Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt

CEO-Fraud & Business Email Compromise: Das 72-Stunden-Playbook für Unternehmen

Von

12 Min.

Auf den Punkt: Das 72-Stunden-Playbook beim CEO-Fraud verbessert die Rückholchancen für das transferierte Geld und dokumentiert Entlastungsargumente der Geschäftsleitung gegenüber einer möglichen Aufsichtspflichtverletzung nach § 130 OWiG. Der operative Ablauf folgt einem klaren Stundentakt — Bank, Strafanzeige, interne Untersuchung, Versicherungsmeldung. Wer die ersten 72 Stunden strukturiert und dokumentiert, schützt sowohl das Unternehmen als auch sich selbst.

Inhaltsverzeichnis

  1. [Anatomie eines CEO-Fraud-Angriffs](#anatomie)
  2. [Stunde 0 bis 24 — Die ersten Sofortmaßnahmen](#stunden-0-24)
  3. [Stunde 25 bis 48 — Vertiefung und Einbindung externer Akteure](#stunden-25-48)
  4. [Stunde 49 bis 72 — Konsolidierung und Dokumentation](#stunden-49-72)
  5. [Der strafrechtliche Rahmen: § 263 StGB, § 263a StGB und § 261 StGB](#strafrechtlicher-rahmen)
  6. [Die spiegelverkehrte Perspektive: eigene Haftung vermeiden](#eigene-haftung)
  7. [Präventive Compliance-Ableitungen](#praevention)
  8. [FAQ — Häufige Fragen zum CEO-Fraud-Krisenmanagement](#faq)

Anatomie eines CEO-Fraud-Angriffs

CEO-Fraud (auch „Chef-Masche“ oder „Fake President Fraud“ genannt) ist die deutsche Bezeichnung für eine spezifische Form des Business Email Compromise (BEC). Der Begriff umschreibt eine Betrugsmasche, bei der Täter unter falscher Identität — typischerweise als Geschäftsführer, CFO oder Finanzvorstand — per E-Mail oder Messenger-Nachricht eine zahlungsberechtigte Mitarbeiterin oder einen zahlungsberechtigten Mitarbeiter zu einer Überweisung auf ein Täterkonto bewegen.

Strafrechtlich erfüllt der CEO-Fraud in der Standardkonstellation den Tatbestand des Betrugs nach § 263 StGB — und zwar in der Form des Dreiecksbetrugs, weil die getäuschte und verfügende Mitarbeiterin und der geschädigte Arbeitgeber personell auseinanderfallen. § 263a StGB ist ein eigenständiger Tatbestand für Konstellationen, in denen keine menschliche Vermögensverfügung stattfindet und stattdessen ein täuschungsäquivalenter Datenverarbeitungsvorgang tritt — etwa bei Account-Takeover mit unmittelbarer Manipulation des Online-Bankings durch den Täter oder bei automatisierten Folgeüberweisungen aus manipulierten ERP-Stammdaten ohne menschliche Freigabe. Die Polizeiliche Kriminalstatistik 2025 weist für den Inlandsbetrug einen Vermögensschaden von 2,7 Mrd. Euro aus, bei Auslandsfällen kommen weitere 2,3 Mrd. Euro hinzu — mit einer Steigerung von 65,1 Prozent gegenüber 2024. CEO-Fraud und Payment Redirection Fraud gehören zu den schadensträchtigsten Segmenten der Wirtschaftskriminalität im Internet.

Der typische Ablauf folgt drei Phasen:

Phase 1 — Aufklärung (Reconnaissance). Die Täter sammeln aus öffentlichen Quellen — Handelsregister, Unternehmenswebseite, LinkedIn, Abwesenheitsnotizen, Presseberichte — Struktur, Zuständigkeiten, Kommunikationsgewohnheiten und Zahlungsvolumina des Unternehmens.

Phase 2 — Infiltration oder Spoofing. Entweder wird ein echter E-Mail-Account durch Phishing kompromittiert (klassischer BEC) oder der Absender wird nur täuschend ähnlich nachgebildet (Display-Name-Spoofing, Look-alike-Domain mit vertauschten Buchstaben).

Phase 3 — Manipulation (Social Engineering). Unter hohem Zeitdruck, mit Vertraulichkeitsgebot und plausibler Transaktionslegende (M&A, Steuer-Nachzahlung, Notfall) wird die Überweisung angewiesen. Häufig mit KI-unterstütztem Voice- oder Video-Deepfake als Bestätigungsschritt.

Angriffsvariante Täuschungsvektor Typische Schadenshöhe Rückholquote
Fake-CEO-Mail gefälschte Absender-Adresse 6- bis 7-stellig niedrig bei Auslandsüberweisung
Lieferanten-Identity-Fraud kompromittierter Lieferanten-Account 4- bis 6-stellig pro Rechnung mittel (B2B-Kontoverfolgung)
Payroll-Diversion gefälschte Meldung „Neues Konto“ von Mitarbeitern 4- bis 5-stellig pro Fall mittel
CEO-Deepfake-Voice synthetisch erzeugte Sprachnachricht 6-stellig aufwärts sehr niedrig

Stunde 0 bis 24 — Die ersten Sofortmaßnahmen

Die entscheidenden Stunden folgen unmittelbar nach der Entdeckung. Jede Minute verringert die Rückholchance, weil die Gelder typischerweise innerhalb weniger Stunden weiter ins Ausland oder in Kryptowährungen transferiert werden.

Stunde Maßnahme Verantwortlich
0–1 Überweisung bei der eigenen Bank sofort stoppen oder Rückrufauftrag (SWIFT Recall) stellen Geschäftsführung / CFO
0–1 Sachverhalt schriftlich dokumentieren — Zeitstempel, E-Mails im Original, Screenshots, Anrufprotokoll Assistenz / Compliance
1–3 Strafanzeige bei der örtlich zuständigen Kriminalpolizei oder Cybercrime-Einheit stellen Geschäftsführung
3–6 Empfängerbank über Strafanzeige und Rückruf informieren (am besten über die eigene Bank) Geschäftsführung / CFO
6–12 IT-Forensik beauftragen: Mailserver-Logs, Token-Aktivität, Clients des betroffenen Mitarbeiters CISO / IT
12–18 Rechtsanwalt / Strafverteidiger einschalten, der die Kommunikation mit Behörden übernimmt Geschäftsführung
12–24 Interne Kommunikationssperre — keine externe Kommunikation zum Vorfall ohne Abstimmung Geschäftsführung / Kommunikation
18–24 D&O-Versicherung schriftlich informieren — Abwehrkosten sind regelmäßig gedeckt Geschäftsführung
18–24 Hinweisgebersystem auf interne Mittäter-Hinweise prüfen Compliance
18–24 Prüfen: Liegt ein Anfangsverdacht gegen eigene Mitarbeiter vor (Innentäter, § 261 StGB)? Compliance / Strafverteidiger

Zwei Punkte verdienen besondere Aufmerksamkeit:

Erstens — die Strafanzeige ist das Scharnier zur Banken-Kooperation. Ein polizeiliches oder staatsanwaltschaftliches Aktenzeichen erleichtert die Kooperation mit Empfängerbanken regelmäßig erheblich — etwa bei Kontensperrungen, Informationsanfragen oder dem Anstoßen internationaler Rechtshilfeersuchen.

Zweitens — die Dokumentation ist nicht optional. Sie ist die Grundlage sowohl für die spätere Rückholung als auch für die Entlastung der Geschäftsleitung (dazu unten).

Stunde 25 bis 48 — Vertiefung und Einbindung externer Akteure

In der zweiten Phase verlagert sich der Schwerpunkt von der Erstreaktion zur strukturierten Aufarbeitung.

25–30 h: Internationale Rechtshilfe prüfen. Bei Auslandsüberweisungen — typischerweise nach Hongkong, in die Türkei, in Baltikumstaaten oder nach Dubai — ist die Staatsanwaltschaft Partner für das EU-Rechtshilfeersuchen oder die MLAT-Anfrage. Bei EU-Binnenmarkt-Konstellationen greift gegebenenfalls die Europäische Ermittlungsanordnung.

30–36 h: Interne Untersuchung beginnen. Bei Innentäterverdacht sollte eine strukturierte interne Untersuchung geprüft und sauber mandatiert werden; Umfang und Formalisierung hängen vom Einzelfall ab. Struktur, Prüfungsauftrag und Dokumentationspflichten sollten schriftlich festgehalten werden.

36–42 h: Kundenrelevante Prüfungen. Wurden personenbezogene Daten kompromittiert? Eine Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde ist zu prüfen, wenn ein Risiko für Rechte und Freiheiten natürlicher Personen nicht ausgeschlossen werden kann — Frist: unverzüglich, möglichst binnen 72 Stunden.

42–48 h: Prüfung weiterer Meldepflichten. Je nach Branche können Pflichten gegenüber BaFin, BSI (bei KRITIS-Unternehmen) oder anderen Aufsichtsbehörden bestehen. Für GwG-Verpflichtete ist eine Verdachtsmeldung nach § 43 GwG zu prüfen, wenn Anhaltspunkte für Geldwäsche vorliegen; für Nicht-Verpflichtete besteht keine GwG-Meldepflicht.

Stunde 49 bis 72 — Konsolidierung und Dokumentation

Die letzte Phase dient der Konsolidierung. Drei Stränge laufen parallel.

Rückholstrang. Stand der Konto- und Kryptowährungs-Sperrungen dokumentieren. Realistische Rückholquote einschätzen. Entscheidung, ob zivilrechtliche Maßnahmen (Arrest, Kontopfändung) zusätzlich zur strafprozessualen Vermögenssicherung notwendig sind.

Verteidigungsstrang. Vorbereitung der späteren Kommunikation mit der Staatsanwaltschaft und — wichtiger noch — der eigenen Entlastungsargumentation. Dazu gehören:

  • Screenshot-Mappe aller Freigabeprotokolle, die das 4-Augen-Prinzip belegen
  • Dokumentation der Schulungshistorie des betroffenen Mitarbeiters
  • Compliance-Richtlinien in der zum Tatzeitpunkt gültigen Fassung
  • Evidence, dass der Täter individuelle Schutzvorkehrungen bewusst umgangen hat

Governance-Strang. Information des Aufsichtsrats oder Beirats. Abstimmung mit der Pressestelle. Entscheidung zur internen Unternehmenskommunikation (meist: generische Information ohne Details, um Nachahmereffekte zu vermeiden).

Der strafrechtliche Rahmen: § 263 StGB, § 263a StGB und § 261 StGB

Strafrechtlich ist der CEO-Fraud in der Standardkonstellation ein Dreiecksbetrug nach § 263 StGB: Die Mitarbeiterin oder der Mitarbeiter wird über die Identität des Anweisenden getäuscht, irrt, verfügt mit eigener Willensbildung über das Vermögen des Arbeitgebers (manuelle Freigabe im Banking) — und der Arbeitgeber wird geschädigt. Das Näheverhältnis zwischen Verfügender und Geschädigtem (Anstellungsverhältnis, Zahlungsfreigabebefugnis) trägt die Konstruktion des Dreiecksbetrugs. Daneben kommen in Betracht:

  • Computerbetrug (§ 263a StGB) — in Sonderkonstellationen ohne menschliche Verfügung, etwa beim Account-Takeover mit direkter Banking-Manipulation durch den Täter oder bei automatisierten Folgeüberweisungen nach Manipulation von Lieferanten-Stammdaten im ERP-System; im Verhältnis zu § 263 StGB nach h.M. subsidiär
  • Fälschung beweiserheblicher Daten (§ 269 StGB) — bei gefälschten E-Mails mit Signaturen oder Token
  • Geldwäsche (§ 261 StGB) — für sogenannte Money Mules, die als Strohleute die Gelder weiterleiten
  • Bandenmäßige Begehung — in organisierten Strukturen mit mehreren Beteiligten
  • Datenveränderung (§ 303a StGB) — wenn E-Mail-Konten manipuliert wurden

Dogmatisch relevant ist die saubere Abgrenzung: § 263a StGB ist Lückenfüller für Konstellationen, in denen kein Mensch irrt, weil die Vermögensverfügung allein aus einem automatisierten Datenverarbeitungsvorgang resultiert (klassisch: missbräuchliche Abhebung am Geldautomaten mit fremder PIN). Sobald — wie beim klassischen CEO-Fraud — ein Mitarbeiter getäuscht wird, irrt und selbst verfügt, ist § 263 StGB einschlägig; die Banking-Software ist dann nur Ausführungsmedium, nicht Adressat einer Manipulation. Der BGH hat die betrugsspezifische Auslegung des § 263a StGB zuletzt mit Beschluss vom 03.12.2025 – 5 StR 362/25 erneut restriktiv konturiert. Den Grundtatbestand und die Abgrenzung zwischen § 263 und § 263a StGB behandelt der Pillar Betrug § 263 StGB im Wirtschaftsstrafrecht.

Für die Strafanzeige empfiehlt sich die gleichzeitige Benennung aller einschlägigen Tatbestände. Das erleichtert der Staatsanwaltschaft die Einordnung und beschleunigt in der Regel die Priorisierung.

Die spiegelverkehrte Perspektive: eigene Haftung vermeiden

Für die Geschäftsleitung ist der CEO-Fraud nicht nur ein Schadensereignis, sondern ein Haftungsrisiko. Drei Normen stehen im Zentrum:

§ 130 OWiG — Aufsichtspflichtverletzung. Wer als Inhaber eines Betriebs oder eines Unternehmens notwendige Aufsichtsmaßnahmen unterlässt und dadurch eine Pflichtverletzung ermöglicht, kann mit Bußgeldern bis zu 1 Mio. Euro oder — bei Bezug zu Straftaten — deutlich höheren Beträgen belegt werden. Relevant ist die Frage: Hatte das Unternehmen vor dem Vorfall angemessene 4-Augen-Prinzipien, Rückrufverfahren und Schulungen?

§ 43 Abs. 2 GmbHG — Geschäftsführerhaftung. Der Geschäftsführer haftet der Gesellschaft auf Schadensersatz, wenn er seine Sorgfaltspflichten verletzt. Bei CEO-Fraud ist die Frage: Hat der Geschäftsführer zuvor organisatorische Vorkehrungen getroffen, die dem Standard der Wirtschaftsprüferverbände und BSI-Empfehlungen entsprachen?

D&O-Versicherung. Die meisten D&O-Policen decken die Abwehrkosten in Ermittlungsverfahren — also Anwaltskosten, Gutachterkosten, forensische Kosten. Der Innenanspruch gegenüber dem Geschäftsführer ist ebenfalls meist gedeckt. Der Vorsatzausschluss greift nur bei nachgewiesenem Vorsatz, nicht bei grob fahrlässigen Aufsichtsfehlern.

Wer nachweisen kann, dass strukturelle Schutzvorkehrungen bestanden, der Täter sie aber individuell umgangen hat, dem wird regelmäßig keine betriebsbezogene Aufsichtspflichtverletzung vorzuwerfen sein. Die Dokumentation in den ersten 72 Stunden ist also nicht nur operativ für die Rückholung relevant — sie ist das wichtigste Entlastungsinstrument für die Geschäftsleitung.

Zur parallelen Haftungsdogmatik beim Compliance Officer siehe Compliance Officer Haftung & Pflichten für General Counsel.

Präventive Compliance-Ableitungen

Aus der Aufarbeitung zahlreicher CEO-Fraud-Vorfälle lassen sich fünf präventive Maßnahmenbereiche ableiten:

1. 4-Augen-Prinzip mit technischer Durchsetzung. Zahlungsfreigabe ab festgelegten Schwellenwerten nur durch zwei Berechtigte — und zwar nicht als bloße Dienstanweisung, sondern technisch im ERP- oder Banking-System erzwungen.

2. Rückrufprotokoll für ungewöhnliche Anweisungen. Zahlungsaufträge, die von der Norm abweichen (neues Konto, ungewöhnlicher Betrag, Drängen auf Geheimhaltung), müssen durch einen telefonischen Rückruf an eine bekannte interne Nummer bestätigt werden — nie über eine in der Anfrage mitgeteilte Nummer.

3. E-Mail-Hygiene und DMARC. Domain-based Message Authentication, Reporting and Conformance (DMARC) mit p=reject-Policy erschwert das Spoofing der eigenen Domain erheblich; Display-Name-Spoofing und Look-alike-Domains werden davon nicht zuverlässig erfasst und erfordern zusätzliche technische und organisatorische Maßnahmen. Zusätzlich S/MIME oder PGP für interne Anweisungen von Geschäftsleitung.

4. Schulungen mit realistischen Phishing-Simulationen. Nicht einmalig, sondern quartalsweise. Die Ergebnisse der Simulationen dienen auch als dokumentierte Schulungshistorie — das entlastet im Haftungsfall.

5. Incident-Response-Playbook im Schrank. Das operative 72-Stunden-Playbook aus diesem Beitrag sollte als Checkliste physisch und digital bereitliegen — mit benannten Verantwortlichkeiten und Telefonnummern (Hausbank, Kripo, externer Strafverteidiger, D&O-Versicherer, IT-Forensik).

Das Incident-Response-Verhalten ähnelt strukturell dem Verhalten bei einer Durchsuchung — Sofortreaktion, Dokumentation, externer Rechtsbeistand. Zur Parallele siehe Wohnungsdurchsuchung: Rechte, Pflichten und Sofortmaßnahmen.

Häufige Fragen zum CEO-Fraud-Krisenmanagement

Was ist in den ersten 24 Stunden nach einem CEO-Fraud-Vorfall zu tun?

In der ersten Stunde muss die Überweisung bei der eigenen Bank gestoppt oder ein SWIFT-Recall beauftragt werden. Parallel sind Sachverhalt, E-Mails und Zeitstempel schriftlich zu dokumentieren. Innerhalb von drei Stunden sollte Strafanzeige bei der örtlichen Kriminalpolizei gestellt werden — das staatsanwaltschaftliche Aktenzeichen ist Voraussetzung für die Kooperation der Empfängerbank. Parallel: IT-Forensik, Rechtsbeistand, interne Kommunikationssperre, D&O-Meldung.

An wen muss ich mich wenden, wenn Geld durch CEO-Fraud abgeflossen ist?

Die Reihenfolge lautet: (1) eigene Hausbank zur sofortigen Stoppanweisung oder SWIFT-Recall; (2) örtlich zuständige Kriminalpolizei oder Zentrale Ansprechstelle Cybercrime (ZAC) der Bundesländer für die Strafanzeige; (3) spezialisierter Strafverteidiger für die Koordination mit Ermittlungsbehörden und Banken; (4) D&O-Versicherer; (5) IT-Forensikdienstleister zur Sicherung digitaler Spuren. Die Reihenfolge ist zeitkritisch — die Rückholchance sinkt mit jeder Stunde dramatisch.

Kann der Geschäftsführer persönlich für einen CEO-Fraud haften?

Ja, wenn er seine Aufsichtspflichten nach § 130 OWiG oder seine Sorgfaltspflichten nach § 43 Abs. 2 GmbHG verletzt hat. Relevant ist, ob im Unternehmen angemessene, dokumentierte und gelebte Schutzvorkehrungen bestanden (4-Augen-Prinzip, Rückrufprotokoll, Schulungen). Angemessene Schutzvorkehrungen sprechen gegen eine Aufsichtspflichtverletzung nach § 130 OWiG, schließen sie aber nicht automatisch aus. Wer nachweisen kann, dass strukturelle Sicherungen bestanden und der Täter sie individuell umging, hat deutlich bessere Entlastungsargumente. Die saubere Dokumentation der ersten 72 Stunden ist dafür das wichtigste Entlastungsinstrument.

Wie hilft eine Strafanzeige bei der Rückholung des Geldes?

Ohne staatsanwaltschaftliches Aktenzeichen verweigern Banken in der Regel die Sperrung von Empfängerkonten und die Herausgabe von Informationen. Die Strafanzeige schafft die rechtliche Grundlage für Kontensperrungen, internationale Rechtshilfe und — bei EU-Konstellationen — die Europäische Ermittlungsanordnung. Sie ermöglicht den Ermittlungsbehörden zudem die Prüfung strafprozessualer Sicherungsmaßnahmen wie der Vermögensarrestierung nach § 111e StPO. Die Anzeige sollte alle in Betracht kommenden Tatbestände (§ 263, § 263a, § 269, § 261 StGB) benennen.

Greift die D&O-Versicherung bei CEO-Fraud-Schäden?

Ob und in welchem Umfang eine D&O-, Cyber- oder Crime-Versicherung bei CEO-Fraud-Schäden greift, hängt von der konkreten Police, den Versicherungsbedingungen, Meldefristen und etwaigen Ausschlussklauseln ab. Eine pauschale Deckung von Abwehrkosten, Forensikkosten oder Innenansprüchen lässt sich nicht behaupten. Wichtig: Versicherungsmeldungen sollten unverzüglich und anwaltlich begleitet erfolgen — viele Policen haben enge Obliegenheitsfristen.

Muss ich die BaFin oder das BKA bei einem BEC-Vorfall informieren?

Das hängt von der Branche und Dimension ab. Für regulierte Finanzinstitute bestehen Meldepflichten gegenüber der BaFin nach den jeweiligen aufsichtsrechtlichen Vorgaben. Für besonders wichtige und wichtige Einrichtungen nach dem BSIG 2025 können Meldepflichten nach §§ 28 ff., 30 ff. BSIG bestehen. Bei Datenkompromittierung ist eine Meldung nach Art. 33 DSGVO zu prüfen (s.o.). Für GwG-Verpflichtete kommt eine Verdachtsmeldung nach § 43 GwG in Betracht.

Wie hoch ist die Rückholquote bei grenzüberschreitendem CEO-Fraud?

Die Rückholquote hängt stark von der Schnelligkeit ab. Bei Maßnahmen innerhalb der ersten Stunden — vor Weiterüberweisung oder Kryptotausch — sind die Rückholchancen deutlich höher. Mit zunehmender Zeitverzögerung sinken sie erheblich; nach 24 Stunden sind Rückholungen oft nur noch in Ausnahmefällen möglich. Bei Überweisungen in Drittstaaten ohne MLAT-Abkommen sind die Chancen erfahrungsgemäß sehr gering. Entscheidend ist in jedem Einzelfall die Schnelligkeit der ersten Reaktion. Die Priorität liegt deshalb auf der Prävention und der Sofortreaktion.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Ausführungen sind auf den Stand 21. April 2026 aktualisiert. In akuten Fällen ersetzt dieser Beitrag nicht die individuelle Rechtsberatung durch einen auf Wirtschaftsstrafrecht spezialisierten Strafverteidiger.

Weiterführende Informationen

Dieser Beitrag ist Teil unseres Themenschwerpunkts Unternehmensstrafrecht Deutschland: Überblick, Sanktionen und Verteidigung. Eine vollständige Übersicht mit allen relevanten Aspekten finden Sie hier:

Unternehmensstrafrecht Deutschland: Überblick, Sanktionen und Verteidigung — Vollständiger Überblick

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Newsletter

Compliance & Wirtschaftsstrafrecht

Neue Beiträge direkt in Ihr Postfach.

Kein Spam. Abbestellbar. Datenschutz

Zum Inhalt springen