«Bitte überweisen Sie heute noch 47’200 Euro an folgendes Konto. Es ist dringend, ich bin in einer wichtigen Verhandlung und kann nicht selber. Bitte vertraulich behandeln, wir besprechen das morgen.»
Mail vom CEO. Korrekte Signatur, professioneller Tonfall, leichter Druck. Die Buchhalterin überweist – weil so eine Mail durchaus mal vorkommt, weil der Chef tatsächlich gerade in einer Sitzung ist, weil keine Zeit für Rückfragen bleibt. Eine halbe Stunde später ist das Geld weg, das Konto existiert nicht mehr, der Chef hat die Mail nie geschrieben.
Das ist CEO-Betrug, auch «Business E-Mail Compromise» oder «Fake President» genannt. Das BACS hat in der Meldung vom 27. Januar 2026 alarmierende Zahlen veröffentlicht: Die Fälle in der Schweiz stiegen 2025 von 719 auf 971 – ein Plus von 35 Prozent. Und die Methoden werden technisch professioneller.
Warum es funktioniert
CEO-Betrug spielt nicht mit technischen Schwächen, sondern mit organisatorischen. Die Angreifer recherchieren das Ziel-Unternehmen sehr genau – LinkedIn, Webseite, Geschäftsbericht, Social Media. Dann konstruieren sie eine Geschichte, die für die jeweilige Buchhalterin oder den Finance-Manager plausibel klingt:
- «Akquisition wird gerade abgeschlossen, Anwalt braucht heute eine Anzahlung»
- «Rechnung des chinesischen Lieferanten muss heute raus, sonst Lieferstopp»
- «Notar braucht für Vertrags-Hinterlegung dringend ein Treuhandkonto-Eingang»
Was 2026 dazu kommt: KI-Stimmenklone. Aus zehn Sekunden Audio-Material – aus einem Podcast, einem Webinar, einem YouTube-Video des CEO – wird eine täuschend echte synthetische Stimme. Die ruft dann an und bestätigt die «Mail-Anweisung» zusätzlich telefonisch. Wenn Du die Stimme erkennst, kommt Dir der Auftrag echt vor. Genau das ist die Idee.
Vier organisatorische Schutzmechanismen
Technisch ist CEO-Betrug schwer zu blocken – die Mail kommt oft von einer realistisch wirkenden, aber gefälschten Adresse durch, weil die Angreifer kreative Domain-Variationen nutzen (ceo@firma-ch.com statt ceo@firma.ch). E-Mail-Filter erkennen das nicht zuverlässig. Was hilft, sind Prozesse.
1. Vier-Augen-Prinzip ab Schwellenwert. Jede Überweisung über einem definierten Betrag (z.B. CHF 5’000) wird von einer zweiten Person freigegeben. Bei vielen Banken ist das technisch in der E-Banking-Plattform einstellbar – als Hard-Constraint, nicht als Empfehlung. Damit reicht eine kompromittierte Mail-Adresse nicht mehr aus, um Geld zu bewegen.
2. Rückrufe-Protokoll für Sonderzahlungen. Bei jeder Zahlungsanweisung, die per Mail kommt und nicht der Routine entspricht, ruft die Buchhaltung zurück – aber an die bekannte Telefonnummer der Person, nicht an die in der Mail genannte. Klingt umständlich, ist aber die wirksamste Massnahme. Wer das Protokoll einhält, bemerkt Fake-Mails verlässlich.
3. Klare Abwesenheits-Vertretungen. «Ich bin in einer Verhandlung und kann nicht antworten» funktioniert nur, wenn das im Unternehmen plausibel ist. Wenn die Vertretungs-Regelung im Unternehmen klar ist – Abwesenheits-Notizen, Stellvertretungs-Prozesse – dann sticht eine Mail mit «Bitte vertraulich behandeln, kein Rückruf möglich» heraus, statt vertraut zu wirken.
4. Schulung mit echten Beispielen. Standard-Phishing-Trainings reichen nicht. Mitarbeitende in Finance- und Assistenz-Funktionen brauchen ein paar Mal pro Jahr ein Update mit aktuellen CEO-Betrug-Mustern – idealerweise mit echten Beispielen aus der eigenen Branche oder der Region. Das BACS publiziert anonymisierte Fälle, ebenso die kantonalen Polizeien.
Die KI-Stimmenklone-Frage
Was tun, wenn der Anrufer wirklich wie der CEO klingt? Die Stimme ist 2026 kein verlässlicher Authentifizierungs-Faktor mehr. Was hilft:
- Bei Sonderzahlungen über Mail oder Telefon: Rückruf an die bekannte Nummer. Nicht zurückrufen lassen, aktiv anrufen.
- Codewort-Verfahren in besonders sensiblen Funktionen (Finance, Assistenz). Klingt aus den 70ern, ist 2026 wieder zeitgemäss. Kurze Frage-Antwort-Codes, die sich niemand zusammenreimen kann.
- Videocall mit Gesicht statt nur Telefon-Bestätigung – wobei auch Video-Deepfakes 2026 langsam in den Mainstream kommen. Aber sie sind aufwändiger als Audio-Klones.
Was tun, wenn das Geld schon weg ist
Bei CEO-Betrug zählt jede Stunde:
- Sofort die eigene Bank anrufen und einen Rückruf der Zahlung beantragen. Bei interner Schweizer Überweisung mit schneller Reaktion (Stunden) bestehen reale Chancen, das Geld zurückzuholen.
- Polizei einschalten. CEO-Betrug ist ein Strafdelikt. Eine zeitnahe Anzeige hilft, die Empfängerbank zu kontaktieren und das Konto zu sperren.
- BACS-Meldung über das Meldeformular auf
antiphishing.ch. Damit fliessen die Daten in die Statistik, und ähnliche Wellen können schneller erkannt werden. - Interne Aufarbeitung, ohne Fingerzeig. Der Mitarbeitende, der überwiesen hat, ist nicht der Schuldige – die fehlende Prozess-Kontrolle ist das Problem.
Warum 2026 das Jahr für die Schwellenwert-Regel ist
Wenn CEO-Betrug in der Schweiz von 719 auf 971 Fälle steigt, sind das keine Einzelfälle mehr. Das ist ein etabliertes Geschäftsmodell. Die Hürde, Opfer zu werden, ist niedrig: ein einziger Fehler in der Buchhaltung, eine geschickt gemachte Mail, ein paar zehntausend Franken weg.
Die Hürde, dagegen geschützt zu sein, ist hoch genug, dass viele Unternehmen sie nicht überschreiten – aber niedriger als die Kosten eines einzigen Vorfalls. Vier-Augen-Prinzip technisch in der E-Banking-Plattform einstellen, Rückruf-Protokoll dokumentieren, Schulung der Finance-Verantwortlichen einmal pro Quartal. Das ist nicht teuer, das ist Disziplin.
Wer im Q1 2026 nichts dazu macht, sollte spätestens nach dem ersten Vorfall in der eigenen Branche reagieren. Erfahrungsgemäss kommt der.
Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Meldung vom 27.01.2026: «Dringende Überweisung – CEO-Betrug bleibt ein Dauerbrenner für KMU» (ncsc.admin.ch).