Die schlimmste Art von Phishing-Betrug ist die, die Sie nicht einfach ignorieren können: wie CEO Fraud. E-Mails, die angeblich von der Regierung stammen und Sie auffordern, die ausstehende Steuerzahlung zu leisten oder rechtliche Schritte zu riskieren. E-Mails, die aussehen, als wären sie von Ihrer Schule oder Universität und Sie auffordern, die eine verpasste Studiengebühr zu bezahlen. Oder sogar eine Nachricht von Ihrem Chef oder Geschäftsführer, in der Sie aufgefordert werden, ihm "als Gefallen" etwas Geld zu überweisen.
Wichtigste Erkenntnisse
- CEO-Betrug ist eine erhebliche Bedrohung, die dazu führen kann, dass jedes Jahr Millionen von Dollar durch überzeugende Phishing-E-Mails verloren gehen.
- Die Aufklärung der Mitarbeiter über Phishing-Taktiken und -Warnzeichen ist entscheidend für die Verhinderung von Betrugsversuchen durch CEOs.
- E-Mail-Authentifizierungsprotokolle wie DMARC können dazu beitragen, nicht autorisierte E-Mails zu blockieren, bevor sie Ihren Posteingang erreichen.
- Holen Sie immer eine ausdrückliche Genehmigung über andere Kanäle ein, bevor Sie eine per E-Mail angeforderte Überweisung bearbeiten.
- Die Überwachung und Kennzeichnung von E-Mails von ähnlichen Domänennamen kann das Risiko verringern, Opfer von Phishing-Versuchen zu werden.
Was ist CEO-Betrug?
Beim CEO-Betrug handelt es sich um einen E-Mail-Phishing-Betrug, bei dem sich die Betrüger als CEO eines Unternehmens ausgeben und versuchen, Mitarbeiter dazu zu bewegen, ihnen Geld zu schicken. Die E-Mails enthalten in der Regel den echten Namen und die Berufsbezeichnung des Geschäftsführers des Unternehmens.
Das Problem bei solchen E-Mails ist, dass sie sich als eine Autoritätsperson ausgeben, sei es die Regierung, Ihr Universitätsvorstand oder Ihr Chef auf der Arbeit. Das sind wichtige Leute, und das Ignorieren ihrer Nachrichten wird mit ziemlicher Sicherheit ernsthafte Konsequenzen haben. Sie sind also gezwungen, sich die E-Mails anzusehen, und wenn sie überzeugend genug erscheinen, könnten Sie tatsächlich darauf hereinfallen.
Schützen Sie sich mit PowerDMARC vor CEO-Betrug!
Sie sind nicht immun gegen CEO-Betrug
Es handelt sich umeinen Betrug im Wert von 2,3 Milliarden Dollar pro Jahr. Sie fragen sich vielleicht: "Wie können Unternehmen so viel Geld durch einen einfachen E-Mail-Betrug verlieren?" Aber Sie würden überrascht sein, wie überzeugend CEO-Betrugs-E-Mails sein können.
Im Jahr 2016 verlor Mattel fast 3 Millionen Dollar durch einen Phishing-Angriff, als eine Finanzmanagerin eine E-Mail vom CEO erhielt, in der sie angewiesen wurde, eine Zahlung an einen ihrer Lieferanten in China zu senden. Aber erst als sie später beim CEO nachfragte, stellte sie fest, dass er die E-Mail gar nicht gesendet hatte. Glücklicherweise arbeitete das Unternehmen mit den Strafverfolgungsbehörden in China und den USA zusammen, um das Geld ein paar Tage später zurückzubekommen, aber das passiert bei diesen Angriffen fast nie.
Die Menschen neigen dazu zu glauben, dass ihnen diese Betrügereien nicht passieren werden... bis es ihnen passiert. Und das ist ihr größter Fehler: sich nicht auf CEO-Betrug vorzubereiten.
Phishing-Betrügereien können Ihr Unternehmen nicht nur Millionen von Dollar kosten, sie können auch den Ruf und die Glaubwürdigkeit Ihrer Marke nachhaltig beeinträchtigen. Dies gilt insbesondere für Branchen wie die Rechtsbranche, in der Vertrauen und Online-Sichtbarkeit Hand in Hand gehen - und in der starke juristische SEO-Praktiken in aller Stille beeinflussen können, wie potenzielle Kunden Ihre Kanzlei finden und beurteilen. Sie laufen Gefahr, als das Unternehmen angesehen zu werden, das Geld durch einen E-Mail-Betrug verloren hat, und das Vertrauen Ihrer Kunden zu verlieren, deren sensible persönliche Daten Sie speichern.
Anstatt sich im Nachhinein um Schadensbegrenzung zu bemühen, ist es viel sinnvoller, Ihre E-Mail-Kanäle gegen Spear-Phishing-Betrug wie diesen zu sichern. Hier sind einige der besten Möglichkeiten, wie Sie sicherstellen können, dass Ihre Organisation nicht zu einer Statistik im BEC-Bericht des FBI wird.
Wie Sie CEO-Betrug verhindern: 6 einfache Schritte
- Schulen Sie Ihre Mitarbeiter in Bezug auf „Business E-Mail Compromise“ (
) Dieser Punkt ist absolut entscheidend. Ihre Mitarbeiter – insbesondere diejenigen in der Finanzabteilung – müssen verstehen, wie „Business E-Mail Compromise“ funktioniert. Und damit meinen wir nicht nur eine langweilige zweistündige Präsentation darüber, dass man sein Passwort nicht auf einen Post-it-Zettel schreiben sollte. Sie müssen Ihre Mitarbeiter darin schulen, wie sie verdächtige Anzeichen für gefälschte E-Mails erkennen, auf gefälschte E-Mail-Adressen achten und ungewöhnliche Anfragen erkennen, die andere Mitarbeiter scheinbar per E-Mail stellen. - Achten Sie auf verräterische Anzeichen für Spoofing
E-Mail-Betrüger wenden alle möglichen Taktiken an, um Sie dazu zu bringen, ihren Forderungen nachzukommen. Diese reichen von dringenden Aufforderungen oder Anweisungen zur Überweisung von Geld – um Sie dazu zu bringen, schnell und unüberlegt zu handeln – bis hin zur Bitte um Zugang zu vertraulichen Informationen für ein „geheimes Projekt“, über das die Vorgesetzten Ihnen noch nichts mitteilen wollen. Dies sind ernstzunehmende Warnsignale, und Sie müssen die Angaben doppelt und dreifach überprüfen, bevor Sie überhaupt irgendwelche Maßnahmen ergreifen. - Schützen Sie sich mit DMARC
Der einfachste Weg, einen Phishing-Betrug zu verhindern, besteht darin, die E-Mail gar nicht erst zu erhalten. DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mails, die von Ihrer Domain stammen, vor der Zustellung überprüft. Wenn Sie DMARC für Ihre Domain aktivieren, wird jeder Angreifer, der sich als Mitarbeiter Ihrer Organisation ausgibt, als unbefugter Absender erkannt, und seine E-Mail wird in Ihrem Posteingang blockiert. Sie müssen sich überhaupt nicht mit gefälschten E-Mails auseinandersetzen.
Erfahren Sie, was DMARC ist.
- Holen Sie sich die ausdrückliche Genehmigung für Überweisungen
Dies ist eine der einfachsten und unkompliziertesten Methoden, um zu verhindern, dass Geld an die falschen Personen überwiesen wird. Bevor Sie eine Transaktion durchführen, sollten Sie es zur Pflicht machen, die ausdrückliche Genehmigung der Person, die das Geld anfordert, über einen anderen Kanal als E-Mail einzuholen. Bei größeren Überweisungen sollten Sie eine mündliche Bestätigung zur Pflicht machen. Viele Unternehmen nutzen zudem gesicherte Kreditkarten als Alternative zu Überweisungen, da diese einen besseren Schutz vor Betrug bieten. - E-Mails mit ähnlichen Endungen kennzeichnen
Das FBI empfiehlt Ihrer Organisation, Systemregeln zu erstellen, die E-Mails automatisch kennzeichnen, deren Endungen denen Ihres Unternehmens zu ähnlich sind. Wenn Ihr Unternehmen beispielsweise „123-business.com“ verwendet, könnte das System E-Mails mit Endungen wie „123_business.com“ erkennen und kennzeichnen. - Kaufen Sie ähnliche Domainnamen
Angreifer verwenden häufig ähnlich aussehende Domainnamen, um Phishing-E-Mails zu versenden. Wenn der Name Ihrer Organisation beispielsweise ein kleines „i“ enthält, könnten sie ein großes „I“ verwenden oder den Buchstaben „E“ durch die Ziffer „3“ ersetzen. Auf diese Weise können Sie das Risiko verringern, dass jemand einen sehr ähnlichen Domainnamen nutzt, um Ihnen E-Mails zu senden.
- Was ist TLS-Berichterstattung? Wie SMTP-TLS-Berichte Fehler bei der E-Mail-Zustellung erkennen – 9. Juli 2026
- Die besten DMARC-MCP-Server im Jahr 2026: Verbinden Sie KI mit Ihren E-Mail-Authentifizierungsdaten – 9. Juli 2026
- DMARC-MSP-Fallstudie: „The Great Geek“ erweitert seine E-Mail-Sicherheitsdienste für KMU mit PowerDMARC – 25. Juni 2026

