Eine E-Mail im Namen der Geschäftsführung verlangt eine sofortige Überweisung, streng vertraulich und außerhalb der üblichen Abläufe. Oder eine bekannte Rechnung trifft ein, deren Bankverbindung diesmal eine andere ist. Beide Maschen zielen auf denselben Moment, nämlich den kurzen Augenblick, in dem Du unter Zeitdruck zahlst, bevor Du nachfragst.
Für Selbständige und kleine Unternehmen ist das ein reales Risiko, weil hier oft eine Person allein über Zahlungen entscheidet. Die gute Nachricht ist, dass beide Betrugsformen feste Muster haben. Wer diese Muster kennt und eine knappe Routine etabliert, fängt die allermeisten Versuche ab, bevor Geld fließt.
Was CEO-Fraud und Rechnungsbetrug sind
Beim CEO-Fraud geben sich Täter als Chef, Geschäftsführerin oder leitende Person aus und weisen eine Zahlung an. Die Nachricht wirkt persönlich, betont Vertraulichkeit und kommt scheinbar von ganz oben, damit niemand im Team nachhakt.
Rechnungsbetrug setzt an einer echten Geschäftsbeziehung an. Eine Rechnung sieht aus wie immer, nur die Kontonummer wurde ausgetauscht. Oft haben die Täter zuvor echte E-Mail-Verläufe mitgelesen, kennen Beträge, Projektnamen und Tonfall und treffen damit den Zeitpunkt, an dem eine Zahlung ohnehin erwartet wird.
Beide Maschen brauchen keine technische Lücke in Deinem System. Sie nutzen Vertrauen, Hierarchie und Gewohnheit. Ein Virenscanner läuft hier ins Leere. Was hilft, ist ein nüchterner Blick auf den Zahlungsvorgang selbst.
Besonders kleine Teams sind im Visier, weil hier oft kurze Wege gelten und eine einzelne Freigabe genügt. Was im Alltag praktisch ist, wird im Angriff zur Schwachstelle. Diese Beweglichkeit lässt sich aber mit wenigen festen Regeln absichern, ohne dass Zahlungen langsam werden.
Wie der Betrug typischerweise abläuft
Am Anfang steht meist eine stille Beobachtung. Die Täter sammeln öffentlich verfügbare Informationen über Dein Unternehmen, etwa Namen aus dem Impressum, Rollen aus sozialen Netzwerken oder Lieferantenbeziehungen aus alten Angeboten. Aus diesen Bausteinen bauen sie eine glaubwürdige Geschichte.
Im zweiten Schritt kommt die Nachricht. Beim CEO-Fraud ist es eine Anweisung mit Dringlichkeit und Diskretion, häufig von einer Adresse, die der echten zum Verwechseln ähnlich sieht. Beim Rechnungsbetrug ist es die geänderte Bankverbindung, manchmal angekündigt durch eine freundliche Mail über eine angebliche Bankumstellung.
Dann folgt der Druck. Eine Frist, ein wartender Geschäftspartner, eine drohende Mahnung. Diese Eile gehört zum Plan und ist das eigentliche Werkzeug. Sie soll verhindern, dass Du den Hörer in die Hand nimmst und die eine Frage stellst, die den ganzen Plan auffliegen lässt.
Manche Angriffe ziehen sich über Tage. Erst eine harmlose Nachfrage, dann eine angekündigte Änderung, schließlich die eigentliche Forderung. Diese Staffelung baut Vertrauen auf und lässt die letzte Mail unverdächtig wirken. Wer den Ablauf einmal durchschaut, erkennt die Stufen beim nächsten Mal früher.
Warnsignale, die Du ernst nehmen solltest
Es gibt eine Handvoll Signale, die fast jeden dieser Angriffe begleiten. Treffen mehrere zusammen, ist höchste Vorsicht angebracht.
- Geänderte Bankdaten: Eine bekannte Rechnung nennt plötzlich ein neues Konto, oft mit Hinweis auf eine angebliche Umstellung.
- Künstliche Dringlichkeit: Die Zahlung muss sofort raus, am besten heute, sonst drohen Nachteile.
- Vertraulichkeit als Bedingung: Niemand sonst soll von dem Vorgang wissen, der normale Weg wird bewusst umgangen.
- Leicht abweichende Absenderadresse: Ein vertauschter Buchstabe oder eine andere Endung hinter dem vertrauten Namen.
- Ungewöhnlicher Kanal: Eine Anweisung kommt per privater Adresse oder Messenger statt über den üblichen Weg.
Jedes einzelne Signal kann harmlos sein. Eine echte Bankumstellung kommt vor, und auch ein Chef hat es manchmal eilig. Verdächtig wird es durch die Kombination und vor allem durch den Druck, den normalen Prüfweg abzukürzen.
So schützt Du Dich konkret
Der wirksamste Schutz ist organisatorisch und kostet kein Geld. Der Kern ist, Zahlungen aus dem Bauch heraus durch einen festen Ablauf zu ersetzen, der bei jeder Überweisung gleich greift.
Führe für relevante Beträge das Vier-Augen-Prinzip ein. Eine zweite Person prüft die Zahlung, bevor sie freigegeben wird. Arbeitest Du allein, übernimmt diese Rolle eine bewusste Wartezeit und ein zweiter Blick am nächsten Morgen.
Bei jeder geänderten Bankverbindung gilt ein telefonischer Rückruf an die Dir bekannte Nummer, niemals an die Nummer aus der verdächtigen Mail. Diese eine Gewohnheit stoppt nahezu jeden Rechnungsbetrug, weil der echte Partner die Änderung schlicht nicht bestätigen wird.
Lege feste Abläufe für Zahlungen schriftlich fest und halte Dich auch dann daran, wenn die Anweisung scheinbar von oben kommt. Eine echte Geschäftsführung akzeptiert einen kurzen Prüfweg, ein Betrüger hofft, dass Du ihn überspringst. Wer Phishing-Nachrichten lesen kann, erkennt viele dieser Mails schon am Absender, deshalb lohnt der Blick in den Beitrag wie Du Phishing-Mails schnell erkennst. Und weil beide Maschen mit Vertrauen statt Technik arbeiten, hilft das Hintergrundwissen aus dem Beitrag wenn der Angriff über Menschen läuft.
Rechne außerdem damit, dass Täter zunehmend mit nachgeahmten Stimmen und Videos arbeiten, um Anweisungen noch glaubwürdiger zu machen. Ein kurzer Überblick dazu steht im Beitrag über KI-Betrugsmaschen und Deepfakes.
Fazit
CEO-Fraud und Rechnungsbetrug gewinnen über Eile und Vertrauen, ganz ohne technische Lücke. Wer eine geänderte Bankverbindung grundsätzlich telefonisch zurückprüft und größere Zahlungen durch ein zweites Augenpaar oder eine bewusste Pause schickt, nimmt beiden Maschen ihre Grundlage.
Mach diese kurzen Prüfschritte zur festen Gewohnheit, statt sie nur im Verdachtsfall anzuwenden. Dann bleibt der Druck auf der Seite der Täter, und Deine Zahlungen bleiben dort, wo sie hingehören.