4. Februar 2026
Der sogenannte CEO-Betrug gehört nach wie vor zu den am meisten dem BACS gemeldeten Betrugsmethoden und hat im vergangenen Jahr verglichen mit 2024 von 719 auf 971 Fälle zugenommen. Auch in der vergangenen Woche gingen beim BACS erneut Meldungen ein, die zeigen, dass die Täter ihre Masche stetig verfeinern. Sie setzen nicht mehr ausschliesslich auf gefälschte E-Mails, sondern auch gezielt auf psychologische Manipulation und künstliche Intelligenz
In der Hektik des Geschäftsalltags sind E-Mails von Vorgesetzten oft der Taktgeber für Prioritäten. Wenn die Geschäftsleitung eine Anweisung gibt, wird diese meist schnell und ohne grosse Rückfragen ausgeführt. Genau diesen Reflex nutzen Cyberkriminelle beim CEO-Betrug aus. Die Angriffe erfolgen oft wellenartig und treffen KMU oder Vereine jeder Grösse. Die Betrüger nutzen dabei vor allem Daten aus öffentlichen Quellen. Im Visier stehen deshalb vor allem Firmen, Vereine oder Gemeinden, die Informationen zu ihren Mitarbeitenden oder ihrem Team auf ihrer Website oder in den sozialen Medien veröffentlichen.
Am Anfang steht die Recherche
Anders als bei massenhaft versendeten Phishing-E-Mails bereiten sich die Täter beim CEO-Betrug vor. Sie durchsuchen soziale Netzwerke wie LinkedIn oder die Firmenwebseite sowie das Handelsregister, um Hierarchien, Zuständigkeiten und Abwesenheiten zu analysieren. Sie wissen genau, wer in der Buchhaltung Zugriff auf die Konten hat und wer in der Geschäftsleitung weisungsbefugt ist.
Das typische Szenario, das dem BACS immer wieder gemeldet wird, läuft folgendermassen ab: Ein Mitarbeitender der Finanzabteilung erhält eine E-Mail, die scheinbar vom CEO stammt. Der Absendername stimmt und auch die E-Mail-Adresse scheint auf den ersten Blick vertrauenswürdig. Erst beim zweiten Blick fallen hier Unstimmigkeiten auf. Betrüger nutzen oft Domänen mit «Typosquatting» also minimale Buchstabendreher in der Domäne.
Autorität trifft auf Zeitdruck
In der Nachricht wird meist ein Szenario konstruiert, das als «Bitte» formuliert wird und Eile erfordert. Beliebte Vorwände sind:
- Eine dringende Zahlung an einen ausländischen Lieferanten, meist gefolgt von der Frage nach dem offenen oder aktuellen Kontostand;
- Der Kauf von Geschenkkarten oder Gutscheinen für Partner, der sofort erledigt werden muss.
Die Täter bauen dabei psychologischen Druck auf. Formulierungen wie «Ich verlasse mich auf Ihre Diskretion», «Ich bin unglaublich dankbar» oder «Führen Sie die Zahlung sofort aus» sollen den Mitarbeitenden davon abhalten, die üblichen Sicherheitsvorgaben einzuhalten oder Rückfragen zu stellen.
Neue Variante via WhatsApp und mit KI
CEO-Betrug findet aber nicht nur via E-Mail statt. Auch über WhatsApp oder Telefon werden die Betrugsversuche mittlerweile getätigt. Eine besorgniserregende Entwicklung ist hierbei der zunehmende Einsatz von künstlicher Intelligenz (KI). Kriminelle nutzen KI-Tools, um den Schreibstil des echten Vorgesetzten zu imitieren – inklusive typischer Grussformeln oder Redewendungen. Wie ein in der letzten Woche publik gewordener Fall im Kanton Schwyz gezeigt hat, bei dem eine Firma mehrere Millionen Franken verloren hat, werden vermehrt auch Deepfake-Audioanrufe oder Sprachnachrichten eingesetzt. Dabei wird die Stimme des Chefs oder eines Geschäftspartners durch künstliche Intelligenz täuschend echt imitiert.
Auch mittels künstlicher Intelligenz manipulierte Videokonferenzen wurden bereits beobachtet. Diese scheinen aber in der Umsetzung für die Betrüger noch zu aufwändig zu sein. Wahrscheinlich handelt es sich noch um Versuchsballone. Die Angreifer konzentrieren sich eher auf die Telefonvariante und das Klonen der Stimme.
Immer wieder Anwaltskanzleien
Das BACS erhält auch immer wieder Meldungen, dass der Kontakt über Anwälte stattfindet. Es werden dabei die Namen existierender und in der Schweiz ansässiger Anwaltskanzleien missbraucht, um bei den Opfern Vertrauen zu schaffen. Der vermeintliche Vorgesetzte fragt in diesem Fall das Opfer, ob ein spezifischer Anwalt bereits wegen einer vertraulichen Sache oder eines dringenden Mandats Kontakt aufgenommen habe. Diese Erwähnung einer Drittperson soll zusätzliche Seriosität und rechtlichen Druck aufbauen. Zudem kennen die Opfer die Eigenschaften und Gepflogenheiten des Anwalts nicht so gut, wie die des Chefs oder der eigenen Mitarbeitenden. Die Betrüger müssen sich deshalb auch nicht mehr so grosse Mühe geben, die Person zu imitieren. In der Regel geben sich die Betrüger danach als besagter Anwalt aus, um unter dem Vorwand höchster Geheimhaltung eine dringende Auslandsüberweisung einzufordern.
Empfehlungen
Das BACS rät Unternehmen, technische und organisatorische Hürden aufzubauen:
- Vier-Augen-Prinzip: Führen Sie für Zahlungen und für Änderungen an Stammdaten (z. B. neue IBAN eines Lieferanten) zwingend eine Kollektivunterschrift oder eine Freigabe durch eine weitere Person ein.
- Verifizierung über einen zweiten Kanal: Wenn Sie eine Zahlungsaufforderung per E-Mail erhalten – insbesondere, wenn sie «dringend» oder «geheim» ist –, rufen Sie den Auftraggeber an. Nutzen Sie dafür nicht die Nummer in der E-Mail, sondern die Ihnen bekannte Nummer.
- Keine Ausnahmen: Vereinbaren Sie klar, dass Sicherheitsprozesse auch (und gerade) bei Anweisungen der Chefetage nicht umgangen werden dürfen. Eine gesunde Skepsis sollte in der Unternehmenskultur als Stärke, nicht als Ungehorsam gelten.
- Markierung externer E-Mails: Konfigurieren Sie Ihren E-Mailserver so, dass E-Mails von externen Absendern im Betreff oder im Textkörper deutlich markiert werden (z. B. «EXTERNAL»). So fällt es sofort auf, wenn eine E-Mail angeblich vom internen CEO kommt, aber eigentlich von einer externen Adresse gesendet wurde.
Quelle: NCSC Schweiz
