Auf den Punkt: Beim CEO-Fraud entscheidet das 72-Stunden-Playbook über zwei Dinge gleichzeitig: die Rückholung des Geldes und die Entlastung der Geschäftsleitung von der eigenen Aufsichtspflichtverletzung nach § 130 OWiG. Der operative Ablauf folgt einem klaren Stundentakt — Bank, Strafanzeige, interne Untersuchung, D&O-Versicherung. Wer die ersten 72 Stunden dokumentiert richtig nutzt, schützt sowohl das Unternehmen als auch sich selbst.
Inhaltsverzeichnis
- [Anatomie eines CEO-Fraud-Angriffs](#anatomie)
- [Stunde 0 bis 24 — Die ersten Sofortmaßnahmen](#stunden-0-24)
- [Stunde 25 bis 48 — Vertiefung und Einbindung externer Akteure](#stunden-25-48)
- [Stunde 49 bis 72 — Konsolidierung und Dokumentation](#stunden-49-72)
- [Der strafrechtliche Rahmen: § 263 StGB, § 263a StGB und § 261 StGB](#strafrechtlicher-rahmen)
- [Die spiegelverkehrte Perspektive: eigene Haftung vermeiden](#eigene-haftung)
- [Präventive Compliance-Ableitungen](#praevention)
- [FAQ — Häufige Fragen zum CEO-Fraud-Krisenmanagement](#faq)
Anatomie eines CEO-Fraud-Angriffs
CEO-Fraud (auch „Chef-Masche“ oder „Fake President Fraud“ genannt) ist die deutsche Bezeichnung für eine spezifische Form des Business Email Compromise (BEC). Der Begriff umschreibt eine Betrugsmasche, bei der Täter unter falscher Identität — typischerweise als Geschäftsführer, CFO oder Finanzvorstand — per E-Mail oder Messenger-Nachricht eine zahlungsberechtigte Mitarbeiterin oder einen zahlungsberechtigten Mitarbeiter zu einer Überweisung auf ein Täterkonto bewegen.
Strafrechtlich erfüllt der CEO-Fraud in der Standardkonstellation den Tatbestand des Betrugs nach § 263 StGB — und zwar in der Form des Dreiecksbetrugs, weil die getäuschte und verfügende Mitarbeiterin und der geschädigte Arbeitgeber personell auseinanderfallen. § 263a StGB ist demgegenüber nach h.M. zu § 263 StGB subsidiär und kommt nur in technischen Sonderkonstellationen ergänzend zum Tragen — etwa bei Account-Takeover mit unmittelbarer Manipulation des Online-Banking durch den Täter oder bei automatisierten Folgeüberweisungen aus manipulierten ERP-Stammdaten ohne menschliche Freigabe. Die Polizeiliche Kriminalstatistik 2025 weist für den Inlandsbetrug einen Vermögensschaden von 2,7 Mrd. Euro aus, bei Auslandsfällen kommen weitere 2,3 Mrd. Euro hinzu — mit einer Steigerung von 65,1 Prozent gegenüber 2024. CEO-Fraud und Payment Redirection Fraud gehören zu den schadensträchtigsten Segmenten der Wirtschaftskriminalität im Internet.
Der typische Ablauf folgt drei Phasen:
Phase 1 — Aufklärung (Reconnaissance). Die Täter sammeln aus öffentlichen Quellen — Handelsregister, Unternehmenswebseite, LinkedIn, Abwesenheitsnotizen, Presseberichte — Struktur, Zuständigkeiten, Kommunikationsgewohnheiten und Zahlungsvolumina des Unternehmens.
Phase 2 — Infiltration oder Spoofing. Entweder wird ein echter E-Mail-Account durch Phishing kompromittiert (klassischer BEC) oder der Absender wird nur täuschend ähnlich nachgebildet (Display-Name-Spoofing, Look-alike-Domain mit vertauschten Buchstaben).
Phase 3 — Manipulation (Social Engineering). Unter hohem Zeitdruck, mit Vertraulichkeitsgebot und plausibler Transaktionslegende (M&A, Steuer-Nachzahlung, Notfall) wird die Überweisung angewiesen. Häufig mit KI-unterstütztem Voice- oder Video-Deepfake als Bestätigungsschritt.
| Angriffsvariante | Täuschungsvektor | Typische Schadenshöhe | Rückholquote |
|---|---|---|---|
| Fake-CEO-Mail | gefälschte Absender-Adresse | 6- bis 7-stellig | niedrig bei Auslandsüberweisung |
| Lieferanten-Identity-Fraud | kompromittierter Lieferanten-Account | 4- bis 6-stellig pro Rechnung | mittel (B2B-Kontoverfolgung) |
| Payroll-Diversion | gefälschte Meldung „Neues Konto“ von Mitarbeitern | 4- bis 5-stellig pro Fall | mittel |
| CEO-Deepfake-Voice | synthetisch erzeugte Sprachnachricht | 6-stellig aufwärts | sehr niedrig |
Stunde 0 bis 24 — Die ersten Sofortmaßnahmen
Die entscheidenden Stunden folgen unmittelbar nach der Entdeckung. Jede Minute verringert die Rückholchance, weil die Gelder typischerweise innerhalb weniger Stunden weiter ins Ausland oder in Kryptowährungen transferiert werden.
| Stunde | Maßnahme | Verantwortlich |
|---|---|---|
| 0–1 | Überweisung bei der eigenen Bank sofort stoppen oder Rückrufauftrag (SWIFT Recall) stellen | Geschäftsführung / CFO |
| 0–1 | Sachverhalt schriftlich dokumentieren — Zeitstempel, E-Mails im Original, Screenshots, Anrufprotokoll | Assistenz / Compliance |
| 1–3 | Strafanzeige bei der örtlich zuständigen Kriminalpolizei oder Cybercrime-Einheit stellen | Geschäftsführung |
| 3–6 | Empfängerbank über Strafanzeige und Rückruf informieren (am besten über die eigene Bank) | Geschäftsführung / CFO |
| 6–12 | IT-Forensik beauftragen: Mailserver-Logs, Token-Aktivität, Clients des betroffenen Mitarbeiters | CISO / IT |
| 12–18 | Rechtsanwalt / Strafverteidiger einschalten, der die Kommunikation mit Behörden übernimmt | Geschäftsführung |
| 12–24 | Interne Kommunikationssperre — keine externe Kommunikation zum Vorfall ohne Abstimmung | Geschäftsführung / Kommunikation |
| 18–24 | D&O-Versicherung schriftlich informieren — Abwehrkosten sind regelmäßig gedeckt | Geschäftsführung |
| 18–24 | Hinweisgebersystem auf interne Mittäter-Hinweise prüfen | Compliance |
| 18–24 | Prüfen: Liegt ein Anfangsverdacht gegen eigene Mitarbeiter vor (Innentäter, § 261 StGB)? | Compliance / Strafverteidiger |
Zwei Punkte verdienen besondere Aufmerksamkeit:
Erstens — die Strafanzeige ist das Scharnier zur Banken-Kooperation. Ohne staatsanwaltschaftliches Aktenzeichen weigern sich Empfängerbanken typischerweise, Konten zu sperren oder Informationen zu teilen. Mit Anzeige und Aktenzeichen lassen sich internationale Rechtshilfeersuchen anstoßen.
Zweitens — die Dokumentation ist nicht optional. Sie ist die Grundlage sowohl für die spätere Rückholung als auch für die Entlastung der Geschäftsleitung (dazu unten).
Stunde 25 bis 48 — Vertiefung und Einbindung externer Akteure
In der zweiten Phase verlagert sich der Schwerpunkt von der Erstreaktion zur strukturierten Aufarbeitung.
25–30 Uhr: Internationale Rechtshilfe prüfen. Bei Auslandsüberweisungen — typischerweise nach Hongkong, in die Türkei, in Baltikumstaaten oder nach Dubai — ist die Staatsanwaltschaft Partner für das EU-Rechtshilfeersuchen oder die MLAT-Anfrage. Bei EU-Binnenmarkt-Konstellationen greift gegebenenfalls die Europäische Ermittlungsanordnung.
30–36 Uhr: Interne Untersuchung beginnen. Klar ist: Ein förmliches Internal Investigation ist notwendig, wenn auch nur der Verdacht eines Innentäters besteht. Struktur, Prüfungsauftrag, Dokumentationspflichten — all das gehört in ein schriftliches Investigation Memorandum.
36–42 Uhr: Kundenrelevante Prüfungen. Wurden Kundendaten kompromittiert? Bestehen DSGVO-Meldepflichten nach Art. 33 DSGVO gegenüber der zuständigen Aufsichtsbehörde (Meldefrist 72 Stunden!)?
42–48 Uhr: Prüfung weiterer Meldepflichten. Je nach Branche können Pflichten gegenüber BaFin, BSI (bei KRITIS-Unternehmen) oder anderen Aufsichtsbehörden bestehen. Auch die GwG-Verdachtsmeldung nach § 43 GwG ist zu prüfen, wenn Anhaltspunkte für Geldwäsche vorliegen.
Stunde 49 bis 72 — Konsolidierung und Dokumentation
Die letzte Phase dient der Konsolidierung. Drei Stränge laufen parallel.
Rückholstrang. Stand der Konto- und Kryptowährungs-Sperrungen dokumentieren. Realistische Rückholquote einschätzen. Entscheidung, ob zivilrechtliche Maßnahmen (Arrest, Kontopfändung) zusätzlich zur strafprozessualen Vermögenssicherung notwendig sind.
Verteidigungsstrang. Vorbereitung der späteren Kommunikation mit der Staatsanwaltschaft und — wichtiger noch — der eigenen Entlastungsargumentation. Dazu gehören:
- Screenshot-Mappe aller Freigabeprotokolle, die das 4-Augen-Prinzip belegen
- Dokumentation der Schulungshistorie des betroffenen Mitarbeiters
- Compliance-Richtlinien in der zum Tatzeitpunkt gültigen Fassung
- Evidence, dass der Täter individuelle Schutzvorkehrungen bewusst umgangen hat
Governance-Strang. Information des Aufsichtsrats oder Beirats. Abstimmung mit der Pressestelle. Entscheidung zur internen Unternehmenskommunikation (meist: generische Information ohne Details, um Nachahmereffekte zu vermeiden).
Der strafrechtliche Rahmen: § 263 StGB, § 263a StGB und § 261 StGB
Strafrechtlich ist der CEO-Fraud in der Standardkonstellation ein Dreiecksbetrug nach § 263 StGB: Die Mitarbeiterin oder der Mitarbeiter wird über die Identität des Anweisenden getäuscht, irrt, verfügt mit eigener Willensbildung über das Vermögen des Arbeitgebers (manuelle Freigabe im Banking) — und der Arbeitgeber wird geschädigt. Das Näheverhältnis zwischen Verfügender und Geschädigtem (Anstellungsverhältnis, Zahlungsfreigabebefugnis) trägt die Konstruktion des Dreiecksbetrugs. Daneben kommen in Betracht:
- Computerbetrug (§ 263a StGB) — in Sonderkonstellationen ohne menschliche Verfügung, etwa beim Account-Takeover mit direkter Banking-Manipulation durch den Täter oder bei automatisierten Folgeüberweisungen nach Manipulation von Lieferanten-Stammdaten im ERP-System; im Verhältnis zu § 263 StGB nach h.M. subsidiär
- Fälschung beweiserheblicher Daten (§ 269 StGB) — bei gefälschten E-Mails mit Signaturen oder Token
- Geldwäsche (§ 261 StGB) — für sogenannte Money Mules, die als Strohleute die Gelder weiterleiten
- Bandenmäßige Begehung — in organisierten Strukturen mit mehreren Beteiligten
- Datenveränderung (§ 303a StGB) — wenn E-Mail-Konten manipuliert wurden
Dogmatisch relevant ist die saubere Abgrenzung: § 263a StGB ist Lückenfüller für Konstellationen, in denen kein Mensch irrt, weil die Vermögensverfügung allein aus einem automatisierten Datenverarbeitungsvorgang resultiert (klassisch: missbräuchliche Abhebung am Geldautomaten mit fremder PIN). Sobald — wie beim klassischen CEO-Fraud — ein Mitarbeiter getäuscht wird, irrt und selbst verfügt, ist § 263 StGB einschlägig; die Banking-Software ist dann nur Ausführungsmedium, nicht Adressat einer Manipulation. Der BGH hat die betrugsspezifische Auslegung des § 263a StGB zuletzt mit Beschluss vom 03.12.2025 – 5 StR 362/25 erneut restriktiv konturiert. Den Grundtatbestand und die Abgrenzung zwischen § 263 und § 263a StGB behandelt der Pillar Betrug § 263 StGB im Wirtschaftsstrafrecht.
Für die Strafanzeige empfiehlt sich die gleichzeitige Benennung aller einschlägigen Tatbestände. Das erleichtert der Staatsanwaltschaft die Einordnung und beschleunigt in der Regel die Priorisierung.
Die spiegelverkehrte Perspektive: eigene Haftung vermeiden
Für die Geschäftsleitung ist der CEO-Fraud nicht nur ein Schadensereignis, sondern ein Haftungsrisiko. Drei Normen stehen im Zentrum:
§ 130 OWiG — Aufsichtspflichtverletzung. Wer als Inhaber eines Betriebs oder eines Unternehmens notwendige Aufsichtsmaßnahmen unterlässt und dadurch eine Pflichtverletzung ermöglicht, kann mit Bußgeldern bis zu 1 Mio. Euro oder — bei Bezug zu Straftaten — deutlich höheren Beträgen belegt werden. Relevant ist die Frage: Hatte das Unternehmen vor dem Vorfall angemessene 4-Augen-Prinzipien, Rückrufverfahren und Schulungen?
§ 43 Abs. 2 GmbHG — Geschäftsführerhaftung. Der Geschäftsführer haftet der Gesellschaft auf Schadensersatz, wenn er seine Sorgfaltspflichten verletzt. Bei CEO-Fraud ist die Frage: Hat der Geschäftsführer zuvor organisatorische Vorkehrungen getroffen, die dem Standard der Wirtschaftsprüferverbände und BSI-Empfehlungen entsprachen?
D&O-Versicherung. Die meisten D&O-Policen decken die Abwehrkosten in Ermittlungsverfahren — also Anwaltskosten, Gutachterkosten, forensische Kosten. Der Innenanspruch gegenüber dem Geschäftsführer ist ebenfalls meist gedeckt. Der Vorsatzausschluss greift nur bei nachgewiesenem Vorsatz, nicht bei grob fahrlässigen Aufsichtsfehlern.
Wer nachweisen kann, dass strukturelle Schutzvorkehrungen bestanden, der Täter sie aber individuell umgangen hat, dem wird regelmäßig keine betriebsbezogene Aufsichtspflichtverletzung vorzuwerfen sein. Die Dokumentation in den ersten 72 Stunden ist also nicht nur operativ für die Rückholung relevant — sie ist das wichtigste Entlastungsinstrument für die Geschäftsleitung.
Zur parallelen Haftungsdogmatik beim Compliance Officer siehe Compliance Officer Haftung & Pflichten für General Counsel.
Präventive Compliance-Ableitungen
Aus der Aufarbeitung zahlreicher CEO-Fraud-Vorfälle lassen sich fünf präventive Maßnahmenbereiche ableiten:
1. 4-Augen-Prinzip mit technischer Durchsetzung. Zahlungsfreigabe ab festgelegten Schwellenwerten nur durch zwei Berechtigte — und zwar nicht als bloße Dienstanweisung, sondern technisch im ERP- oder Banking-System erzwungen.
2. Rückrufprotokoll für ungewöhnliche Anweisungen. Zahlungsaufträge, die von der Norm abweichen (neues Konto, ungewöhnlicher Betrag, Drängen auf Geheimhaltung), müssen durch einen telefonischen Rückruf an eine bekannte interne Nummer bestätigt werden — nie über eine in der Anfrage mitgeteilte Nummer.
3. E-Mail-Hygiene und DMARC. Domain-based Message Authentication, Reporting and Conformance (DMARC) mit p=reject-Policy erschwert das Display-Name-Spoofing erheblich. Zusätzlich S/MIME oder PGP für interne Anweisungen von Geschäftsleitung.
4. Schulungen mit realistischen Phishing-Simulationen. Nicht einmalig, sondern quartalsweise. Die Ergebnisse der Simulationen dienen auch als dokumentierte Schulungshistorie — das entlastet im Haftungsfall.
5. Incident-Response-Playbook im Schrank. Das operative 72-Stunden-Playbook aus diesem Beitrag sollte als Checkliste physisch und digital bereitliegen — mit benannten Verantwortlichkeiten und Telefonnummern (Hausbank, Kripo, externer Strafverteidiger, D&O-Versicherer, IT-Forensik).
Das Incident-Response-Verhalten ähnelt strukturell dem Verhalten bei einer Durchsuchung — Sofortreaktion, Dokumentation, externer Rechtsbeistand. Zur Parallele siehe Wohnungsdurchsuchung: Rechte, Pflichten und Sofortmaßnahmen.
FAQ — Häufige Fragen zum CEO-Fraud-Krisenmanagement
Was ist in den ersten 24 Stunden nach einem CEO-Fraud-Vorfall zu tun?
In der ersten Stunde muss die Überweisung bei der eigenen Bank gestoppt oder ein SWIFT-Recall beauftragt werden. Parallel sind Sachverhalt, E-Mails und Zeitstempel schriftlich zu dokumentieren. Innerhalb von drei Stunden sollte Strafanzeige bei der örtlichen Kriminalpolizei gestellt werden — das staatsanwaltschaftliche Aktenzeichen ist Voraussetzung für die Kooperation der Empfängerbank. Parallel: IT-Forensik, Rechtsbeistand, interne Kommunikationssperre, D&O-Meldung.
An wen muss ich mich wenden, wenn Geld durch CEO-Fraud abgeflossen ist?
Die Reihenfolge lautet: (1) eigene Hausbank zur sofortigen Stoppanweisung oder SWIFT-Recall; (2) örtlich zuständige Kriminalpolizei oder Zentrale Ansprechstelle Cybercrime (ZAC) der Bundesländer für die Strafanzeige; (3) spezialisierter Strafverteidiger für die Koordination mit Ermittlungsbehörden und Banken; (4) D&O-Versicherer; (5) IT-Forensikdienstleister zur Sicherung digitaler Spuren. Die Reihenfolge ist zeitkritisch — die Rückholchance sinkt mit jeder Stunde dramatisch.
Kann der Geschäftsführer persönlich für einen CEO-Fraud haften?
Ja, wenn er seine Aufsichtspflichten nach § 130 OWiG oder seine Sorgfaltspflichten nach § 43 Abs. 2 GmbHG verletzt hat. Entscheidend ist, ob im Unternehmen angemessene Schutzvorkehrungen bestanden (4-Augen-Prinzip, Rückrufprotokoll, Schulungen). Wer nachweisen kann, dass strukturelle Sicherungen bestanden, der Täter sie aber individuell umging, entgeht in der Regel der persönlichen Haftung. Die saubere Dokumentation der ersten 72 Stunden ist dafür das wichtigste Entlastungsinstrument.
Wie hilft eine Strafanzeige bei der Rückholung des Geldes?
Ohne staatsanwaltschaftliches Aktenzeichen verweigern Banken in der Regel die Sperrung von Empfängerkonten und die Herausgabe von Informationen. Die Strafanzeige schafft die rechtliche Grundlage für Kontensperrungen, internationale Rechtshilfe und — bei EU-Konstellationen — die Europäische Ermittlungsanordnung. Sie ist zudem Voraussetzung für die strafprozessuale Vermögenssicherung nach § 111e StPO. Die Anzeige sollte alle in Betracht kommenden Tatbestände (§ 263, § 263a, § 269, § 261 StGB) benennen.
Greift die D&O-Versicherung bei CEO-Fraud-Schäden?
Die D&O-Versicherung deckt typischerweise die Abwehrkosten (Anwalt, Gutachter, Forensik) in Ermittlungs- und Zivilverfahren gegen Geschäftsleitungsmitglieder. Der Innenanspruch der Gesellschaft gegen den Geschäftsführer wegen fehlender Aufsicht ist meist mitversichert. Der Vorsatzausschluss greift nicht bei grober Fahrlässigkeit. Wichtig: Die Meldung muss unverzüglich erfolgen — viele Policen haben Obliegenheitsklauseln mit engen Fristen. Der Versicherer muss laufend über den Stand des Verfahrens informiert werden.
Muss ich die BaFin oder das BKA bei einem BEC-Vorfall informieren?
Das hängt von der Branche und Dimension ab. Für regulierte Finanzinstitute bestehen Meldepflichten gegenüber der BaFin nach den jeweiligen aufsichtsrechtlichen Vorgaben. Bei KRITIS-Betreibern greift § 8b BSI-Gesetz. Bei Datenkompromittierung ist die 72-Stunden-Meldung an die Datenschutzaufsichtsbehörde nach Art. 33 DSGVO zu prüfen. Darüber hinaus kann eine Verdachtsmeldung nach § 43 GwG erforderlich sein, wenn Anhaltspunkte für Geldwäsche bestehen.
Wie hoch ist die Rückholquote bei grenzüberschreitendem CEO-Fraud?
Die Rückholquote hängt stark von der Schnelligkeit ab. Bei Maßnahmen innerhalb der ersten sechs Stunden — vor Weiterüberweisung oder Kryptotausch — liegt sie in Einzelfällen über 50 Prozent. Nach 24 Stunden sinkt sie typischerweise deutlich unter 20 Prozent. Bei Überweisungen in Drittstaaten ohne MLAT-Abkommen (Türkei partiell, einige asiatische und afrikanische Staaten) ist die Rückholung nahezu aussichtslos. Die Priorität liegt deshalb auf der Prävention und der Sofortreaktion.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Ausführungen sind auf den Stand 21. April 2026 aktualisiert. In akuten Fällen ersetzt dieser Beitrag nicht die individuelle Rechtsberatung durch einen auf Wirtschaftsstrafrecht spezialisierten Strafverteidiger.
