreifer von heute sind hochprofessionell, ihre E-Mails oft fehlerfrei und ihr Vorgehen psychologisch ausgeklügelt. Laut dem aktuellen Halbjahresbericht des BACS wurden 719 CEO-Betrugsversuche gemeldet, allein in der Schweiz im Jahr 2024, was die zunehmende Professionalisierung der Täter unterstreicht. Eine effektive Verteidigung kann daher nicht auf der subjektiven Einschätzung eines Mitarbeiters beruhen.

Die wahre Resilienz liegt nicht im Misstrauen, sondern in der Implementierung einer lückenlosen, forensisch-technischen Prozesskontrolle. Der Schutzschild gegen Millionenverluste wird nicht durch vage Appelle an die Vorsicht errichtet, sondern durch harte, unumgehbare Verriegelungen im Zahlungsprozess. Es geht darum, ein System zu schaffen, in dem eine betrügerische Anweisung zwangsläufig an einer definierten, nicht verhandelbaren Kontrollinstanz scheitern muss – unabhängig davon, wie überzeugend der Betrugsversuch inszeniert ist.

Dieser Leitfaden seziert die Angriffskette des CEO-Betrugs und liefert Ihnen als Finanzverantwortlichem einen Katalog an konkreten, auditierbaren Kontrollmechanismen. Von der technischen Analyse der E-Mail-Header über die Implementierung sicherer Verifikationsprotokolle bis hin zur Entlarvung von Deepfakes im Videocall werden wir jeden potenziellen Schwachpunkt Ihrer Finanzprozesse systematisch härten.

Die folgenden Abschnitte bieten eine detaillierte Roadmap zur Stärkung Ihrer Verteidigungslinien. Jeder Bereich beleuchtet einen kritischen Angriffsvektor und stellt die entsprechenden Kontrollmechanismen und Notfallprotokolle vor, die für Schweizer Unternehmen unerlässlich sind.

Woran sieht die Buchhaltung technisch, dass die Mail nicht wirklich vom Chef kommt?

Die erste Verteidigungslinie ist nicht das menschliche Auge, sondern die technische Analyse. Eine professionell gefälschte E-Mail kann visuell perfekt erscheinen, doch ihre technischen Metadaten – die Header – verraten oft die Manipulation. Die Buchhaltung muss geschult sein, diese „digitale DNA“ einer E-Mail forensisch zu prüfen. Die Schlüsseltechnologien hierfür sind SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance). Diese Protokolle validieren, ob eine E-Mail tatsächlich von den autorisierten Servern der Absenderdomain stammt und auf dem Transportweg nicht manipuliert wurde.

Ein „fail“-Status in einem dieser Checks ist ein unmittelbares, nicht verhandelbares Alarmsignal. Besonders aufschlussreich ist zudem der „Return-Path“ (oder „Envelope-From“) im Header. Diese Adresse gibt an, wohin Unzustellbarkeitsmeldungen gesendet werden sollen. Bei Betrugs-Mails weicht diese Adresse fast immer von der angezeigten Absenderadresse ab, da die Täter die Antworten auf ihre eigenen Server umleiten wollen. Ein einfacher Abgleich zwischen der angezeigten „From“-Adresse und dem „Return-Path“ ist eine der schnellsten und effektivsten Entlarvungsmethoden.

Die Implementierung dieser technischen Prüfungen als Standardprozedere vor jeder ausserordentlichen Zahlung ist eine prozessuale Verriegelung, die unabhängig von der empfundenen Dringlichkeit greift. Es transformiert die subjektive Frage „Sieht das echt aus?“ in die objektive Analyse „Ist das technisch authentisch?“.

Die folgende Tabelle fasst die entscheidenden technischen Prüfpunkte zusammen und zeigt, welche Warnsignale eine sofortige Eskalation erfordern. Diese Übersicht sollte als Standard-Referenz in jeder Finanzabteilung verfügbar sein.

Warum keine Zahlung über 5’000 CHF ohne Zweitfreigabe das Haus verlassen darf?

Der wirksamste Schutzmechanismus gegen CEO-Betrug ist nicht technischer, sondern prozessualer Natur: das Vier-Augen-Prinzip. Die Festlegung einer Betragsgrenze, beispielsweise 5’000 CHF, ab der jede Zahlung ausnahmslos eine zweite, unabhängige Freigabe durch eine autorisierte Person erfordert, ist eine fundamentale Prozessverriegelung. Diese Regel bricht die direkte Kausalkette des Betrugs, bei dem ein einzelner Mitarbeiter durch psychologischen Druck zur sofortigen Handlung gedrängt wird. Die Notwendigkeit, eine zweite Person einzubeziehen, schafft eine Zwangspause zur Reflexion und Diskussion, in der Ungereimtheiten meist auffallen.

Diese Massnahme ist nicht nur eine „Best Practice“, sondern berührt auch direkt die Sorgfaltspflicht der Unternehmensführung. Gemäss Schweizer Obligationenrecht (OR Art. 717) haften Verwaltungsrat und Geschäftsführung für einen aus mangelnder Organisation entstandenen Schaden. Das Fehlen einer fundamentalen Kontrolle wie dem Vier-Augen-Prinzip kann im Schadensfall als grobfahrlässiges Organisationsversäumnis gewertet werden. Die persönliche Haftung ist eine reale Gefahr.

Der Fall eines Treuhandbüros in Vaduz, das 1,9 Millionen US-Dollar durch gefälschte Zahlungsanweisungen verlor, illustriert die Gefahr drastisch. Die Täter veranlassten zwei Überweisungen, bevor der Betrug auffiel. Mit einem strikten Vier-Augen-Prinzip wäre die erste Überweisung bereits an der zweiten Kontrollinstanz gescheitert. Die Grenze von 5’000 CHF ist dabei ein Richtwert, der je nach Unternehmensgrösse und Risikoprofil angepasst werden muss. Entscheidend ist, dass diese Grenze existiert und ausnahmslos durchgesetzt wird.

Rückruf statt Reply: Wie bestätigen Sie ungewöhnliche Zahlungsbitten sicher?

Wenn eine ungewöhnliche Zahlungsanweisung eingeht, ist die Verifikation unerlässlich. Der entscheidende Fehler, den viele begehen, ist die Verifikation über denselben Kanal, auf dem die Anfrage einging. Auf die verdächtige E-Mail zu antworten oder die in der E-Mail-Signatur angegebene Telefonnummer anzurufen, ist fatal. Die Täter kontrollieren diese Kanäle und werden den Betrug bestätigen. Die forensisch korrekte Methode ist die „Out-of-Band“-Verifikation: die Nutzung eines komplett unabhängigen, vorab definierten Kommunikationskanals.

Die sicherste Methode ist der Rückruf auf einer im internen Telefonverzeichnis hinterlegten, bekannten Mobil- oder Festnetznummer des Vorgesetzten. Diese „rote Telefonnummer“ muss allen zahlungsberechtigten Mitarbeitern bekannt sein. Eine weitere sichere Option ist die Nutzung eines Ende-zu-Ende-verschlüsselten Schweizer Messengers wie Threema, sofern dieser als offizieller interner Kommunikationskanal etabliert ist. Die Zahl der Cybercrime-Fälle in der Schweiz macht die Notwendigkeit robuster Prozesse deutlich; insgesamt verzeichnete das BACS 62’954 Cybercrime-Meldungen im Jahr 2024, was die breite Bedrohungslage für Gemeinden, Kirchen und Unternehmen unterstreicht.

Um die Verifikation weiter zu härten, kann ein Challenge-Response-Protokoll etabliert werden. Dabei wird bei der telefonischen Bestätigung eine vorab vereinbarte Kontrollfrage gestellt, deren Antwort nur die echten Personen kennen (z. B. „Wie hiess unser Hund?“ oder „Was war der Projektname unserer letzten Offsite-Veranstaltung?“). Dies schützt zusätzlich vor Stimm-Kloning (Voice Phishing). Die Regel muss lauten: Kein bekannter Kontakt, keine Bestätigung, keine Zahlung.

Geld weg: Welche Schritte müssen Sie in den ersten 24h bei der Bank einleiten?

Wurde eine betrügerische Überweisung ausgeführt, beginnt ein Wettlauf gegen die Zeit. Die ersten 24 Stunden sind entscheidend, um eine Chance zu haben, das Geld zurückzuholen. Es bedarf eines sofortigen, kühlen und prozessorientierten Vorgehens. Jede Minute Zögern verringert die Erfolgsaussichten. Der Notfallplan muss jedem Mitarbeiter der Finanzabteilung bekannt sein und ohne Rücksprache sofort eingeleitet werden können.

Schritt 1 (Sofort): Der allererste Anruf muss an die Betrugshotline der eigenen Bank gehen. Ziel ist es, ein „Recall-Verfahren“ für die SWIFT- oder SEPA-Zahlung auszulösen. Dabei bittet Ihre Bank die Empfängerbank, die Zahlung zu stoppen und das Geld zurückzubuchen. Die Erfolgschance ist am höchsten, bevor das Geld auf dem Konto des Betrügers gutgeschrieben oder von dort weiterüberwiesen wurde.

Schritt 2 (Innerhalb von 2 Stunden): Erstatten Sie eine Strafanzeige bei der zuständigen kantonalen Polizei (KAPO). Diese Anzeige ist die rechtliche Grundlage für alle weiteren Schritte und für die internationale Zusammenarbeit der Strafverfolgungsbehörden. Parallel dazu sollte eine Meldung beim Nationalen Zentrum für Cybersicherheit (NCSC) erfolgen. Das NCSC sammelt Informationen über aktuelle Angriffswellen und kann Warnungen an andere Unternehmen herausgeben.

Schritt 3 (Tag 1): Um die Gelder auf dem Empfängerkonto rechtlich zu blockieren, kann der Gang zum Gericht notwendig sein. Beantragen Sie über einen Anwalt eine superprovisorische Verfügung zur Sperrung des Zielkontos. Dies ist ein dringliches Rechtsmittel im Schweizer Recht, das ohne Anhörung der Gegenpartei erlassen werden kann, um einen nicht wieder gutzumachenden Schaden zu verhindern. Die Kombination aus bankinternem Recall und rechtlicher Kontosperrung maximiert die Chancen.

Die folgende Tabelle listet die Notfallkontakte der grössten Schweizer Banken auf. Diese Nummern gehören ausgedruckt an jeden Arbeitsplatz in der Buchhaltung.

Wenn der CEO im Zoom-Call Anweisungen gibt: Ist die Stimme und das Gesicht echt?

Die nächste Eskalationsstufe des CEO-Betrugs ist der Einsatz von KI-basierten Deepfakes. Täter nutzen Audio- und Videomitschnitte aus öffentlichen Auftritten, um Gesicht und Stimme des CEOs zu klonen und in einem Live-Videocall eine Zahlungsanweisung zu erteilen. Diese Angriffsform umgeht einfache telefonische Verifikationen. Doch auch hier gibt es forensische Merkmale und Verhaltensprotokolle, um den Betrug zu entlarven.

Ein aufsehenerregender Fall aus der Schweiz im Jahr 2024 zeigt, wie solche Angriffe scheitern können. Ein Finanzchef wurde misstrauisch, weil die Kleidung (Hemd und Krawatte) im Videocall nicht den Gewohnheiten des echten CEOs entsprach und die Stimme leicht unnatürlich klang, obwohl das Gesicht echt wirkte. Wie das NCSC später bestätigte, handelte es sich um einen Deepfake-Angriff, der an subtilen Details scheiterte. Dies lehrt uns, auf Inkonsistenzen zu achten, die über das rein Visuelle hinausgehen.

Technische Artefakte sind oft schwer zu erkennen, aber menschliches Verhalten lässt sich schwer perfekt klonen. Deepfakes haben oft eine unnatürlich niedrige Blinzelrate, da das Training der KI auf offenen Augen basiert. Lichtreflexionen in den Augen können inkonsistent mit der Umgebung sein, und die Synchronität von Lippenbewegung und Ton ist bei Live-Manipulationen oft nicht perfekt. Der entscheidende Hebel ist jedoch die Durchführung eines Live-Challenge-Protokolls. Bitten Sie die Person im Call um eine spontane, unvorhersehbare Handlung, die eine KI nicht in Echtzeit rendern kann.

Ransomware oder Datendiebstahl: Woran erkennen Sie die Absicht des Angreifers?

CEO-Betrug existiert nicht im luftleeren Raum. Oft ist er das Endziel einer längeren Angriffskette, die mit einem technischen Einbruch beginnt. Es ist für CFOs entscheidend, die Absicht hinter einem Sicherheitsvorfall korrekt zu deuten. Handelt es sich um einen reinen Ransomware-Angriff, bei dem Daten verschlüsselt werden, oder um einen gezielten Datendiebstahl zur Vorbereitung eines Finanzbetrugs? Die Kommunikationsweise und die Forderung der Täter geben entscheidende Hinweise.

Ein typischer Ransomware-Angriff kündigt sich durch eine anonyme Lösegeldforderung an, die als .txt-Datei auf allen betroffenen Systemen hinterlassen wird. Die Kommunikation ist unpersönlich, der Druck wird durch einen Countdown zum endgültigen Datenverlust aufgebaut und die Forderung lautet fast immer auf Kryptowährungen wie Bitcoin. Die Absicht ist reine Erpressung.

Ein CEO-Betrug, der auf Datendiebstahl basiert, verläuft subtiler. Die Täter nutzen sogenannte „Infostealer“-Malware, um im Vorfeld monatelang E-Mail-Kommunikation, Organigramme, Rechnungsstile und Reisepläne der Geschäftsleitung auszuspionieren. Es gibt keine unmittelbare Lösegeldforderung. Der Angriff manifestiert sich erst später durch den hochgradig personalisierten und informierten Betrugsversuch. Die Kommunikation ist persönlich (via E-Mail oder Telegram), der Zeitdruck wird durch eine fingierte Geschäftssituation erzeugt (Akquisition, Steuerprüfung) und die Forderung ist eine normale Banküberweisung auf ein Firmenkonto. Die Tatsache, dass 70% der Schweizer Industriefirmen in den letzten zwei Jahren Ziel von Cyber-Angriffen waren, zeigt, dass die Vorbereitung solcher Angriffe weit verbreitet ist.

Die Unterscheidung ist kritisch für die Reaktion: Bei Ransomware steht die technische Wiederherstellung im Vordergrund. Bei Anzeichen von Datendiebstahl zur Betrugsvorbereitung muss sofort die höchste Alarmstufe für alle Finanzprozesse ausgerufen werden.

Was kann die Empfangsdame sehen, was die Firewall nicht sieht?

Die effektivste Firewall kann Social-Engineering-Angriffe, die am Empfang beginnen, nicht erkennen. Das Empfangspersonal ist oft unwissentlich der erste Informationslieferant für Betrüger und agiert als menschliche Firewall – oder als offenes Scheunentor. Die Täter rufen an, um Namen von Mitarbeitern der Finanzabteilung, deren Anwesenheit oder direkte Durchwahlen zu erfragen. Sie nutzen die „Sprachbarrieren-Taktik“, indem sie in einem deutschsprachigen Unternehmen bewusst Englisch sprechen, um hilfsbereite Mitarbeiter zu unvorsichtigen Auskünften zu verleiten. Jede Information – „Frau Meier ist heute ausser Haus“, „Herr Huber ist für Zahlungen zuständig“ – ist ein Puzzleteil für den späteren, gezielten Angriff.

Eine gezielte Schulung des Empfangspersonals ist daher ein kritischer Baustein der Verteidigung. Es geht nicht darum, unhöflich zu sein, sondern wachsam. Das NCSC Schweiz betont in seinen Berichten regelmässig diese Rolle:

Die Empfangsperson ist der erste Kontaktpunkt für physische und telefonische Aufklärungsversuche.

– NCSC Schweiz, Wochenbericht Cybersicherheit

Neben telefonischer Ausforschung muss das Personal auch auf physische Bedrohungen wie „Tailgating“ (sich an eine berechtigte Person dranhängen, um durch eine gesicherte Tür zu gelangen) oder verdächtige Beobachter in der Lobby achten. Ein Protokoll zur Dokumentation ungewöhnlicher Anrufe oder Anfragen (Wer fragt was? Wann? Welche Firma?) kann Muster aufdecken und als Frühwarnsystem dienen. Diese „menschliche Firewall“ muss als integraler Bestandteil der Sicherheitsstrategie verstanden und entsprechend instruiert werden.

Wie verhindern Sie internen Datenmissbrauch durch striktes Berechtigungsmanagement?

Die letzte und vielleicht wichtigste Verteidigungslinie ist intern. Selbst wenn externe Angriffe abgewehrt werden, bleibt das Risiko des internen Datenmissbrauchs – sei es durch kompromittierte Mitarbeiterkonten oder böswillige Insider. Ein striktes Berechtigungsmanagement nach dem „Need-to-Know“-Prinzip ist hier die Antwort. Mitarbeiter dürfen nur auf die Daten und Systeme Zugriff haben, die sie für ihre unmittelbare Tätigkeit zwingend benötigen. Ein Mitarbeiter in der Debitorenbuchhaltung benötigt keinen Zugriff auf die Freigabemasken für Grosszahlungen.

Die Implementierung einer rollen-basierten Zugriffskontrolle (RBAC) ist die technische Umsetzung dieses Prinzips. Entscheidend ist zudem die Funktionstrennung (Segregation of Duties): Die Person, die eine Zahlung im System erfasst, darf unter keinen Umständen dieselbe Person sein, die diese Zahlung freigibt. Diese Trennung ist eine weitere fundamentale Prozessverriegelung, die einen Einzelnen daran hindert, eine betrügerische Transaktion von Anfang bis Ende durchzuführen. Dieser Punkt ist besonders für KMU relevant. Laut einer Studie des Bundesamtes für Sicherheit sind 99,3% aller Schweizer Unternehmen KMU, aber nur 58% haben angemessene IT-Sicherheitsmassnahmen implementiert, wozu auch ein sauberes Berechtigungsmanagement zählt.

Diese Berechtigungen sind nicht statisch. Sie müssen regelmässig, mindestens quartalsweise, überprüft werden (Berechtigungsreviews). Ändert ein Mitarbeiter die Abteilung oder verlässt das Unternehmen, müssen seine Zugriffsrechte sofort und automatisiert angepasst bzw. deaktiviert werden. Die lückenlose Aktivierung von Audit-Logs für alle Zugriffe auf Finanzsysteme stellt sicher, dass jede Aktion nachvollziehbar bleibt und forensisch ausgewertet werden kann.

Die Implementierung dieser forensischen Kontrollen ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess der Wachsamkeit und Anpassung. Beginnen Sie noch heute mit der Auditierung Ihrer Zahlungsfreigabeprozesse, um finanzielle Schäden und die damit verbundenen rechtlichen Konsequenzen proaktiv abzuwenden.