CEO-Fraud (auf Deutsch oft „Chef-Betrug“) ganz einfach:

– Was heißt das?
– CEO ist ein anderes Wort für Chef.
– Fraud heißt Betrug.
– Also: Jemand tut so, als wäre er der Chef, um andere reinzulegen.

– Wie funktioniert der Trick?
– Die Betrüger schicken eine E‑Mail, SMS oder Chat-Nachricht.
– Sie geben sich als Chef, Lehrer oder eine wichtige Person aus.
– Sie schreiben: „Es ist super dringend!“ oder „Das ist streng geheim!“
– Dann wollen sie Geld, Gutscheinkarten-Codes oder geheime Daten.

– Stell dir das so vor:
– Jemand schreibt deiner Klassenkasse: „Ich bin die Schulleiterin. Kauf sofort 10 Gutscheinkarten und schick die Codes. Keiner darf es wissen!“
– In echt ist es gar nicht die Schulleiterin, sondern ein Betrüger.

– Woran erkennt man es?
– Es ist plötzlich sehr dringend und soll geheim bleiben.
– Die Nachricht klingt ungewöhnlich oder passt nicht zur Person.
– Die E‑Mail-Adresse sieht fast gleich aus, hat aber einen kleinen Fehler.
– Es wird nach Geld, Codes, Passwörtern oder persönlichen Daten gefragt.

– Was sollte man tun?
– Ruhig bleiben und nicht sofort antworten.
– Über eine bekannte Nummer anrufen und nachfragen: „Hast du das wirklich geschickt?“
– Eine zweite Person fragen (Vier-Augen-Prinzip).
– Niemals Passwörter, TANs oder Gutschein-Codes weitergeben.
– Verdächtige Nachrichten melden (an Eltern, Lehrer, IT oder Chef).

Kurz: Beim CEO-Fraud verkleidet sich ein Betrüger als „Chef“ und drängt zu schnellen, geheimen Aktionen, um Geld oder Daten zu stehlen. Immer prüfen, nie hetzen lassen.

Was ist CEO-Fraud einfach erklärt mit typischen Maschen klaren Warnsignalen konkreten Prüfschritten und Notfallplan

CEO-Fraud heißt: Jemand gibt sich als Chef, CFO, Anwalt oder wichtiger Partner aus und drängt auf eine schnelle, geheime Zahlung. Die Anfragen kommen per E‑Mail, Telefon, WhatsApp, Teams oder sogar mit nachgemachter Stimme/Video. Typische Maschen: „Projekt streng vertraulich“, „Frist heute“, „Überbrücke mal eben“, „IBAN geändert“, „Gutscheinkarten kaufen“, „Lieferant hat neue Bankdaten“. Oft passt der Zeitpunkt: spät am Freitag, Urlaub des Chefs, Monatsabschluss. Warnsignale sind ein seltsamer Tonfall, unübliche Grußformel, minimale Tippfehler, eine Domain, die fast gleich aussieht, Reply-To weicht ab, neue Telefonnummer, Zahlungsziel sofort, Bitte um Umgehung des Vier-Augen-Prinzips, ausländische Konten oder Zwischenkonten. Wenn etwas am Prozess vorbei soll, ist das meistens das Alarmsignal.

Prüfschritte, die Zeit kosten, aber Geld sparen: Stopp machen, tief durchatmen, dann über einen bekannten Kanal rückfragen – feste Durchwahl, gespeicherte Mobilnummer, kurzer Video-Check. Nie über die Kontaktdaten aus der verdächtigen Nachricht. Domain und Reply-To prüfen, im ERP die Lieferantenstammdaten gegen offizielle Quellen abgleichen, immer Vier-Augen und Freigabegrenzen einhalten. Bei Bankdatenänderungen: Rückruf an die offizielle Nummer auf der Webseite, nicht aus der E‑Mail. 10‑Minuten-Regel: erst nach Rückfrage zahlen. Notfallplan, falls schon überwiesen: sofort die Bank anrufen (Rückruf/Freeze anstoßen), dann Security/IT/Finanzen/Löschung der Sitzung, Passwörter ändern, MFA prüfen, Beweise sichern, Polizei und ggf. Versicherung informieren, Lieferanten warnen. Vorgang dokumentieren, Regeln schärfen, kurze Team‑Lerneinheit machen. Eine Einseiter-Checkliste mit Notrufnummern liegt gut sichtbar im Finanzteam – das spart im Ernstfall Sekunden.

Schlussgedanken

Zusammengefasst: Diese Betrugsform setzt auf Täuschung, vermeintliche Autorität und starken Zeitdruck, um schnelle Überweisungen oder die Herausgabe vertraulicher Daten zu erzwingen. Auffällig sind ungewöhnliche Bitten, Forderungen nach Geheimhaltung und Abweichungen von vertrauten Abläufen. Schutz bieten Aufmerksamkeit, klare Zuständigkeiten, das Vier-Augen-Prinzip und kurze Rückfragen über bekannte Wege. Wer im Zweifel stoppt, prüft und Verdächtiges sofort meldet, senkt das Risiko für sich und das Unternehmen. Das ist im Alltag relevant, weil solche Angriffe mitten in gewöhnlichen Arbeitsprozessen auftreten und jede Person im Team zur Abwehr beitragen kann.