· Rexoma Team · IT-Sicherheit · 5 min read
Vishing und CEO-Fraud: Telefonbetrug erkennen und Mitarbeiter schützen
Ein Anruf, eine gefälschte Stimme, ein überzeugender Vorwand – und schon überweist die Buchhaltung fünfstellige Summen. Vishing und CEO-Fraud gehören zu den teuersten Betrugsmaschen für KMU. So schützen sich Unternehmen konkret.
Eine internationale Polizeiaktion mit rund 5.800 Festnahmen hat kürzlich erneut gezeigt, wie professionell organisiert Social-Engineering-Betrug mittlerweile abläuft – ein erheblicher Teil davon läuft nicht per E-Mail, sondern per Telefon. Vishing (Voice Phishing) und CEO-Fraud gehören zu den finanziell schädlichsten Angriffsformen gegen kleine und mittlere Unternehmen, weil sie gezielt menschliches Vertrauen und Zeitdruck ausnutzen statt technische Schwachstellen. Für KMU in Dresden und Sachsen, die oft ohne mehrstufige Freigabeprozesse arbeiten, ist das ein reales und unterschätztes Risiko.
Was Vishing und CEO-Fraud unterscheidet
Vishing: Betrug über den Anruf
Vishing kombiniert “Voice” und “Phishing”. Angreifer rufen Mitarbeiter an und geben sich als IT-Support, Bank, Lieferant oder Behörde aus, um Zugangsdaten, Freigaben oder direkte Zahlungen zu erschleichen. Anders als eine E-Mail wirkt ein Telefonat persönlich und dringlich – genau das macht die Masche wirksam, da spontane Entscheidungen unter Druck seltener kritisch hinterfragt werden.
CEO-Fraud: Die teure Variante
Beim CEO-Fraud (auch “Chef-Masche” genannt) gibt sich der Angreifer als Geschäftsführung oder Führungskraft aus und weist die Buchhaltung oder Assistenz an, dringend eine Überweisung auszuführen – typischerweise mit Verweis auf eine vertrauliche Übernahme, einen Notfall im Ausland oder strikte Geheimhaltung. Häufig folgt der Anruf auf eine vorbereitende E-Mail von einer gefälschten oder ähnlich klingenden Domain, um Glaubwürdigkeit aufzubauen.
Die neue Dimension: KI-Stimmklone
Was diese Betrugsform seit Kurzem noch gefährlicher macht, ist der Einsatz von KI-Stimmklonen. Aus wenigen Sekunden öffentlich verfügbarem Audiomaterial – etwa aus einem Video oder Podcast – lässt sich heute eine täuschend echte Stimme nachbilden. Mitarbeiter, die glauben, den Geschäftsführer am Telefon eindeutig an der Stimme zu erkennen, sind dadurch kein verlässlicher Schutz mehr.
Warum KMU besonders gefährdet sind
Kurze Entscheidungswege als Schwachstelle
Gerade der Vorteil kleiner Unternehmen – schnelle, unbürokratische Entscheidungen – wird beim CEO-Fraud zur Schwachstelle. Wo Überweisungen ohne Vier-Augen-Prinzip freigegeben werden, reicht ein überzeugender Anruf, um fünf- oder sechsstellige Summen zu bewegen.
Öffentlich sichtbare Strukturen
Firmenwebsites, LinkedIn-Profile und Impressumsangaben liefern Angreifern kostenlos genau die Informationen, die für einen glaubwürdigen Anruf nötig sind: Namen von Geschäftsführung und Buchhaltung, Telefonnummern, aktuelle Projekte oder Reisetermine. Ostdeutsche KMU mit stark personalisierter Außendarstellung sind hier oft ungewollt auskunftsfreudig.
Fehlendes Bewusstsein für Telefonbetrug
Während E-Mail-Phishing mittlerweile vielen Mitarbeitern bekannt ist, wird ein Telefonanruf seltener kritisch hinterfragt. Genau diese Lücke im Bewusstsein macht Vishing so wirksam – die Technik dahinter ist oft simpler als bei E-Mail-Kampagnen, der Erfolg aber häufig größer.
Typische Ablaufmuster in der Praxis
- Der IT-Support-Anruf: Ein angeblicher Techniker bittet um Fernzugriff oder Zugangsdaten, um ein “dringendes Problem” zu beheben.
- Die Lieferantenänderung: Ein Anrufer gibt sich als bekannter Lieferant aus und bittet um Änderung der Bankverbindung für zukünftige Zahlungen.
- Der Chef-Notfall: Anruf oder Sprachnachricht, angeblich von der Geschäftsführung, mit dringender Bitte um eine vertrauliche Überweisung außerhalb der üblichen Abläufe.
- Die Rückruf-Falle: Eine gefälschte SMS oder E-Mail fordert zum Rückruf einer Nummer auf, die direkt zum Angreifer führt.
Allen Varianten gemeinsam: künstlich erzeugter Zeitdruck, Verweis auf Vertraulichkeit und die gezielte Umgehung normaler Freigabeprozesse.
Vishing und CEO-Fraud abwehren: Konkrete Schritte
Schritt 1: Vier-Augen-Prinzip für Zahlungen verbindlich machen
Jede Überweisung ab einem festgelegten Betrag – unabhängig von Dringlichkeit oder angeblicher Anweisung “von oben” – sollte eine zweite, unabhängige Freigabe erfordern. Diese Regel darf keine Ausnahme kennen, auch nicht bei vermeintlichem Zeitdruck durch die Geschäftsführung selbst.
Schritt 2: Rückruf über bekannte Nummern etablieren
Bei jeder ungewöhnlichen telefonischen Anweisung gilt: auflegen und über eine im Vorfeld bekannte, gespeicherte Nummer zurückrufen – niemals über eine vom Anrufer genannte Nummer. Ein einfaches, aber wirksames Codewort für wirklich dringende, telefonisch bestätigte Zahlungsanweisungen schafft zusätzliche Sicherheit.
Schritt 3: Mitarbeiter gezielt schulen
Regelmäßige, praxisnahe Schulungen sollten Vishing und CEO-Fraud explizit behandeln – nicht nur E-Mail-Phishing. Simulierte Testanrufe zeigen realistischer als jede Präsentation, wie überzeugend solche Anrufe wirken können und wo im Unternehmen noch Unsicherheit besteht.
Schritt 4: Sichtbare Unternehmensinformationen reduzieren
Prüfen Sie, welche internen Details – Namen, Durchwahlen, Organigramme – tatsächlich öffentlich zugänglich sein müssen. Weniger verfügbare Informationen erschweren es Angreifern, einen glaubwürdigen Vorwand zu konstruieren.
Schritt 5: Meldewege ohne Hemmschwelle schaffen
Mitarbeiter müssen einen verdächtigen Anruf ohne Angst vor Blamage melden können – auch wenn sie unsicher sind, ob es sich wirklich um Betrug handelte. Eine offene Fehlerkultur bei diesem Thema verhindert, dass Vorfälle aus Scham verschwiegen werden, bis der Schaden bereits entstanden ist.
Sie suchen Unterstützung in Dresden?
Rexoma IT unterstützt KMU in Dresden und Sachsen dabei, Prozesse gegen Vishing und CEO-Fraud abzusichern – von klaren Freigabe- und Rückrufregeln über die Absicherung öffentlich sichtbarer Unternehmensdaten bis zu praxisnahen Awareness-Schulungen für Buchhaltung und Assistenz. Gerade ostdeutsche KMU ohne dedizierte Sicherheitsabteilung profitieren von einem strukturierten Blick von außen, bevor ein überzeugender Anruf teuer wird. Sprechen Sie uns an.
FAQ: Vishing und CEO-Fraud für KMU
Woran erkenne ich einen Vishing-Anruf? Typische Warnsignale sind starker Zeitdruck, die Bitte um Geheimhaltung, ungewöhnliche Zahlungswege oder Anweisungen, die von normalen Freigabeprozessen abweichen. Im Zweifel gilt: auflegen und über eine bekannte Nummer zurückrufen.
Reicht es, wenn ich die Stimme meines Chefs erkenne? Nein. Durch KI-Stimmklone lässt sich eine vertraute Stimme heute mit wenig Aufwand täuschend echt nachbilden. Verlassen Sie sich stattdessen auf verbindliche Prozesse wie das Vier-Augen-Prinzip und Rückrufe über bekannte Kanäle, nicht auf das Stimmerkennen allein.
Was tun, wenn eine Überweisung bereits ausgeführt wurde? Sofort die eigene Bank kontaktieren und um Rückbuchung beziehungsweise Sperrung bitten, parallel Anzeige bei der Polizei erstatten. Je schneller reagiert wird, desto größer die Chance, die Zahlung noch zu stoppen.
Sind kleine Unternehmen wirklich ein Ziel für CEO-Fraud? Ja. Angreifer wählen Ziele gezielt nach öffentlich sichtbaren Informationen und schwachen internen Prozessen aus – die Unternehmensgröße spielt dabei eine untergeordnete Rolle. Kurze Entscheidungswege ohne Kontrollmechanismen machen KMU sogar besonders attraktiv.
Wie oft sollten Mitarbeiter zu diesem Thema geschult werden? Mindestens einmal jährlich, ergänzt durch kurze Auffrischungen bei aktuellen Betrugswellen. Wichtiger als die Frequenz ist, dass Schulungen praxisnah sind und konkrete Handlungsanweisungen statt allgemeiner Warnungen vermitteln.
Rexoma IT