Ein CEO-Fraud-Anruf setzt auf Dringlichkeit, Geheimhaltung und Autorität – wer diese drei Muster erkennt und auf einen Rückruf auf bekannter Nummer besteht, stoppt den Betrug, bevor Geld fließt.
Voice-Cloning-Angriffe auf Unternehmen nahmen 2025 laut Digital Chiefs (2026) um 680 Prozent gegenüber dem Vorjahr zu.
Für eine überzeugende Stimmimitation genügen Tätern häufig weniger als 60 Sekunden öffentlich verfügbares Audio – Interview, LinkedIn-Video oder Konferenzmitschnitt.
Im Arup-Fall veranlasste ein Sachbearbeiter nach einem einzigen Deepfake-Videocall 15 Überweisungen über insgesamt 25,6 Millionen US-Dollar (Digital Chiefs 2026; hub24 2026).
80 Prozent der Unternehmen haben laut Digital Chiefs (2026) keinen dokumentierten Verifikationsprozess für außergewöhnliche Zahlungsanweisungen.
Typische CEO-Fraud-Anrufe folgen drei Mustern: Dringlichkeit, Geheimhaltungsbitte und ungewöhnliche Anweisung – alle drei zusammen sind das stärkste Warnsignal.
Der wichtigste Schutz ist der Rückruf auf der dem Mitarbeitenden bereits bekannten Nummer, nicht auf der im Anruf neu genannten.
Mitarbeitende sind 2026 die erste Verteidigungslinie gegen CEO-Fraud – der wirksamste Schutz ist nicht Technik, sondern eine eingeübte Verhaltensroutine.
CEO-Fraud – auch CEO-Betrug oder Fake-President-Fraud – bezeichnet Betrugsversuche, bei denen sich Täter per Anruf, Videocall oder E-Mail als Geschäftsführung oder CFO ausgeben, um Mitarbeitende zur Freigabe von Zahlungen oder vertraulichen Informationen zu bewegen. Seit 2024 werden diese Anrufe routinemäßig mit KI-generierten Stimmimitationen (Voice-Cloning) verstärkt – das Opfer hört die vertraute Stimme des Chefs, obwohl ein Betrüger am anderen Ende ist.
Die Stimme am Telefon klingt vertraut. Es ist der Chef – eindeutig. Er ist in einem wichtigen Termin, der Vertrag liegt auf dem Tisch, eine Überweisung muss in der nächsten halben Stunde raus. „Schaffen Sie das? Ich kann gerade nicht reden, bleiben Sie bitte auf der Leitung.” Klingt wie ein normaler Montagmorgen – ist aber der häufigste Einstieg eines CEO-Fraud-Anrufs 2026.
Dieser Artikel liefert sieben Tipps, mit denen Mitarbeitende diesen Moment erkennen und abwehren, bevor Geld fließt.
Bis 2024 war CEO-Fraud ein Thema für IT-Security. 2026 ist er ein Thema für Sachbearbeitung, Assistenz und mittleres Management und damit für die Interne Kommunikation. Der Grund ist technisch: Voice-Cloning ist seit Mitte 2024 für Täter praktisch gratis verfügbar. Laut Digital Chiefs (2026) stiegen Voice-Cloning-Angriffe 2025 um 680 Prozent – 60 Sekunden öffentlich verfügbares Audio genügen für eine überzeugende Imitation.
Die Verschiebung ist organisatorisch: Der Angriff erreicht nicht die IT-Abteilung, sondern die Person, die am Ende die Überweisung freigibt. Der Arup-Fall aus Hongkong ist dafür das Lehrbuch-Beispiel – 25,6 Millionen US-Dollar, 15 Einzelüberweisungen an einem Tag, ausgelöst durch einen Deepfake-Videocall. Die forensische Analyse zeigt: der Sachbearbeiter hat korrekt nach Freigabe gefragt und sie bekommen – nur dass die „Freigabe” vom Deepfake kam, nicht vom echten CFO.
Entscheidend ist: gegen technisch perfekte Stimmimitation helfen keine Filter im Telefon. Was hilft, ist die Verhaltensroutine des Mitarbeitenden, der oder die den Anruf entgegennimmt. Sieben Tipps strukturieren diese Routine.
Erfolgreiche CEO-Fraud-Anrufe folgen einem wiederkehrenden Drehbuch. Drei Muster lassen sich benennen – und trainieren.
Tipp 1 – Dringlichkeit als Reflexverstärker erkennen. Der Anruf kommt zu einem Zeitpunkt, an dem eine Reaktion innerhalb von Minuten erwartet wird. „Ich bin gerade in einer Verhandlung, der Vertrag muss heute raus.” „In 20 Minuten schließt die Bank.” Dringlichkeit unterdrückt Reflexion. Wer das Muster kennt, kann es bewusst unterbrechen: „Ich rufe Sie in fünf Minuten zurück.” Diese fünf Minuten sind die Lücke, in der Verifikation möglich wird.
Tipp 2 – Ungewöhnliche Zahlungs- oder Datenanfrage einordnen. Der Anruf enthält eine Anweisung, die vom üblichen Prozess abweicht: Überweisung an ein unbekanntes Konto im Ausland, abgekürzter Freigabeweg, Umgehung eines Vier-Augen-Prinzips. Jede Ausnahme vom normalen Prozess ist ein Signal, kein Auftrag. Wer gewohnt ist, Ausnahmen als Sonderfall zu akzeptieren, ist die Zielgruppe dieser Angriffe.
Tipp 3 – Geheimhaltungsbitte als Warnsignal werten. „Besprechen Sie das mit niemandem, bis die Transaktion durch ist.” Diese Bitte ist das deutlichste Einzelsignal, das ein CEO-Fraud-Anruf abgibt. Echte Führungskräfte verlangen keine Geheimhaltung gegenüber der eigenen Finanz- oder Rechtsabteilung. Wer diese Bitte hört, hat nicht den echten Chef in der Leitung – auch wenn die Stimme überzeugt.
Die gute Nachricht: es gibt zwei simple Mechanismen, die auch gegen technisch perfekte Stimm-Imitation funktionieren. Beide setzen voraus, dass der Mitarbeitende sich im Zweifel fünf Minuten Zeit nimmt – die oben erwähnten fünf Minuten.
Tipp 4 – Rückruf auf der bekannten Nummer, nicht auf der im Anruf genannten. Wenn der vermeintliche CEO eine neue Nummer angibt („ich bin gerade im Ausland, rufen Sie mich unter der Nummer zurück”), ist das Teil des Angriffs. Die einzige zulässige Verifikation ist der Rückruf auf der im Adressbuch hinterlegten, bereits zuvor benutzten Nummer. Wenn der echte Chef erreichbar ist, bestätigt er oder dementiert er. Wenn er verärgert ist, weil er gerade in einer Sitzung sitzt – das ist die Sekunde, die hunderttausende Euro gerettet hat.
Tipp 5 – Codewort oder Zwei-Faktor-Verifikation bei außergewöhnlichen Zahlungsanweisungen. Einige Unternehmen haben zwischen Geschäftsführung und Finanzabteilung ein nicht schriftlich dokumentiertes Codewort etabliert. Bei Zahlungsanweisungen außerhalb des Standardprozesses muss das Codewort fallen – wenn nicht, wird der Anruf abgelehnt. Alternative: ein zweites Kommunikationsmedium, etwa ein Teams-Chat mit Kamera auf einem separaten Gerät. Die Kombination schlägt jeden Voice-Clone.
Tipp 6 – Zahlungsfreigabe stoppen, auch bei Zeitdruck. Der Moment, in dem ein Zweifel entsteht, ist der Moment, in dem die Transaktion anhält – unabhängig davon, wie dringend der Anrufer tut. Die Regel lautet: Bei Zweifel gewinnt Verifikation immer gegen Geschwindigkeit. Kein echter Vorgesetzter bestraft einen Mitarbeitenden dafür, dass eine Freigabe fünf Minuten länger geprüft wird; ein Betrüger dagegen hat ein Zeitfenster, das mit jeder Minute schrumpft.
Tipp 7 – Meldekette sofort in Gang setzen: IT-Security, Vorgesetzte, gegebenenfalls Polizei. Sobald der Verdacht auf einen CEO-Fraud-Anruf besteht, ist das ein Sicherheitsvorfall. Die interne IT-Security informiert weitere potenzielle Ziele im Unternehmen – Täter kontaktieren oft mehrere Mitarbeitende nacheinander. Bei konkreten Indizien (bekannte IBAN, aktuelle Phishing-Welle, bereits gezahlter Betrag) ist die Polizei einzubeziehen. Laut hub24 (2026) sinkt die Erfolgsquote von CEO-Fraud-Kampagnen deutlich, sobald ein Unternehmen intern die Meldekette aktiviert hat.
Individuelle Wachsamkeit reicht nicht. Unternehmen müssen den Rahmen bereitstellen, in dem die sieben Tipps Routine werden können.
Dazu gehören vier Bausteine.
Awareness-Training im Regelbetrieb, nicht als einmalige Maßnahme. Simulierte CEO-Fraud-Anrufe funktionieren wie Brandschutzübungen – einmal pro Jahr reicht, wenn sie ernsthaft durchgeführt werden.
Schriftliche Freigabeprozesse für Zahlungen über definierte Schwellenwerte, mit Vier-Augen-Prinzip und getrennten Kommunikationskanälen.
Ein zentraler Meldeweg für verdächtige Anrufe, der in unter einer Minute erreichbar ist – nicht ein Ticket-System mit 24-Stunden-SLA.
Eine klare Botschaft der Geschäftsführung, dass Verifikation nicht als Misstrauen gewertet wird, sondern als Dienst an der Organisation. Ohne diese Botschaft unterdrücken Mitarbeitende ihre Zweifel – und das ist genau die Lücke, in die CEO-Fraud zielt.
Drei Sätze, die jeder Mitarbeitende im Voraus verinnerlicht – jeder Satz ist jederzeit zulässig, unabhängig von Dringlichkeit, Autorität oder Stimme:
„Ich rufe Sie in fünf Minuten zurück.”
„Das geht nur über den normalen Freigabeweg.”
„Unsere IT-Security prüft die Anfrage.”
CEO-Fraud funktioniert nicht durch technische Perfektion, sondern durch das Dreieck aus Dringlichkeit, Autorität und Geheimhaltung. Wer dieses Muster erkennt, ist vor Angriffen geschützt.
Fünf Minuten sind die wichtigste Schutzzeit. Jeder CEO-Fraud-Anruf lebt davon, dass diese fünf Minuten nicht stattfinden – die Kultur muss sie ausdrücklich erlauben.
Ein „Sind Sie verärgert, weil ich zurückrufe?“-Moment ist billiger als jeder nicht-erkannte Fraud – die Geschäftsführung muss das aktiv signalisieren, sonst bleibt es Theorie.
Die wirksamste Verteidigung ist nicht individuelle Wachsamkeit, sondern ein eingeübter Prozess, den niemand unter Druck aushebeln kann.
CEO-Fraud und öffentliche Deepfake-Videos sind zwei Seiten derselben Technologie – Unternehmen brauchen Antworten auf beide Szenarien, nicht nur auf eines.
CEO-Fraud trifft 2026 nicht mehr die IT, sondern den Menschen, der nachmittags um Viertel vor fünf ein Telefon abhebt und die Stimme des Chefs hört. Die sieben Tipps in diesem Artikel funktionieren nur, wenn sie vorher geübt wurden und wenn die Unternehmenskultur Verifikation nicht als Zögern wertet, sondern als professionelles Handeln. Wer diese Voraussetzungen schafft, überlebt die nächste Voice-Cloning-Welle ohne Schaden. Wer sie vernachlässigt, erfährt von dem Vorfall frühestens auf dem Kontoauszug.
Wenn ein Deepfake-Video der Geschäftsführung bereits öffentlich kursiert, gelten andere Regeln als am Telefon. Ein weitere Artikel in unserem Blog beschreibt den Umgang mit dem öffentlichen Szenario: Der CEO im Deefake - wie Unternehmen mit Krisenkommunikation die Deutungshoheit zurückgewinnen.
Mehr über die Vorbereitung auf mögliche Krisenszenarien erfahren Sie auf unserer Seiten Krisen-PR München, Krisenprävention oder Krisensimulationstrainings.
CEO-Fraud ist ein gezielter Angriff auf eine einzelne Person im Unternehmen mit dem Ziel, Zahlungen oder Daten freizugeben. Ein öffentliches Deepfake-Video richtet sich dagegen an die breite Öffentlichkeit und zielt auf Reputation oder allgemeinen Betrug. Beide nutzen dieselbe Technologie, aber die kommunikative Antwort ist unterschiedlich: CEO-Fraud verlangt interne Verhaltensroutinen, öffentliche Deepfakes verlangen Krisenkommunikation nach außen.
Die Stimme allein ist 2026 kein verlässlicher Indikator mehr. Verlassen Sie sich stattdessen auf drei Muster: ungewöhnliche Dringlichkeit, Geheimhaltungsbitte, Abweichung vom normalen Prozess. Wenn zwei oder drei dieser Muster zusammenkommen, behandeln Sie den Anruf als verdächtig - unabhängig davon, wie überzeugend die Stimme klingt.
Ja. Der Rückruf auf der bekannten Nummer ist die wichtigste einzelne Schutzmaßnahme. Ein echter Vorgesetzter, der einen Mitarbeitenden für Verifikation tadelt, hat selbst ein Problem - kein Mitarbeitender. Die Unternehmenskultur muss diese Rückruf-Erlaubnis aktiv signalisieren, damit sie im Ernstfall auch genutzt wird.
Sofort die eigene Bank kontaktieren und die Überweisung stoppen lassen, wenn sie noch nicht final ausgeführt ist - bei SEPA-Überweisungen besteht oft ein Zeitfenster von mehreren Stunden. Parallel Anzeige bei der Polizei erstatten, IT-Security informieren, interne Meldekette aktivieren. Laut hub24 (2026) lassen sich rund 30 Prozent der Beträge zurückholen, wenn innerhalb der ersten 24 Stunden reagiert wird.
Einmal pro Jahr mit einer realistischen Simulation - vergleichbar mit einer Brandschutzübung. Zusätzlich ein kurzer schriftlicher Refresh nach jedem bekannten Vorfall in der Branche. Häufiger ist nicht besser: zu häufige Trainings verlieren an Aufmerksamkeit, zu seltene verblassen.
Finanzbuchhaltung, Zahlungsverkehr, Geschäftsführungsassistenz und HR bei Personaldaten. Zweitens oft: Einkauf bei Rechnungsweisungen und IT-Administration bei Zugriffsänderungen. Täter recherchieren die Organisationsstruktur im Vorfeld - häufig über LinkedIn und das Impressum der Unternehmenswebsite.
Die Schwellenwerte sind unternehmensspezifisch und im Freigabeprozess zu definieren. Eine typische Staffelung: bis 5.000 Euro ein Prüfer, 5.000 bis 50.000 Euro zwei Prüfer, über 50.000 Euro zwei Prüfer plus Geschäftsleitung. Entscheidender als die genaue Zahl ist die konsequente Anwendung - jede mündliche Ausnahme ist ein Einfallstor.
Digital Chiefs (2026): Deepfake-Schutz für C-Level – Der CEO ist nicht echt. https://www.digital-chiefs.de/deepfake-schutz-c-level-ceo-videocall-betrug-2026/
hub24 (2026): CEO-Fraud per Deepfake — Die wichtigsten Maßnahmen zum Schutz. https://www.hub24.de/blog/ceo-fraud/
Security Insider (2026): KI-Betrug und Deepfakes — Wissenschaft und Industrie reagieren. https://www.security-insider.de/ki-betrug-deepfakes-wissenschaft-industrie-a-acfb8686d36bfe7f00aff6ba336b600e/
consense communications (2026): Checkliste ad hoc Krisenkommunikation.
Autorin: Claudia Thaler ist Geschäftsführerin der consense communications GmbH (GPRA) in München und seit über 25 Jahren in der Kommunikationsberatung tätig. Sie begleitet mittelständische Unternehmen, DAX-Konzerne und NGOs in Krisenkommunikation, interner Kommunikation und Reputationsmanagement.
Die Autorin hat diesen Artikel auf Basis ihrer langjährigen Expertise mit Unterstützung von Claude Opus 4.7 erstellt. Das Bild wurde von Nano Banana 2 generiert.
Geschäftsführerin consense communications GmbH (GPRA) Expertin für Strategie-, Change- und Krisenkommunikation sowie zertifizierte systemische Coachin und Organisationsentwicklerin. Strategin für Kommunikation im KI-Zeitalter.
