Donnerstag, 14:30 Uhr. Die Buchhaltung in einem mittelständischen Maschinenbauer mit 80 Mitarbeitern bekommt einen Anruf. Am anderen Ende: der Geschäftsführer, der eigentlich auf Geschäftsreise in Singapur ist. Stimme passt, Tonfall passt. Es geht um eine vertrauliche Akquisition. Eine Anzahlung von 200.000 Euro auf ein Konto in Hongkong, sofort. Der Anwalt sei eingebunden, mehr dürfe er nicht sagen. Es ginge um Stunden.
Die Buchhalterin macht alles richtig nach Lehrbuch. Sie überweist. Eine Stunde später kommt der echte Geschäftsführer zurück ins Büro, weiß von nichts. Das Geld ist weg. Diese Geschichte ist anonymisiert, aber sie ist real. Und sie passiert 2026 jede Woche in Deutschland mehrfach.
Auf einen Blick
CEO Fraud (Chef-Trick) mit KI funktioniert in drei Schritten: Recherche der Zielperson und ihrer Stimme, Voice-Cloning aus öffentlichen Audioschnipseln, Anruf mit dringender Geldforderung an die Buchhaltung. Die durchschnittliche Schadenssumme im deutschen Mittelstand liegt 2025/26 zwischen 150.000 und 500.000 Euro pro Vorfall. Drei Schutzmaßnahmen reichen, um 95 Prozent der Angriffe abzuwehren: Codewort zwischen Geschäftsführung und Buchhaltung, 4-Augen-Prinzip ab 10.000 Euro Überweisung, Rückruf über bekannte Nummer (nicht Anrufer-Nummer). Wer das einführt, schließt die Lücke. Wer es nicht tut, setzt sich monatlich neu dem Risiko aus. Strafrechtlich greift §263 StGB (Betrug). Cyber- und Vertrauensschadenversicherungen decken in der Regel, wenn dokumentierte Schutzregeln eingehalten wurden.
Warum CEO Fraud 2026 explodiert
Drei Entwicklungen kommen zusammen.
Voice-Cloning ist trivial geworden. Wer 2022 noch Stunden im Studio brauchte, kommt heute mit drei Sekunden Audio aus, oft frei verfügbar auf LinkedIn-Videos, Podcast-Interviews, Pressekonferenz-Mitschnitten. Der Geschäftsführer, der ein Video auf YouTube hat, in dem er auf einer Konferenz spricht, hat damit unbeabsichtigt das Material für seinen eigenen Voice-Clone geliefert.
Die Recherche ist automatisiert. Wer bei welcher Firma Geschäftsführer ist, wer für Überweisungen zuständig, wer wann auf Geschäftsreise: Diese Informationen liegen offen in LinkedIn-Profilen, Pressemitteilungen, Vorstandsfotos auf der Unternehmenswebsite. Täter können mit KI-Tools binnen Stunden ein vollständiges Profil eines Unternehmens aufbauen, inklusive Hierarchien und Schwachstellen.
Die Geldströme sind grenzüberschreitend. Wer in Singapur, Hongkong oder Dubai sitzt, ist deutscher Strafverfolgung praktisch unerreichbar. Die Geldflüsse über mehrere Konten und Krypto-Brücken machen Rückverfolgung in 80 Prozent der Fälle unmöglich.
Der Bitkom-Wirtschaftsschutzbericht 2025 dokumentiert eine Verdoppelung der CEO-Fraud-Fälle gegenüber 2023. Die Polizei spricht intern von einer "Industrialisierung des Chef-Tricks". Das Geschäftsmodell rechnet sich für die Täter, weil ein einziger erfolgreicher Anruf einen sechsstelligen Betrag bringt, während die Kosten für Recherche und Voice-Cloning nur noch dreistellig sind.
Wie ein Angriff im Detail abläuft
Der typische Angriff folgt einem Muster, das die Polizei in unzähligen Fällen rekonstruiert hat.
Phase eins: Aufklärung (Tage bis Wochen vorher). Die Täter recherchieren das Unternehmen. Welche Position hat der Geschäftsführer (Voice-Cloning-Ziel)? Wer ist in der Buchhaltung (Angriffsziel)? Welche Banken werden genutzt? Gibt es regelmäßige Auslandsüberweisungen, in welcher Höhe? Wer ist gerade auf Geschäftsreise? Diese Informationen kommen zu 80 Prozent aus LinkedIn, Unternehmensimpressum, Pressemitteilungen.
Phase zwei: Stimmprobe sammeln. Der Geschäftsführer hat ein YouTube-Interview, einen Podcast-Auftritt oder ein Konferenz-Video gegeben. Drei Sekunden brauchbare Audioqualität reichen. Manche Täter rufen vorher beim Geschäftsführer kurz an, geben sich als Werbefirma aus, lassen ihn drei Sätze sagen, und legen auf. Damit haben sie eine telefonqualität-saubere Probe.
Phase drei: Anruf mit Druck. Mittwoch- oder Donnerstagnachmittag, gegen 14 bis 16 Uhr, wenn Buchhaltungsmitarbeiter müde, aber noch im Dienst sind. Der Geschäftsführer ruft an, klingt gestresst, hat wenig Zeit. Es geht um eine Akquisition (klassisches Skript), eine Steueroptimierung (zweites Skript), eine vertrauliche Investition. Druck wird über drei Hebel aufgebaut: Zeit ("muss heute raus"), Vertraulichkeit ("nicht mit Kollegen besprechen"), Autorität ("ich entscheide das, du führst aus").
Phase vier: Eventuell Folge-Anrufe. Bei großen Beträgen kommt manchmal ein zweiter Anruf, oft vom angeblichen Anwalt oder Wirtschaftsprüfer, der die Plausibilität bestätigt. Auch dieser Anruf ist oft ein Voice-Clone oder ein eingearbeiteter Komplize.
Phase fünf: Geldwäsche. Das Geld geht zunächst auf ein deutsches oder europäisches Konto, oft eines Money-Mule, der nicht weiß, dass er Teil einer Betrugskette ist. Innerhalb von Stunden wird es weitertransferiert nach Asien, oft in Krypto umgewandelt. Spätestens 24 Stunden nach Eingang ist es nicht mehr greifbar.
Warum technische Schutzmaßnahmen oft nicht reichen
Viele Unternehmen verlassen sich auf E-Mail-Filter, KI-Stimmerkennung oder Anti-Phishing-Software. Bei CEO Fraud helfen diese Maßnahmen oft nicht.
KI-Stimmerkennung. Es gibt Software, die behauptet, Voice-Cloning zu erkennen. In Lab-Tests funktioniert das je nach Anbieter zu 70 bis 90 Prozent. In der Praxis am Telefon, mit reduzierter Audioqualität, mit Handy-zu-Handy-Verbindung, sinkt die Erkennungsrate deutlich. Außerdem braucht die Software Zugriff auf den Anrufstream, was technisch oft nicht eingerichtet ist.
E-Mail-Filter. Helfen nur, wenn der Angriff per E-Mail kommt. CEO Fraud läuft 2026 zunehmend über Telefon und WhatsApp. Da greift kein Filter.
Genehmigungsworkflows in Banking-Software. Viele Online-Banking-Systeme erlauben Vier-Augen-Workflows. Aber: Wenn der Geschäftsführer am Telefon Druck macht und sagt "ich genehmige das gerade in der App", merkt der Buchhalter nicht, dass die App-Freigabe nicht erfolgt ist (oder von einer anderen Person mit Zugang gemacht wurde).
Was wirklich funktioniert, ist eine Mischung aus organisatorischen und technischen Maßnahmen. Schwerpunkt: organisatorisch.
Die drei Schutzmaßnahmen, die wirklich funktionieren
Aus der Praxis und der Polizeiarbeit kristallisieren sich drei Maßnahmen heraus, die in Kombination 95 Prozent der CEO-Fraud-Versuche abwehren.
Erstens: Codewort zwischen Geschäftsführung und Buchhaltung. Ein Wort, das nur in dieser Gruppe bekannt ist. Bei einem Anruf des angeblichen Geschäftsführers fragt die Buchhaltung beiläufig nach dem Codewort. Echte Personen wissen es. Voice-Clones nicht, weil das Codewort nirgends im Internet steht. Das Wort sollte nicht aus persönlichen Daten kommen (kein Lieblingstier, kein Geburtsort), sondern frei erfunden sein. Wechselrhythmus: alle drei bis sechs Monate, bei Personalwechsel sofort.
Zweitens: 4-Augen-Prinzip ab 10.000 Euro. Jede Auslandsüberweisung über 10.000 Euro braucht zwei Genehmigungen, von zwei verschiedenen Personen, idealerweise über zwei verschiedene Kanäle (E-Mail-Bestätigung plus persönliche Rückfrage). Die Schwelle kann je nach Unternehmensgröße angepasst werden, sollte aber dokumentiert sein.
Drittens: Rückruf über bekannte Nummer. Bei jedem Anruf mit Geldforderung wird aufgelegt und über die im Telefonbuch gespeicherte Nummer der angerufenen Person zurückgerufen. Niemals über die Nummer, die im Display erscheint, weil die Anruferkennung gefälscht werden kann (Caller-ID-Spoofing). Die echte Person erreicht man dann unter ihrer echten Nummer und kann verifizieren, ob der Anruf legitim war.
Diese drei Maßnahmen kosten Null Euro Anschaffung und etwa zwei Stunden interne Abstimmung. Sie sind die kostengünstigste Versicherung gegen einen sechsstelligen Schaden, die ein Mittelständler haben kann.
Was tun nach einem erfolgreichen CEO Fraud
Wenn der Anruf erfolgreich war und Geld geflossen ist, gelten die gleichen Schritte wie bei anderen Cyber-Vorfällen. In Reihenfolge: Bank-Notrufnummer (Chance auf Rückbuchung), IT-Forensik, Polizei (§263 StGB), bei Datenleck Aufsichtsbehörde (Art. 33 DSGVO, 72-Stunden-Frist), Cyber-Versicherung, interne Aufarbeitung.
Spezifisch beim CEO Fraud sind drei Punkte zu beachten:
Die Strafanzeige muss innerhalb von drei Monaten erfolgen (§77b StGB), sonst entfällt das Strafverfahren. Anzeige immer machen, auch wenn die Aufklärungsquote niedrig ist. Das Aktenzeichen wird für Versicherung gebraucht.
Die Versicherung verlangt oft den Nachweis, dass die internen Schutzregeln eingehalten oder eingerichtet waren. Wenn das Codewort nicht eingeführt war oder das 4-Augen-Prinzip nicht dokumentiert, kann die Versicherung Leistungskürzungen geltend machen.
Der Geschäftsführer, dessen Stimme geklont wurde, ist nicht Täter, sondern auch Opfer. Persönlichkeitsrecht (Art. 2 GG, §823 BGB) wird verletzt. Eine zivilrechtliche Klage gegen die Täter ist theoretisch möglich, in der Praxis wegen Auslandsbezug oft nicht durchsetzbar.
Spezialfall: Holding-Strukturen und Konzerne
In Konzern- und Holding-Strukturen ist CEO Fraud besonders gefährlich, weil die Buchhaltung einer Tochtergesellschaft den Geschäftsführer der Mutter selten persönlich kennt. Die Täter nutzen das aus.
Spezifische Schutzmaßnahmen:
Klare Zuständigkeitsregel: Geldforderungen vom Mutterkonzern an die Tochter laufen ausschließlich über definierte Mitarbeiter (CFO der Tochter, nicht über die Buchhaltung direkt). Diese definierten Mitarbeiter werden persönlich auf den Mutterkonzern und die dortigen Geschäftsführer eingestellt.
Telefonbuch der Konzernführung. Jede Buchhaltung sollte eine kurze Liste der relevanten Konzernführungen mit Foto und Telefonnummer haben, idealerweise mit einem zweiten Verifikationskanal (E-Mail oder Teams-Chat).
Konzernweites Codewort-System. Bei Holdings sinnvoll: ein gemeinsames Codewort für die gesamte Holding-Familie, das nur die berechtigten Mitarbeiter kennen.
FAQ
Wie hoch sind die durchschnittlichen Schäden in Deutschland?
Der Bitkom-Wirtschaftsschutzbericht 2025 weist Durchschnittsschäden zwischen 150.000 und 500.000 Euro pro Fall aus, mit Ausreißern bis in den siebenstelligen Bereich. Bei Großkonzernen können einzelne Fälle in den zweistelligen Millionen-Bereich gehen, sind aber selten. Im typischen Mittelstand liegt der Schaden meist zwischen 50.000 und 250.000 Euro.
Greift der Versicherungsschutz auch wenn die Buchhaltung fahrlässig gehandelt hat?
In der Regel ja, solange es sich um normale Fahrlässigkeit handelt. Bei grober Fahrlässigkeit (zum Beispiel dokumentiert ignoriertes Codewort) kann die Versicherung kürzen oder verweigern. Wichtig: Die Versicherungsbedingungen genau lesen und im Zweifel Anpassung verlangen, bevor ein Schaden eintritt.
Können wir die Mitarbeiter zur Rückzahlung verpflichten?
Nur in Ausnahmefällen. Arbeitnehmer haften nach den Grundsätzen der "innerbetrieblichen Schadensteilung" nur bei grober Fahrlässigkeit oder Vorsatz für Schäden in Höhe ihres Gehalts (vereinfacht). Bei normaler Fahrlässigkeit (jemand hat einen guten Voice-Clone nicht erkannt) ist eine Inanspruchnahme arbeitsrechtlich praktisch nicht durchsetzbar. Die Versicherung kann ggf. Regress beim Mitarbeiter nehmen, aber auch nur unter engen Voraussetzungen.
Was ist mit den Banken die das Geld weitertransferieren?
Banken haben Geldwäschepflichten nach dem Geldwäschegesetz (GwG). Bei sehr hohen oder ungewöhnlichen Überweisungen müssen sie prüfen. Wenn die deutsche Hausbank eine ungewöhnliche Sechsstellige-Überweisung nach Hongkong ohne Plausibilitätsprüfung ausgeführt hat, kann es eine Mithaftung geben. In der Praxis ist das aber schwer durchsetzbar. Anwaltsrat einholen, wenn der Schaden hoch ist.
Wie kommunizieren wir intern nach einem erfolgreichen CEO Fraud?
Offen, sachlich, ohne Schuldzuweisungen. Der Vorfall sollte zur Lerngelegenheit werden. Mitarbeiter müssen verstehen, dass sie auf einen perfekten Trick hereingefallen sind, nicht auf eine peinliche Lücke. Wer den Vorfall verschweigt, riskiert dass ein zweiter Versuch klappt. Wer offen kommuniziert (intern, idealerweise auch in der Branche, anonym), schafft Schutz für alle.
Eigene Haltung
CEO Fraud ist 2026 kein Thema mehr für Großkonzerne. Es ist mittelstandsrelevant. Wir sehen bei unseren Kontakten in der Branche, dass die Unternehmen zwischen 30 und 200 Mitarbeitern besonders gefährdet sind: groß genug für sechsstellige Beträge auf dem Konto, klein genug, dass Buchhaltung und Geschäftsführung nicht durch mehrere formale Schichten getrennt sind. Der Schutz ist banal: Codewort, Vier-Augen, Rückruf. Drei Sätze, die in jeden Buchhaltungs-Meeting-Beschluss passen. Die teuerste Entscheidung in einem Mittelstand ist nicht eine fehlende Cyber-Versicherung, sondern dass diese drei Maßnahmen nie eingeführt wurden, weil "uns passiert das nicht". Es passiert. Und es trifft regelmäßig die Unternehmen, die Codewort und Vier-Augen-Prinzip lange für übertrieben hielten.
- Deepfake-Anrufe erkennen: 5 Warnsignale
- Deepfake-Vorfall im Unternehmen: Rechtliche Schritte 2026
- KI-Phishing-Schulung für Mitarbeiter: Pflicht-Inhalte 2026
- Pillar: Digitalisierungsmanager
- KI-Weiterbildung kostenlos
Zuletzt aktualisiert: 25.04.2026. Stand der rechtlichen Aussagen: April 2026, vorbehaltlich aktueller Rechtsprechung.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.