BACS warnt vor anhaltendem CEO-Betrug

Cyberkriminelle geben sich nach wie vor gerne als CEOs von KMUs aus. Zu diesem Schluss kommt das Bundesamt für Cybersicherheit (BACS), das im Jahr 2025 insgesamt 971 Fälle dieser Betrugsmasche verzeichnet hat; 2024 waren es noch 719. Allerdings setzen die Kriminellen dabei nicht mehr ausschliesslich auf E-Mails, sondern auch auf psychologische Manipulation und künstliche Intelligenz (KI).

Die Betrugsmasche nutzt laut BACS den Reflex, dass Mitarbeitende Anweisungen von CEOs oft schnell und ohne grosse Rückfragen befolgen. Die Kriminellen würden dabei im Vorfeld Unternehmen, Mitarbeitende, Hierarchien, Berechtigungen, Zuständigkeiten sowie Abwesenheiten analysieren. Zu diesen Informationen gelangen sie über die Websites der Unternehmen, über soziale Netzwerke wie Linkedin, oder übers Handelsregister.

Als Beispiel für typisches Vorgehen nennt das Bundesamt etwa eine E-Mail an einen Mitarbeitenden der Finanzabteilung, die scheinbar vom CEO stammt. Der Absendername sei dabei korrekt, und auch die E-Mail-Adresse wirke auf den ersten Blick vertrauenswürdig. Tatsächlich sind die Domains laut BACS jedoch mittels sogenanntem "Typosquatting" manipuliert - minimale Verdrehungen der Buchstaben, die die Abweichung kaum erkennbar machen.

Die Nachricht enthält typischerweise eine angebliche zeitkritische "Bitte". Das BACS nennt dabei dringende Zahlungen an ausländische Lieferanten, Fragen nach dem Kontostand oder den Kauf von Geschenkkarten und Gutscheinen. Um Rückfragen zu vermeiden, arbeiteten die Betrüger mit Formulierungen wie "Ich verlasse mich auf Ihre Diskretion", "Ich bin unglaublich dankbar" oder "Führen Sie die Zahlung sofort aus".

Beispiel für eine CEO-Betrugs-E-Mail. (Source: BACS)

Neue Technologien beflügeln Cyberkriminelle

CEO-Betrug findet mittlerweile auch über Whatsapp oder Telefon statt, wie das BACS weiter schreibt. Besonders besorgniserregend sei der Einsatz von KI-Tools, die den Schreibstil oder die Stimme der echten Vorgesetzten imitieren. Die Bundesbehörde führt dabei einen Fall aus dem Kanton Schwyz als Beispiel an, in welchem eine Firma mehrere Millionen Franken verloren hat - nach vermehrten Deepfake-Audioanrufen oder Sprachnachrichten. Selten habe das Bundesamt auch schon mit KI manipulierte Videokonferenzen beobachtet. Da diese momentan aber noch aufwändig seien, handle es sich eher um Versuchsballone. So blieben die Betrügenden vorerst bei Telefonbetrug mit KI.

Ebenfalls häufen sich laut Mitteilung Betrugsfälle, in denen der Kontakt über vermeintliche Anwältinnen oder Anwälte stattfindet. Die E-Mails von falschen Vorgesetzten beziehen sich in diesen Fällen zusätzlich auf Schweizerische Anwaltskanzleien, die in der vertraulichen Angelegenheit angeblich involviert sein sollen. Das potenzielle Opfer soll demnach eine Nachricht von einer vermeintlichen Anwältin oder einem Anwalt dieser Kanzlei bekommen.

Durch die Impersonation eines Anwalts oder einer Anwältin müssen die Kriminellen ihre Opfer laut BACS nicht so gut kennen wie in der CEO-Rolle. Zudem baue eine Drittperson zusätzliche Seriosität und rechtlichen Druck auf. Auch in diesem Fall werde unter dem Vorwand höchster Geheimhaltung zu dringenden Auslandszahlungen aufgefordert.

Empfehlungen des BACS

Das Bundesamt für Cybersicherheit empfiehlt, für Zahlungen oder Änderungen an Stammdaten ein Vieraugenprinzip mit Kollektivunterschrift oder Freigabe einzuführen. Zudem soll bei Zahlungsaufforderungen per E-Mail über einen zweiten Kanal verifiziert werden, etwa durch einen Anruf beim Auftraggeber über die bereits bekannte Telefonnummer.

Weiter betont die Behörde, dass keine Ausnahmen von den Sicherheitsprozessen gewährt werden dürften, besonders bei Anweisungen der Chefetage sei gesunde Skepsis eine Stärke in der Unternehmenskultur. Abhilfe bei E-Mails verschaffe auch ein "External"-Banner bei E-Mails von Absenderinnen und Absendern ausserhalb des Unternehmens, da so das "Typosquatting" auffliege.

Cyberkriminelle nutzen nicht nur die Machtposition eines Vorgesetzten aus, um potenzielle Opfer in die Falle zu locken. Sie missbrauchen auch vermehrt Promis als Lockvögel. Lesen Sie hier mehr über diese Betrugsmasche.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.