CEO-Fraud: Was tun nach einer betrügerischen Überweisung?
Beim CEO-Fraud gibt sich ein Betrüger per E-Mail, Anruf oder Deepfake als Geschäftsführer aus und bringt einen Mitarbeiter dazu, eine hohe Summe ins Ausland zu überweisen. Was Sie in den ersten Stunden tun müssen und wer am Ende für den Schaden aufkommt.
Beim CEO-Fraud gibt sich ein Betrüger als Geschäftsführer oder Vorstand aus und bringt einen Mitarbeiter mit Überweisungsvollmacht dazu, eine hohe Geldsumme auf ein meist ausländisches Konto zu überweisen. Ist das Geld bereits weg, zählt jede Stunde: Bank informieren, Rückruf der Zahlung auslösen, Anzeige erstatten. Ob Sie das Geld zurückbekommen und wer am Ende haftet, Bank, Mitarbeiter oder das Unternehmen selbst, hängt von den konkreten Umständen ab.
Was ist CEO-Fraud und wie läuft die Masche ab?
CEO-Fraud wird auch Chef-Masche, Fake President Fraud oder CEO-Betrug genannt. Die Täter recherchieren vorab öffentlich zugängliche Informationen über ein Unternehmen, häufig über die Firmenwebsite, LinkedIn-Profile oder Handelsregisterauszüge, und identifizieren gezielt Mitarbeiter mit Zugriff auf das Zahlungsverkehrskonto. Anschließend nehmen sie per E-Mail, Telefon oder mittlerweile auch per Videoanruf Kontakt auf, geben sich als Geschäftsführer oder ein Vorstandsmitglied aus und fordern eine dringende, streng vertrauliche Überweisung, etwa für eine angebliche Firmenübernahme, eine Steuerprüfung oder eine plötzliche Investition. Zeitdruck und die Aufforderung zur absoluten Verschwiegenheit sollen verhindern, dass der Mitarbeiter Rücksprache mit Kollegen oder Vorgesetzten hält.
Wie hat sich CEO-Fraud durch KI-Stimmklone und Deepfakes weiterentwickelt?
Die klassische Fake-Chef-E-Mail bleibt verbreitet, doch seit 2025 verstärkt sich eine neue, deutlich gefährlichere Variante: der Betrugsanruf mit einer KI-geklonten Stimme des tatsächlichen Geschäftsführers. Aus wenigen Sekunden öffentlich verfügbarem Audiomaterial, etwa einem Interview, einem Firmenvideo oder einer Konferenzaufzeichnung, lässt sich mit aktueller Sprachsynthese eine Stimme täuschend echt nachbilden. Das Bundeskriminalamt registriert nach eigenen Angaben seit 2023 einen Anstieg KI-gestützter Betrugsdelikte von über 300 Prozent, das Bundesamt für Sicherheit in der Informationstechnik warnte in seinem Lagebericht bereits für die Kombination aus Stimmklonen und Echtzeit-Video-Deepfakes als qualitativ neue Bedrohung, auf die viele Unternehmen nicht vorbereitet seien. Besonders gefährdet sind mittelständische Betriebe mit flachen Hierarchien, in denen ein direkter, persönlicher Draht zwischen Geschäftsführung und Buchhaltung genau das Vertrauen schafft, das sich für einen Deepfake-Anruf ausnutzen lässt.
Was muss ich in den ersten Stunden nach einer betrügerischen Überweisung tun?
Ist das Geld bereits überwiesen, kommt es auf Minuten und Stunden an:
- Bank sofort informieren. Rufen Sie unverzüglich Ihre Bank an und fordern Sie einen SWIFT-Rückruf (Recall) der Überweisung. Solange das Geld beim Empfängerinstitut noch nicht abgehoben oder weitergeleitet wurde, besteht eine reelle Chance auf Rückholung, mit jeder Stunde sinkt diese Chance jedoch spürbar.
- Rückruf-Fenster nutzen. Banken können innerhalb eines engen Zeitfensters, häufig wenige Stunden bis maximal ein bis zwei Werktage, über das SWIFT-Netzwerk oder das SEPA-Rückrufverfahren eine Stornierung beim Empfängerinstitut beantragen. Nach Ablauf dieses Fensters oder bei bereits abgehobenem Geld sinkt die Erfolgsaussicht erheblich.
- Strafanzeige erstatten. Erstatten Sie unverzüglich Anzeige bei der Polizei, idealerweise direkt bei einer auf Cybercrime spezialisierten Dienststelle. Wie unterschiedlich die Beweislage bei Betrugsvorwürfen ausfallen kann, zeigt sich auch bei ganz anderen Fallgruppen wie dem Corona-Testbetrug durch Abrechnungsbetrug und gefälschte Testnachweise. Die Anzeige ist Voraussetzung für viele weitere Schritte, unter anderem für eine mögliche Kontosperrung des Empfängerkontos im Ausland über Interpol- oder Europol-Kanäle.
- Beweise sichern. Sichern Sie die betrügerische E-Mail samt vollständigem Header, Anrufprotokolle, Chatverläufe und alle Überweisungsbelege, bevor Systeme sie automatisch löschen.
- Interne Aufarbeitung. Informieren Sie Geschäftsführung, Datenschutzbeauftragten und, falls einschlägig, die Versicherung. Prüfen Sie, ob personenbezogene Daten betroffen waren und eine Meldepflicht nach Art. 33 DSGVO besteht.
Kann ich das überwiesene Geld zivilrechtlich von der Bank zurückholen?
Hier muss klar unterschieden werden, denn das ist der häufigste Irrtum in der Beratung: § 675u BGB verpflichtet die Bank nur zur Erstattung eines nicht autorisierten Zahlungsvorgangs. Bei CEO-Fraud hat der getäuschte Mitarbeiter die Überweisung jedoch selbst über das Online-Banking oder ein Formular freigegeben, meist sogar mit korrekter TAN oder Unterschrift. Rechtlich gilt eine solche Zahlung deshalb im Regelfall als autorisiert, auch wenn der Mitarbeiter durch Täuschung dazu gebracht wurde. § 675u BGB greift damit bei einer klassischen CEO-Fraud-Überweisung typischerweise nicht.
Etwas anders liegt der Fall, wenn die Überweisung tatsächlich ohne wirksame Autorisierung erfolgte, etwa weil ein gefälschter Überweisungsbeleg per Fax oder E-Mail ohne echte TAN-Freigabe verarbeitet wurde und die Bank die fehlende Berechtigung hätte erkennen müssen. Das Oberlandesgericht Celle hat einen solchen Fall am 17.11.2020 entschieden: Wird ein Zahlungsauftrag von einer nicht zeichnungsberechtigten Person erteilt und bestehen Zweifel an deren Berechtigung, muss die Bank den Auftrag ablehnen, andernfalls kann ein Schadensersatzanspruch bestehen. Ob eine Überweisung im Einzelfall wirksam autorisiert war oder die Bank eigene Prüfpflichten verletzt hat, muss deshalb immer anhand der konkreten Umstände geprüft werden, ein pauschaler Erstattungsanspruch besteht bei CEO-Fraud gerade nicht automatisch.
Haftet der getäuschte Mitarbeiter dem Arbeitgeber für den Schaden?
Das ist für Betroffene oft die existenziellste Frage. Grundsätzlich gilt: Ein Arbeitnehmer haftet für Schäden, die er bei einer betrieblich veranlassten Tätigkeit verursacht, nicht nach den vollen zivilrechtlichen Regeln, sondern nach den vom Bundesarbeitsgericht entwickelten Grundsätzen des innerbetrieblichen Schadensausgleichs. Die Haftung richtet sich nach dem Verschuldensgrad:
- Bei leichter Fahrlässigkeit haftet der Arbeitnehmer gar nicht, der Arbeitgeber trägt den Schaden allein.
- Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer quotal aufgeteilt.
- Bei grober Fahrlässigkeit haftet der Arbeitnehmer grundsätzlich in vollem Umfang, das Gericht kann die Haftung aber im Einzelfall dennoch begrenzen, etwa mit Blick auf das Gehalt, die Gefahrgeneigtheit der Tätigkeit und ein Mitverschulden des Arbeitgebers.
- Bei Vorsatz bleibt es bei der vollen Haftung ohne Begrenzung.
Das Sächsische Landesarbeitsgericht hat am 13.6.2017 (Az. 3 Sa 556/16) einen der bekanntesten CEO-Fraud-Fälle entschieden: Eine Finanzdirektorin hatte auf gefälschte Anweisungen eines vermeintlichen Geschäftsführers hin rund 800.000 Euro ins Ausland überwiesen, ein Teil davon konnte zurückgeholt werden, sodass ein Schaden von etwa 420.000 Euro verblieb. Das Gericht bewertete das Verhalten der Arbeitnehmerin als grob fahrlässig, weil sie die gefälschten E-Mails trotz teils widersprüchlicher Angaben nicht als solche erkannte und sich nicht beim Geschäftsführer persönlich rückversicherte. Dennoch begrenzte das Gericht die Haftung auf 150.000 Euro, weil der volle Schaden außer Verhältnis zum Jahresgehalt der Arbeitnehmerin von rund 100.000 Euro stand und weil dem Arbeitgeber selbst ein Organisationsverschulden anzulasten war, unter anderem, weil eine bloße E-Mail-Warnung an die Belegschaft nicht ausreichte, um wirksame Sicherheitsvorkehrungen zu treffen.
Wie schützt sich ein Unternehmen wirksam vor CEO-Fraud?
Die wirksamsten Maßnahmen sind organisatorisch, nicht technisch: Wie bei den meisten Betrugsmaschen im Bereich Cybercrime sind auch hier die wirksamsten Maßnahmen organisatorisch, nicht technisch:
- Vier-Augen-Prinzip für Überweisungen ab einem festgelegten Schwellenwert, ohne Ausnahme, auch bei angeblicher Dringlichkeit oder Vertraulichkeit.
- Rückruf-Pflicht über eine im Unternehmen bekannte, selbst gewählte Telefonnummer vor jeder eilbedürftigen oder ungewöhnlichen Zahlungsanweisung, niemals über eine im verdächtigen Kontakt selbst mitgeteilte Nummer.
- Verifikationsprozess für Videoanrufe, etwa eine vorab vereinbarte Codephrase, die bei sicherheitsrelevanten Anweisungen abgefragt wird, weil ein Deepfake-Video die Stimme und das Bild, aber keine spontan abgefragte Zusatzinformation kennt.
- Schulung der Mitarbeiter mit konkreten Fallbeispielen statt einer einmaligen Rundmail, wiederholt und mit Testszenarien, wie es auch das oben genannte LAG-Urteil implizit einforderte.
- Sparsamer Umgang mit öffentlichen Informationen zu Zuständigkeiten, Organigrammen und Reisetätigkeiten der Geschäftsführung, die Täter nutzen genau diese Angaben zur Vorbereitung.
Welche Versicherung deckt einen CEO-Fraud-Schaden ab?
Eine klassische Betriebshaftpflicht- oder Cyberversicherung greift bei CEO-Fraud häufig nicht, weil der Mitarbeiter die Zahlung selbst veranlasst hat und kein technischer Hackerangriff im engeren Sinne vorliegt. Speziell für solche Fälle bieten Versicherer eine Vertrauensschadenversicherung an, die Schäden durch vorsätzliche unerlaubte Handlungen eigener Mitarbeiter sowie durch Betrugshandlungen Dritter absichert, häufig ausdrücklich einschließlich CEO-Fraud und Social-Engineering-Betrug. Ob und in welcher Höhe eine solche Police greift, hängt stark vom konkreten Vertragswortlaut ab, insbesondere davon, ob Social-Engineering-Fälle ausdrücklich mitversichert sind. Unternehmen sollten das vor Vertragsschluss und im Schadensfall anwaltlich prüfen lassen, allgemeine Aussagen zur Deckung sind hier wenig belastbar.
Thematisch schließen daran Job-Scamming 2026: Wenn die Traumstelle zur Falle wird und Video-Ident missbraucht an. Rechtsstand: Juli 2026.
Fragen & Antworten
Bekomme ich mein Geld über § 675u BGB zurück, wenn ich Opfer von CEO-Fraud wurde?
In der Regel nicht. § 675u BGB verpflichtet die Bank nur zur Erstattung nicht autorisierter Zahlungen. Bei CEO-Fraud hat der Mitarbeiter die Überweisung meist selbst mit gültiger TAN freigegeben, sie gilt damit rechtlich als autorisiert. Ein Anspruch gegen die Bank kommt nur in Betracht, wenn diese eigene Prüfpflichten verletzt hat, etwa bei einem erkennbar unberechtigten Auftrag.
Muss ich als getäuschter Mitarbeiter den vollen Schaden ersetzen?
Nicht zwingend. Nach den Grundsätzen des innerbetrieblichen Schadensausgleichs haftet ein Arbeitnehmer bei leichter Fahrlässigkeit gar nicht, bei mittlerer Fahrlässigkeit nur anteilig. Selbst bei grober Fahrlässigkeit kann das Gericht die Haftung begrenzen, wie das Sächsische Landesarbeitsgericht 2017 zeigte, das einen Schaden von 420.000 Euro auf 150.000 Euro reduzierte.
Wie schnell muss ich nach einer betrügerischen Überweisung handeln?
Sofort. Informieren Sie unverzüglich Ihre Bank und fordern Sie einen SWIFT-Rückruf der Zahlung an, solange das Geld beim Empfängerinstitut noch nicht abgehoben wurde. Parallel sollten Sie unverzüglich Strafanzeige erstatten. Mit jeder verstrichenen Stunde sinkt die Chance auf Rückholung erheblich.
Wie erkenne ich einen Deepfake-Anruf des angeblichen Geschäftsführers?
Verlassen Sie sich nicht auf die Stimme allein, sie lässt sich aus wenigen Sekunden Audiomaterial täuschend echt klonen. Verifizieren Sie jede eilbedürftige oder ungewöhnliche Zahlungsanweisung über eine unternehmensintern bekannte Rückrufnummer, nicht über eine im Anruf selbst genannte Nummer, und nutzen Sie, wo eingerichtet, eine vorab vereinbarte Codephrase.
Welche Versicherung greift bei einem CEO-Fraud-Schaden?
Eine klassische Cyber- oder Betriebshaftpflichtversicherung deckt CEO-Fraud meist nicht ab. Spezialisiert dafür ist die Vertrauensschadenversicherung, die Schäden durch Betrugshandlungen Dritter und durch eigene Mitarbeiter absichert, sofern Social-Engineering-Fälle im Vertrag ausdrücklich mitversichert sind.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).