cyberversicherung.ch Notfall

cyberversicherung.ch

CEO-Fraud und Social Engineering: Welche Versicherung zahlt?

CEO-Fraud im Schweizer KMU: Sofortmassnahmen, Abgrenzung Cyberversicherung zu Crime/Vertrauensschaden und eine umsetzbare CFO-Kontrollmatrix.

Veröffentlicht: Lesezeit: 6 Min. Quellen: 4 Geprüft von:

Kurzantwort

Bei CEO-Fraud geben sich Kriminelle als Führungsperson, Anwalt oder Geschäftspartner aus und bringen Mitarbeitende mit Autorität, Zeitdruck oder Geheimhaltung zu einer Zahlung. Ob eine Versicherung den direkten Geldverlust deckt, hängt nicht am Wort «Cyber», sondern am versicherten Ereignis: IT-Forensik nach einem kompromittierten E-Mail-Konto kann in eine Cyberdeckung fallen; der überwiesene Betrag liegt häufig eher im Bereich Crime, Vertrauensschaden oder eines ausdrücklich vereinbarten Social-Engineering-Bausteins.

Eine allgemeine Deckungszusage wäre falsch. Cyber-, Crime- und Vertrauensschadenprodukte sind unterschiedlich abgegrenzt. Prüfen Sie Police, Bedingungen, Nachträge, Sublimits und Authentifizierungsanforderungen gemeinsam.

Warum CEO-Fraud ein Geschäftsprozess-Risiko ist

Das BACS meldete im Januar 2026, dass die ihm gemeldeten CEO-Betrugsfälle von 719 im Jahr 2024 auf 971 im Jahr 2025 gestiegen waren. Die Täter nutzen nicht nur gefälschte E-Mails, sondern auch WhatsApp, Telefon, nachgeahmte Schreibstile und Deepfake-Stimmen.

Typische Warnsignale sind:

  • ungewöhnliche Dringlichkeit oder strikte Geheimhaltung;
  • Aufforderung, den normalen Freigabeprozess ausnahmsweise zu umgehen;
  • neue Bankverbindung oder Auslandszahlung;
  • vermeintlicher Anwalt oder Berater als zusätzliche Autorität;
  • Absenderdomain mit kleinen Buchstabendrehern;
  • Bitte um Kontostand, Geschenkkarten oder sofortige Zahlung;
  • Rückrufnummer oder Videolink nur aus der verdächtigen Nachricht.

Der entscheidende Schutz ist kein einzelner Spamfilter. Es ist ein Zahlungsprozess, den auch die Geschäftsleitung nicht per Zuruf ausser Kraft setzen kann.

Geld bereits überwiesen: sofort handeln

  1. Bank unverzüglich anrufen. Nutzen Sie eine bekannte Nummer, verlangen Sie Rückruf oder Zahlungsstopp und dokumentieren Sie Referenz, Empfängerkonto und Ansprechpartner.
  2. Weitere Zahlungen sperren. Informieren Sie Zahlungsfreigebende und sichern Sie betroffene Konten, ohne Beweise zu löschen.
  3. Polizei und BACS einbeziehen. Bei finanziellem Schaden empfiehlt das BACS eine Strafanzeige bei der örtlichen Polizei; die Meldung ans BACS unterstützt die Lagebeurteilung.
  4. Beweise sichern. Originalnachrichten, Header, Anhänge, Chatverläufe, Rufnummern, Freigaben, Zahlungsbelege und Zeitstempel erhalten.
  5. Konten prüfen. Bei möglicher E-Mail-Kompromittierung Sitzungen, Weiterleitungsregeln, MFA, Passwortänderungen und weitere betroffene Postfächer forensisch untersuchen.
  6. Alle möglichen Versicherer melden. Cyber-, Vertrauensschaden-/Crime- und weitere betroffene Policen nach ihren Meldewegen informieren; keine Zuständigkeit voraussetzen.

Der allgemeine Cyber-Notfallplan hilft, Rollen, Zeitpunkte und Entscheidungen konsistent zu dokumentieren.

Cyber oder Crime/Vertrauensschaden?

Schaden oder LeistungCyberversicherung kann relevant seinCrime/Vertrauensschaden kann relevant seinEntscheidend zu prüfen
kompromittiertes E-Mail-KontoForensik, Bereinigung und Wiederherstellung, falls Ereignis versichertnicht typischer KernDefinition des Cyberereignisses, Dienstleister und Selbstbehalt
direkte Fehlüberweisung nach Täuschungnur bei ausdrücklichem Cyberbetrugs-/Social-Engineering-Einschlusshäufig der nähere Deckungsbereich, wenn externe Täuschung erfasst istTäuschungsart, handelnde Person, Authentifizierung und Sublimit
manipulierte Lieferanten-IBANje nach optionalem Betrugsbausteinje nach Betrugs-/Social-Engineering-DefinitionRückruf- und Freigabepflichten, Änderung von Stammdaten
Veruntreuung durch Mitarbeitendenicht typischer Cyber-Kernklassischer möglicher Vertrauensschaden, wenn versichertversicherte Vertrauenspersonen, Entdeckungszeitraum und Nachweis
Abfluss von Personen- oder GeschäftsdatenIncident Response, Datenschutz, Haftpflicht und Kommunikation, falls versichertnur bei passender ErweiterungUrsache, betroffene Daten, Haftpflicht und Ausschlüsse
Bankrückholung, Ermittlungs- und Rechtskostenje nach Assistance-/Rechtsbausteinje nach Schadenfeststellungs- und RechtsverfolgungskostenKostenfreigabe, Dienstleister, Sublimit

«Kann relevant sein» ist keine Zusage. Ein Produkt kann Social Engineering einschliessen, ausschliessen oder nur über einen Zusatz mit eigener Limite decken. Manche Bedingungen verlangen definierte Kontrollschritte. Wurde eine vereinbarte Rückbestätigung oder Kollektivfreigabe umgangen, kann dies die Leistung beeinflussen.

Der Schweizerische Versicherungsverband weist darauf hin, dass Cyberprodukte unterschiedlich ausgestaltet sind. Ein konkretes Schweizer Marktbeispiel ist die separate Vertrauensschadenversicherung der AXA, die Social-Engineering-Schäden beschreibt. Daraus lässt sich nicht auf andere Anbieter oder den eigenen Vertrag schliessen.

CFO-Kontrollmatrix gegen Social Engineering

Die wirksamsten Kontrollen sind einfach, beweisbar und gelten ohne Ausnahme. Passen Sie Schwellenwerte und Rollen an Ihr Unternehmen an.

RisikosituationVerbindliche KontrolleVerantwortlichNachweis
neue oder geänderte IBANRückbestätigung über eine bereits bekannte Nummer; Änderung und Zahlung getrennt freigebenStammdaten + KreditorenRückrufnotiz und Freigabelog
dringende oder geheime Zahlungkein Sonderweg; Vier-Augen-Freigabe und Rückruf beim AuftraggeberCFO + zweite freigebende Personzwei technische Freigaben
Anweisung von CEO/VRdieselben Limiten und Kontrollen wie für alle anderenCFO/VR-Präsidiumdokumentierte Policy ohne Ausnahme
Auslandszahlung oder ungewöhnlicher Empfängerdefinierte Eskalationsschwelle und unabhängige PlausibilitätsprüfungTreasury/CFOPrüfliste und Genehmigung
Rechnung mit neuen ZahlungsdatenAbgleich mit Vertrag/Bestellung; Lieferant über bekannten Kanal kontaktierenEinkauf + Kreditorengeprüfter Stammdatensatz
Auftrag per E-Mail, Chat, Telefon oder VideoIdentität über einen zweiten, bekannten Kanal verifizierenempfangende PersonRückruf-/Bestätigungsvermerk
Führungsperson nicht erreichbarfestgelegte Stellvertretung nutzen; Kontrolle nie überspringenLinienführungStellvertretungsfreigabe
externe E-Mail wirkt internexterne Absender kennzeichnen; Domain und Reply-to prüfenIT + empfangende PersonMail-Gateway-Regel/Prüfvermerk
neues Mitglied im FinanzteamZahlungsregeln und CEO-Fraud-Szenario im Onboarding übenCFO + HRSchulungsnachweis
Verdacht oder FehlversuchZahlung stoppen, intern melden, Indikatoren sichern und BACS-Meldung prüfenalle + SecurityVorfallsnummer und Protokoll

Drei Regeln, die auf jede Zeile gehören

  1. Zweiter Kanal: Nie die Telefonnummer, Adresse oder den Link aus der verdächtigen Nachricht zur Bestätigung verwenden.
  2. Vier Augen: Die zweite Person prüft Inhalt und Empfänger unabhängig; ein blosses Weiterklicken ist keine Kontrolle.
  3. Keine Chef-Ausnahme: Dringlichkeit und Hierarchie erhöhen die Prüfung, sie setzen sie nicht ausser Kraft.

Das entspricht den aktuellen BACS-Empfehlungen zu Vier-Augen-Prinzip, separater Verifizierung, ausnahmslosen Prozessen und Kennzeichnung externer E-Mails.

Was in den Versicherungsvergleich gehört

Lassen Sie CEO-Fraud nicht nur mit der Frage «Social Engineering eingeschlossen?» bestätigen. Beschreiben Sie konkrete Szenarien und verlangen Sie eine schriftliche Zuordnung:

  • gefälschte CEO-E-Mail ohne gehacktes Konto;
  • echtes, kompromittiertes Microsoft-365- oder Google-Workspace-Konto;
  • Deepfake-Anruf oder WhatsApp-Nachricht;
  • manipulierte Lieferantenrechnung oder neue IBAN;
  • interne Veruntreuung durch eine angestellte Person;
  • Überweisung trotz eingehaltenem Vier-Augen-Prinzip;
  • Überweisung bei Verletzung eines vereinbarten Kontrollschritts;
  • Kosten für Bankrückholung, Forensik, Rechtsberatung und Kommunikation.

Vergleichen Sie je Szenario Ereignisdefinition, versicherte Personen, Gesamtlimite, Sublimit, Selbstbehalt, Rückwärtsdeckung, Entdeckungszeitraum, Sicherheitsvorgaben und Kostenfreigabe. Der Policenvergleich zeigt, wie mehrere Sparten gemeinsam geprüft werden.

Häufige Fragen

Ist CEO-Fraud immer ein Cyberangriff?

Nein. Ein Betrug kann allein durch Täuschung und einen intakten Zahlungsprozess erfolgen, ohne dass ein IT-Konto technisch kompromittiert wurde. Umgekehrt kann Business Email Compromise ein echtes gehacktes Konto und damit zusätzlich einen Cybervorfall umfassen.

Deckt eine Cyberversicherung den überwiesenen Betrag?

Nicht automatisch. Direkte Vermögensverluste aus Täuschung benötigen häufig einen ausdrücklichen Betrugs- oder Social-Engineering-Baustein und können einem eigenen Sublimit oder Kontrollanforderungen unterliegen.

Reicht ein telefonischer Rückruf?

Nur wenn die Nummer aus einer unabhängigen, bereits bekannten Quelle stammt und die rückbestätigende Person den konkreten Auftrag verifiziert. Ein Anruf auf die Nummer in der verdächtigen Nachricht bestätigt nur den Angreifer.

Was ist wichtiger: Technik oder Schulung?

Beides unterstützt, aber der verbindliche Freigabeprozess ist die letzte finanzielle Barriere. E-Mail-Kennzeichnung, MFA und Filter helfen; Vier-Augen-Freigabe und unabhängige Rückbestätigung verhindern, dass eine überzeugende Nachricht allein zur Zahlung führt.

Offizielle und primäre Quellen

Inhaltlich geprüft am 18. Juli 2026. Die genannten Sparten sind eine Orientierung, keine Deckungszusage. Massgebend sind der Einzelfall und die vollständigen aktuellen Vertragsunterlagen.

BTAG Versicherungsbroker AG · Bern

Offertenberatung durch BTAG Versicherungsbroker AG, Bern — FINMA-registrierter Versicherungsvermittler.

Haben Sie Fragen zu Cyberversicherungen?

BTAG klärt Ihr Risikoprofil und legt eine allfällige Courtage vor dem Abschluss transparent offen. Die Anfrage verpflichtet zu keinem Abschluss.

Geprüfte Primärquellen
Courtage wird offengelegt