mann computer buero

CEO-Betrug, Zahlungsumleitung, fingierter Käuferbetrug: Wie Social Engineering menschliche Entscheidungen ins Visier nimmt

Möchten Sie wissen, wie sich CEO-Betrug, Zahlungsumleitung und fingierter Käuferbetrug auf Ihr Unternehmen auswirken könnten? Im Kern dieser modernen Betrugsmaschen steht Social Engineering – eine Taktik, die den menschlichen Faktor innerhalb von Organisationen ausnutzt.

Dieser Artikel erläutert, was Social Engineering ist, zeigt, wie es in gängigen Betrugsszenarien eingesetzt wird, und hebt Muster hervor, auf die man achten sollte. Das Verständnis dieser Taktiken ist der erste Schritt, um Ihr Unternehmen vor diesen ausgeklügelten Bedrohungen zu schützen.

 

Inhalt

  • Social Engineering bildet die Grundlage für CEO-Betrug, Zahlungsumleitung und fingierten Käuferbetrug, indem es Menschen, Vertrauen und routinemäßige Prozesse manipuliert – statt Systeme zu hacken.
  • Betrüger nutzen Taktiken wie Hierarchie, Dringlichkeit, Vertrauen und die Angst, Geschäftsabläufe zu behindern, und folgen dabei häufig einem ähnlichen Ablauf: Recherche, Täuschung, Angriff und Ausstieg.
  • Sobald ein vertrauenswürdiger Mitarbeiter eine Transaktion genehmigt, wird sie von den Systemen in der Regel ausgeführt – weshalb es entscheidend ist, zu verstehen, wie diese Betrugsmaschen funktionieren und ihre Muster zu erkennen, um wirksame Schutzmaßnahmen aufzubauen.

Moderne Betrüger beginnen selten mit Code – sie beginnen mit Menschen. Anstatt zu versuchen, Ihre Systeme zu hacken, versuchen sie, Ihre Entscheidungen zu beeinflussen.

60 % der Sicherheitsverletzungen beinhalten ein menschliches Element¹. CEO-Betrug, Zahlungsumleitung und fingierter Käuferbetrug haben alle eines gemeinsam: Sie nutzen Social Engineering, um vertrauenswürdige Mitarbeiter dazu zu bringen, Zahlungen zu genehmigen, Bankverbindungen zu ändern oder Waren freizugeben. Selbst wenn Ihre IT-Sicherheit robust ist, kann eine einzige menschliche Entscheidung mehrere Ebenen technischer Kontrollen und interner Richtlinien umgehen.

In den folgenden Abschnitten erfahren Sie, was Social Engineering ist, wie es CEO-Betrug, Zahlungsumleitung und fingierten Käuferbetrug zugrunde liegt und warum es so erfolgreich darin ist, den menschlichen Faktor in Organisationen auszunutzen.

Social Engineering bezeichnet die Praxis, Menschen dazu zu manipulieren, Handlungen auszuführen, die sie normalerweise vermeiden würden. Im geschäftlichen Kontext ist das Ziel häufig:

  • jemanden davon zu überzeugen, eine Zahlung zu genehmigen,
  • Bankverbindungsdaten zu ändern,
  • Waren auf Kredit freizugeben,
  • vertrauliche Informationen oder Zugangsdaten weiterzugeben.

Betrüger analysieren sorgfältig Ihre Organisation, Ihre Hierarchien und Ihre Kommunikationsweise. Anschließend erstellen sie Nachrichten und Szenarien, die vertraut, glaubwürdig und legitim wirken.

Dabei nutzen sie vier zentrale Hebel menschlichen Verhaltens:

  • Hierarchie – „Dies ist eine Anweisung vom CEO / CFO / Direktor.“
  • Dringlichkeit – „Wir müssen jetzt handeln, sonst verlieren wir den Auftrag.“
  • Vertrauen – „Das ist Ihr üblicher Lieferant / Kunde / Kollege.“
  • Angst, das Geschäft zu blockieren – „Wenn Sie verzögern, sind Sie für einen verpassten Auftrag verantwortlich.“

Es gibt viele Arten von Social-Engineering-Angriffen – etwa Baiting (Verlockungen, um Nutzer zu täuschen), Whaling (gezielter Angriff auf Führungskräfte über berufliche und private Kommunikationskanäle), Phishing (betrügerische E-Mailsan zufällige personen), Spear Phishing (hochgradig personalisierte Angriffe) und Smishing (Phishing per SMS). Das zugrunde liegende Prinzip ist jedoch immer gleich: Psychologie nutzen, um Menschen dazu zu bringen, ihre üblichen Vorsichtsmaßnahmen zu umgehen.

Die meisten Social-Engineering-Angriffe folgen einem einfachen Ablauf:

  • Recherche – Sammeln von Informationen über Ihr Unternehmen, Ihre Mitarbeiter und Ihre Prozesse.
  • Täuschung – Aufbau von Kontakt und Vertrauen, oft per E-Mail, Telefon oder Messaging-Diensten.
  • Angriff – Auslösen der entscheidenden Handlung: eine Zahlung, eine Änderung von Bankdaten oder die Freigabe von Waren oder Daten.
  • Ausstieg – Verwischen von Spuren, Abziehen von Geldern, Verschwinden und Vorbereitung des nächsten Angriffs an anderer Stelle.

Sobald eine vertrauenswürdige Person eine Transaktion genehmigt, führen Ihre Systeme in der Regel genau das aus, wofür sie vorgesehen sind – selbst wenn dies bedeutet, eine betrügerische Zahlung auszuführen oder Waren an einen Betrüger zu liefern.

Um diese Mechanismen greifbarer zu machen, betrachten wir im Folgenden einige konkrete, häufige Fälle, in denen Social Engineering gegen Unternehmen eingesetzt wird.

CEO-Betrug (auch „Fake-President-fraud“ genannt) ist ein gezielter Betrug, bei dem sich Kriminelle als Führungskraft oder Entscheidungsträger ausgeben, um Mitarbeiter dazu zu bringen, dringende, nicht autorisierte Zahlungen zu veranlassen.

Das typische Ziel besteht darin, jemanden im Finanz-, Treasury- oder Rechnungswesen dazu zu bewegen, Gelder auf ein betrügerisches Konto zu überweisen.

So läuft diese Betrugsmasche typischerweise ab:

  • Eine E-Mail, Nachricht oder ein Anruf scheint von der Adresse des CEO oder einer sehr ähnlichen Adresse zu stammen.
  • Die Anfrage wird als vertraulich, zeitkritisch oder im Zusammenhang mit einem strategischen Geschäftsvorfall dargestellt.
  • Der Mitarbeiter wird aufgefordert, übliche Verfahren zu umgehen: „Beziehen Sie niemanden sonst ein“, „Kümmern Sie sich persönlich darum“, „Wir regeln das später formal.“

Die Kommunikation wirkt häufig so, als käme sie direkt vom CEO, CFO oder einem hochrangigen Manager, und spielt gezielt mit Hierarchie, Dringlichkeit und Vertraulichkeit. Wenn der Mitarbeiter der Aufforderung nachkommt, werden die Gelder auf das Konto des Betrügers überwiesen – mit nur geringen Chancen, das Geld zurückzuerhalten.

  • Mitarbeiter sind daran gewöhnt, Hierarchien zu respektieren und schnell auf Anweisungen von Führungskräften zu reagieren.
  • Dringlichkeit und Vertraulichkeit erschweren es nachzufragen oder Einwände zu äußern.
  • Die Nachricht trifft oft zu besonders arbeitsintensiven Zeiten ein (Tagesende, Monatsabschluss, Feiertage).
  • Angreifer haben häufig zuvor Informationen aus sozialen Medien, Unternehmensnachrichten oder früheren E-Mails gesammelt, um ihre Geschichte glaubwürdig zu machen.

„Payment diversion“ (auch „Rechnungsbetrug“ oder „Zahlungsumleitung“ genannt) zielt darauf ab, echte Zahlungen auf ein betrügerisches Konto umzuleiten, indem das Vertrauen in Lieferanten oder Kunden ausgenutzt wird.

Das typische Ziel besteht darin, jemanden in der Kreditorenbuchhaltung oder im Finanzbereich dazu zu bringen,

  • die Bankverbindung eines Lieferanten oder Gläubigers zu ändern,
  • eine echte Rechnung auf ein neues, betrügerisches Konto zu bezahlen,
  • eine „einmalige“ Änderung der Bankverbindung für eine bestimmte Zahlung mit hohem Betrag zu akzeptieren.

So läuft diese Betrugsmasche typischerweise ab:

  • Ein Betrüger hackt entweder ein echtes E-Mail-Konto eines Lieferanten oder nutzt eine sehr überzeugende, täuschend echte E-Mail-Adresse, um eine Änderung der Bankverbindung anzufordern. Teilweise werden auch andere Kanäle wie Telefon, Briefe oder Messaging-Apps genutzt, um die neuen, betrügerischen Bankdaten zu übermitteln.
  • Ihr Buchhaltungsteam erhält eine Nachricht, die scheinbar von der Finanzabteilung des Lieferanten stammt und neue Bankverbindungen ankündigt.
  • Die Anfrage wirkt professionell und vertraut und enthält häufig den korrekten Lieferantennamen, Referenznummern, Logos und Signaturen aus echten Dokumenten sowie plausible Begründungen wie eine „Bankfusion“ oder eine „interne Reorganisation“.
  • In der Nachricht wird darum gebeten, alle zukünftigen Rechnungen oder eine bestimmte dringende Rechnung auf das neue Konto zu bezahlen.
  • Wird die Änderung ohne unabhängige Überprüfung akzeptiert, wird die nächste legitime Zahlung direkt auf das Konto des Betrügers überwiesen.
  • Änderungen von Bankdaten werden oft als administrative Aktualisierungen und nicht als risikoreiche Vorgänge betrachtet.
  • Mitarbeiter verlassen sich häufig auf E-Mails als primären Kommunikationskanal und verzichten auf zusätzliche Verifizierungen.
  • Die Anfrage ist in einen ansonsten normalen Prozess eingebettet (z. B. die Bezahlung einer routinemäßigen Rechnung).
  • Der Betrug wird oft erst Wochen später erkannt, wenn der tatsächliche Lieferant unbezahlte Rechnungen anmahnt.

Fingierter Käuferbetrug zielt auf Ihre Verkaufs- und Lieferprozesse ab. Kriminelle geben sich als echte Kunden aus – entweder indem sie einen bestehenden Kunden imitieren oder sich als ein bekanntes Unternehmen darstellen – um Waren auf Kredit zu erhalten und anschließend zu verschwinden, ohne zu bezahlen.

Das typische Ziel besteht darin, Ihre Vertriebs- und Kreditteams dazu zu bringen,

  • einen großen Auftrag zu offenen Zahlungsbedingungen oder mit verlängertem Kredit zu akzeptieren,
  • Waren an einen vom Betrüger kontrollierten Ort zu liefern,
  • einer Käuferidentität aufgrund eines bekannten Markennamens und überzeugender Details zu vertrauen.

So läuft diese Betrugsmasche typischerweise ab:

  • Betrüger geben sich als Stammkunden oder renommierte Unternehmen aus und registrieren häufig Domainnamen, die dem echten Kunden sehr ähnlich sind (z. B. durch das Ändern eines Buchstabens oder das Hinzufügen eines Bindestrichs).
  • Sie kontaktieren Ihr Vertriebsteam unter Verwendung des Namens eines realen Einkäufers oder einer plausiblen Kontaktperson mit einer ähnlichen E-Mail-Adresse und geben große Bestellungen auf.
  • Lieferadressen wirken legitim, und Referenzen oder Bestellnummern erscheinen authentisch, sodass Ihr Kreditteam den Auftrag zu normalen Konditionen freigibt.
  • Die Waren werden an den angegebenen, vom Betrüger kontrollierten Ort geliefert, woraufhin dieser mit der Ware verschwindet, ohne eine Zahlung zu leisten.

Alles erscheint zunächst routinemäßig. Erst wenn die Rechnung unbezahlt bleibt und Ihr Forderungsmanagement den tatsächlichen Kunden kontaktiert, wird der Betrug offenbar: Dieser hat die Bestellung nie aufgegeben, und die E-Mail-Adresse gehört nicht zu ihm.

Zu beachten ist, dass eine Warenkreditversicherung Zahlungsausfälle infolge von Käuferbetrug nicht abdeckt, da es sich um eine betrügerische Handlung und nicht um eine legitime Forderung handelt.

  • Er ahmt normale, profitable Geschäftsvorgänge mit einem renommierten Namen sehr genau nach.
  • Er nutzt Ihr Vertrauen in etablierte Kunden und bekannte Marken.
  • Er verwendet reale Details (Namen, frühere Bestellungen, Adressen), um Misstrauen zu überwinden.
  • Der Schaden wird oft erst spät erkannt, wenn eine Rückholung der Waren nicht mehr möglich ist.

Business Email Compromise (BEC) ist eine übergreifende Kategorie, die vielen der oben beschriebenen Angriffe zugrunde liegt. Bei BEC verschaffen sich Kriminelle Zugriff auf ein legitimes geschäftliches E-Mail-Konto oder geben sich überzeugend als dieses aus, um Zahlungen und Genehmigungen zu beeinflussen.

Typisches Ziel:

  • sich in bestehende E-Mail-Konversationen einzuschleusen,
  •  das Vertrauen in bekannte Namen, Marken oder Rollen (z. B. „CEO“, „Key Account“) auszunutzen,
  •  Zahlungsdetails oder Anweisungen zu manipulieren,
  •  Geld oder Informationen auf von ihnen kontrollierte Konten umzuleiten.

Typischer Ablauf:

  • Ein Mitarbeiter, Lieferant oder Kunde fällt auf eine Phishing-E-Mail herein und gibt seine Zugangsdaten auf einer gefälschten Login-Seite ein oder klickt auf einen schädlichen Link.
  • Der Angreifer meldet sich im echten Postfach an und überwacht über Tage oder Wochen unbemerkt den E-Mail-Verkehr.
  • Dabei lernt er, wie Ihre Teams kommunizieren, welche Rechnungen anstehen, wie Bestellungen abgewickelt werden, wer Zahlungen freigibt und welche Geschäftsbeziehungen kritisch sind.
  • Im richtigen Moment – etwa kurz bevor eine große Rechnung bezahlt oder eine umfangreiche Bestellung genehmigt wird – greift der Angreifer in eine bestehende E-Mail-Konversation ein. Dabei nutzt er das echte Konto oder eine täuschend echte gefälschte Adresse, um betrügerische Zahlungsinformationen zu übermitteln, dringende Überweisungen anzufordern, Bestellungen zu ändern oder manipulierte Rechnungen zu versenden.
  • Da die Nachricht Teil einer realen, laufenden Konversation ist, wirkt sie glaubwürdig. Wenn Ihr Team die Änderung ohne unabhängige Prüfung umsetzt, werden die Zahlung oder die Waren an den Betrüger umgeleitet. Laut FBI verursachte BEC im Jahr 2024 weltweit Verluste in Höhe von 2,7 Milliarden US-Dollar².

Social-Engineering-Angriffe – wie CEO-Betrug, Zahlungsumleitung, fingierter Käuferbetrug und Business Email Compromise (BEC) – nutzen alle dieselben Schwachstellen aus: Menschen, Vertrauen und routinemäßige Prozesse. Zu verstehen, wie diese Betrugsmaschen funktionieren, und ihre Muster zu erkennen, ist ein entscheidender erster Schritt, um wirksame Schutzstrategien zu entwickeln.

Füllen Sie einfach das Formular aus, und wir melden uns schnellstmöglich bei Ihnen!

Machen Sie es wie über 55.000 andere Entscheider in Unternehmen und abonnieren Sie unseren Newsletter. Sie erwarten kostenlos und monatlich:

  • Tipps für Ihr Forderungsmanagement
  • Aktuelle Einblicke zu wirtschaftlichen Entwicklungen, Branchen und Ländern
  • Exklusive Einladungen zu Webinaren
newsletter vorschau laptop desktop und mobile