CEO-Fraud und Business-E-Mail-Compromise – Unternehmensbetrug durch Täuschung
Verfasst von
Max Hortmann
04 Nov 2025
•
Lesezeit:
Diesen Beitrag teilen
CEO-Fraud und Business-E-Mail-Compromise – Unternehmensbetrug durch Täuschung
Einleitung
Der sogenannte CEO-Fraud – auch bekannt als Business-E-Mail-Compromise (BEC) – zählt zu den komplexesten und gefährlichsten Formen des Unternehmensbetrugs. Täter geben sich dabei als Geschäftsführer, leitende Angestellte oder Geschäftspartner aus, um Mitarbeiter zu täuschen und zu unberechtigten Zahlungen zu veranlassen.
Diese Täuschungsmanöver wirken oft professionell und technisch perfekt umgesetzt: gefälschte E-Mail-Domains, täuschend echte Kommunikationsmuster und psychologischer Druck auf Angestellte. Die Folgen sind gravierend – jährlich entstehen Schäden in Millionenhöhe, häufig mit internationalem Bezug.
Neben der strafrechtlichen Dimension stehen betroffene Unternehmen vor schwierigen zivilrechtlichen Fragen: Wer haftet? Welche Sicherheitsmaßnahmen sind Pflicht? Und wie lassen sich solche Angriffe verhindern?
1. Typische Vorgehensweise der Täter
1.1. Zielpersonen und Vorbereitung
Angreifer analysieren zunächst interne Strukturen eines Unternehmens: Organigramme, Social-Media-Profile und öffentliche Daten. Besonders gefährdet sind Mitarbeiter in der Buchhaltung oder im Zahlungsverkehr, die Überweisungen ausführen können.
1.2. Täuschungsmechanismus
Über gefälschte E-Mail-Adressen oder kompromittierte Accounts wird eine täuschend echte Kommunikation aufgebaut. Der vermeintliche „CEO“ fordert den Mitarbeiter zu einer „vertraulichen Transaktion“ auf – meist unter Zeitdruck oder Geheimhaltungsdruck.
Typische Merkmale:
ungewöhnlich hohe Summen,
angebliche Eilbedürftigkeit,
Zahlungen auf ausländische Konten,
Kommunikationsunterbrechung, sobald das Geld transferiert wurde.
1.3. Schadenshöhe und internationale Verflechtungen
Viele Zahlungen fließen auf Konten in Drittstaaten – etwa Hongkong, Indonesien oder Zypern. Von dort werden sie sofort weitergeleitet. Die Rückholung ist schwierig, da Geldwäscheketten in Sekunden greifen. Nach einer Studie der IHK aus dem Jahr 2017 (AStW 2017, 249 ff.) liegt der durchschnittliche Einzelschaden bei mittelständischen Unternehmen bei über 250.000 Euro.
2. Strafrechtliche Bewertung
2.1. Betrugstatbestand (§ 263 StGB)
Der CEO-Fraud erfüllt regelmäßig den Tatbestand des Betrugs: Der Täter täuscht über seine Identität oder Vertretungsbefugnis, um eine Vermögensverfügung – meist eine Überweisung – zu veranlassen. Entscheidend ist, dass beim getäuschten Mitarbeiter ein Irrtum entsteht, der zum Vermögensschaden des Unternehmens führt.
2.2. Computerbetrug (§ 263a StGB)
In Fällen, in denen der Täter IT-Systeme manipuliert – etwa durch Abfangen oder Verfälschen von E-Mails –, kommt auch Computerbetrug in Betracht. Die technische Beeinflussung von Daten oder Kommunikationswegen ersetzt die klassische Täuschungshandlung.
Nach der Kommentierung von Peters (Computerkriminalität, 2025) kann bereits das Abfangen von Zahlungsanweisungen als Datenveränderung im Sinne des § 263a StGB gewertet werden.
2.3. Versuch und Mittäterschaft
Nicht nur der unmittelbare Täter, sondern auch Mittäter und Unterstützer – etwa Betreiber kompromittierter Server oder „Money Mules“ – können nach §§ 25 ff. StGB belangt werden. Unternehmen sollten daher immer eine umfassende Strafanzeige stellen, um alle Beteiligten zu erfassen.
3. Haftung der Geschäftsführung
3.1. Organpflichten nach § 43 GmbHG
Geschäftsführer sind verpflichtet, die Sorgfalt eines ordentlichen Kaufmanns walten zu lassen. Dazu gehört auch der Schutz vor vorhersehbaren Risiken wie Cyberangriffen und betrügerischen Überweisungen.
Das OLG Zweibrücken (Urt. v. 18. 08. 2022 – 4 U 198/21) entschied, dass Geschäftsführer haften können, wenn sie keine angemessenen Sicherheitsvorkehrungen implementieren. Im entschiedenen Fall hatte ein Geschäftsführer Überweisungen über 200.000 Euro freigegeben, ohne eine zweite Autorisierung einzuholen.
3.2. Compliance- und Kontrollpflichten
Zur Haftungsvermeidung müssen Unternehmen interne Kontrollsysteme (IKS) und klare Freigabeprozesse einführen. Dazu zählen:
Vier-Augen-Prinzip bei Transaktionen über bestimmten Schwellenwerten,
Nutzung von Payment-Tokens oder Verschlüsselungssoftware,
regelmäßige Überprüfung der Absenderdomain.
Fehlt ein solches System, kann die Geschäftsleitung bei Schäden regresspflichtig werden.
CEO-Fraud, BEC, Firmenbetrug
4. Zivilrechtliche Haftung
4.1. Haftung gegenüber Geschäftspartnern (§ 823 BGB)
Unternehmen können selbst haftbar sein, wenn durch ihre unzureichende IT-Sicherheit Dritte geschädigt werden – etwa durch ungesicherte Mailserver oder fehlende Verschlüsselung. Eine solche Pflichtverletzung gilt als Verletzung des „Verkehrssicherungspflichten“-Prinzips (§ 823 Abs. 1 BGB).
4.2. Vertragliche Haftung
Auch externe IT-Dienstleister und Softwareanbieter können haftbar werden, wenn Sicherheitslücken oder mangelhafte Updates den Angriff ermöglicht haben. Bei Dienstleistungsverträgen mit Schutzpflichtcharakter (§ 280 BGB) haften sie für vermeidbare Sicherheitsmängel.
4.3. Versicherungsrechtliche Aspekte
Cyberversicherungen decken CEO-Fraud nur dann ab, wenn keine grobe Fahrlässigkeit vorliegt. Werden interne Sicherheitsrichtlinien missachtet, kann die Versicherung die Leistung verweigern. Unternehmen sollten daher regelmäßig prüfen, welche Szenarien tatsächlich mitversichert sind.
5. Prävention und Risikomanagement
5.1. IT-Sicherheitsstandards
Technische Prävention ist der erste Schutzwall gegen CEO-Fraud:
Sofort-Meldesysteme bei verdächtigen Zahlungsanweisungen.
5.2. Mitarbeiterschulungen
Psychologische Manipulation ist das zentrale Element dieser Betrugsform. Schulungen sollten daher nicht nur technische, sondern auch emotionale Erpressungstaktiken behandeln. Beispiele:
Mitarbeiter dürfen niemals allein auf E-Mails reagieren, die Zahlungen verlangen.
Jede Anweisung zur Dringlichkeit oder Geheimhaltung muss verifiziert werden.
Regelmäßige Schulungen senken laut Studien von Interpol das Risiko um bis zu 80 %.
5.3. Compliance- und Auditverfahren
Ein funktionierendes Compliance-System mit dokumentierten Abläufen ist ein haftungsreduzierender Faktor. Unternehmen sollten:
ein internes Incident-Response-Manual bereitstellen,
Abläufe für den Ernstfall (z. B. Kontosperrung, Bankkontakt, Strafanzeige) definieren,
jährlich interne Audits durchführen.
Maike Flink (B+P 2025, 739 ff.) betont, dass Compliance-Verstöße auch arbeitsrechtliche Folgen haben können, wenn Unternehmen keine Schulungs- und Kontrollsysteme etablieren.
6. Vorgehen im Schadensfall
6.1. Sofortmaßnahmen
Bank informieren: Zahlungsrückruf (Recall) über das SWIFT-System veranlassen.
Anzeige erstatten: Polizei und Zentralstelle für Cybercrime einschalten.
IT-Forensik einleiten: Mails, Serverprotokolle und Logdateien sichern.
Kommunikation einfrieren: Weitere Korrespondenz über kompromittierte Kanäle stoppen.
6.2. Dokumentation
Alle internen Kommunikationswege und Handlungsentscheidungen sollten dokumentiert werden. Diese Dokumentation kann später entscheidend sein, um Haftungsfragen zu klären und den Schaden über Cyberversicherungen zu regulieren.
6.3. Rückholung von Geldern
Ist das Geld noch nicht weitertransferiert, kann es über internationale Zahlungsrückrufe eingefroren werden. In der Praxis gelingt dies aber nur innerhalb weniger Stunden nach der Überweisung. Daher ist die sofortige Einbindung spezialisierter Anwälte und Banken unerlässlich.
7. Gerichtliche Praxis und Trends
Die Rechtsprechung zu CEO-Fraud entwickelt sich stetig weiter. Gerichte stellen zunehmend höhere Anforderungen an:
die IT-Sicherheitspflichten von Unternehmen,
die Kontrollpflichten der Geschäftsleitung,
und die Mitwirkungspflichten der Banken bei verdächtigen Transaktionen.
Das Urteil des OLG Zweibrücken (2023) gilt als Meilenstein: Die Richter betonten, dass Geschäftsführer nicht nur „wirtschaftlich denken“, sondern auch technische Sicherheitsvorkehrungen überwachen müssen. Fehlende Überwachung kann als Pflichtverletzung gelten – auch ohne persönliche Beteiligung am Betrug.
CEO-Fraud, BEC, Firmenbetrug
8. Ausblick
Mit der zunehmenden Digitalisierung wächst auch das Risiko manipulierter Kommunikation. Künftig werden Deepfake-Voices und KI-generierte Mails die Angriffe noch glaubwürdiger machen. Unternehmen müssen daher:
Authentifizierungssysteme auf KI-Basis implementieren,
Kommunikationsketten durch Zero-Trust-Architekturen sichern,
und Mitarbeitende in neuen Betrugstaktiken fortlaufend schulen.
Der CEO-Fraud wird sich zu einer hybriden Form aus Technik, Psychologie und Wirtschaftskriminalität entwickeln. Prävention, Compliance und forensische Expertise werden entscheidend für die Unternehmenssicherheit.
Fazit
CEO-Fraud ist kein Randphänomen, sondern eine hochentwickelte Form digitaler Wirtschaftskriminalität. Wer als Unternehmen keine klaren Kommunikations- und Sicherheitsrichtlinien etabliert, riskiert nicht nur erhebliche finanzielle Verluste, sondern auch zivil- und strafrechtliche Haftung.
Unternehmen sollten die Einhaltung ihrer Sicherheits- und Compliance-Strukturen regelmäßig überprüfen – und im Ernstfall sofort handeln: Transaktionen stoppen, Strafanzeige erstatten, IT-Forensik einleiten und rechtliche Beratung einholen.
📞 Kontakt: Ihr Unternehmen wurde Ziel eines CEO-Fraud oder Business-E-Mail-Compromise? Wir prüfen Haftung, Rückholung und Compliance-Pflichten – diskret, schnell und mit internationaler Erfahrung. Jetzt unverbindliche Ersteinschätzung unter 0160 9955 5525.
Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.
Cybercrime & Strafrecht
11/4/2025
November 4, 2025
Krypto-Address-Hijacking – Falsche Wallet-Adressen und Blockchain-Beweisführung
Manipulierte Wallet-Adressen führen zu Verlusten – wie sich Transaktionen forensisch aufklären und Schadensersatz sichern lassen.
.jpg)
