Kurzantwort
Bei CEO-Fraud geben sich Kriminelle als Führungsperson, Anwalt oder Geschäftspartner aus und bringen Mitarbeitende mit Autorität, Zeitdruck oder Geheimhaltung zu einer Zahlung. Ob eine Versicherung den direkten Geldverlust deckt, hängt nicht am Wort «Cyber», sondern am versicherten Ereignis: IT-Forensik nach einem kompromittierten E-Mail-Konto kann in eine Cyberdeckung fallen; der überwiesene Betrag liegt häufig eher im Bereich Crime, Vertrauensschaden oder eines ausdrücklich vereinbarten Social-Engineering-Bausteins.
Eine allgemeine Deckungszusage wäre falsch. Cyber-, Crime- und Vertrauensschadenprodukte sind unterschiedlich abgegrenzt. Prüfen Sie Police, Bedingungen, Nachträge, Sublimits und Authentifizierungsanforderungen gemeinsam.
Warum CEO-Fraud ein Geschäftsprozess-Risiko ist
Das BACS meldete im Januar 2026, dass die ihm gemeldeten CEO-Betrugsfälle von 719 im Jahr 2024 auf 971 im Jahr 2025 gestiegen waren. Die Täter nutzen nicht nur gefälschte E-Mails, sondern auch WhatsApp, Telefon, nachgeahmte Schreibstile und Deepfake-Stimmen.
Typische Warnsignale sind:
- ungewöhnliche Dringlichkeit oder strikte Geheimhaltung;
- Aufforderung, den normalen Freigabeprozess ausnahmsweise zu umgehen;
- neue Bankverbindung oder Auslandszahlung;
- vermeintlicher Anwalt oder Berater als zusätzliche Autorität;
- Absenderdomain mit kleinen Buchstabendrehern;
- Bitte um Kontostand, Geschenkkarten oder sofortige Zahlung;
- Rückrufnummer oder Videolink nur aus der verdächtigen Nachricht.
Der entscheidende Schutz ist kein einzelner Spamfilter. Es ist ein Zahlungsprozess, den auch die Geschäftsleitung nicht per Zuruf ausser Kraft setzen kann.
Geld bereits überwiesen: sofort handeln
- Bank unverzüglich anrufen. Nutzen Sie eine bekannte Nummer, verlangen Sie Rückruf oder Zahlungsstopp und dokumentieren Sie Referenz, Empfängerkonto und Ansprechpartner.
- Weitere Zahlungen sperren. Informieren Sie Zahlungsfreigebende und sichern Sie betroffene Konten, ohne Beweise zu löschen.
- Polizei und BACS einbeziehen. Bei finanziellem Schaden empfiehlt das BACS eine Strafanzeige bei der örtlichen Polizei; die Meldung ans BACS unterstützt die Lagebeurteilung.
- Beweise sichern. Originalnachrichten, Header, Anhänge, Chatverläufe, Rufnummern, Freigaben, Zahlungsbelege und Zeitstempel erhalten.
- Konten prüfen. Bei möglicher E-Mail-Kompromittierung Sitzungen, Weiterleitungsregeln, MFA, Passwortänderungen und weitere betroffene Postfächer forensisch untersuchen.
- Alle möglichen Versicherer melden. Cyber-, Vertrauensschaden-/Crime- und weitere betroffene Policen nach ihren Meldewegen informieren; keine Zuständigkeit voraussetzen.
Der allgemeine Cyber-Notfallplan hilft, Rollen, Zeitpunkte und Entscheidungen konsistent zu dokumentieren.
Cyber oder Crime/Vertrauensschaden?
| Schaden oder Leistung | Cyberversicherung kann relevant sein | Crime/Vertrauensschaden kann relevant sein | Entscheidend zu prüfen |
|---|---|---|---|
| kompromittiertes E-Mail-Konto | Forensik, Bereinigung und Wiederherstellung, falls Ereignis versichert | nicht typischer Kern | Definition des Cyberereignisses, Dienstleister und Selbstbehalt |
| direkte Fehlüberweisung nach Täuschung | nur bei ausdrücklichem Cyberbetrugs-/Social-Engineering-Einschluss | häufig der nähere Deckungsbereich, wenn externe Täuschung erfasst ist | Täuschungsart, handelnde Person, Authentifizierung und Sublimit |
| manipulierte Lieferanten-IBAN | je nach optionalem Betrugsbaustein | je nach Betrugs-/Social-Engineering-Definition | Rückruf- und Freigabepflichten, Änderung von Stammdaten |
| Veruntreuung durch Mitarbeitende | nicht typischer Cyber-Kern | klassischer möglicher Vertrauensschaden, wenn versichert | versicherte Vertrauenspersonen, Entdeckungszeitraum und Nachweis |
| Abfluss von Personen- oder Geschäftsdaten | Incident Response, Datenschutz, Haftpflicht und Kommunikation, falls versichert | nur bei passender Erweiterung | Ursache, betroffene Daten, Haftpflicht und Ausschlüsse |
| Bankrückholung, Ermittlungs- und Rechtskosten | je nach Assistance-/Rechtsbaustein | je nach Schadenfeststellungs- und Rechtsverfolgungskosten | Kostenfreigabe, Dienstleister, Sublimit |
«Kann relevant sein» ist keine Zusage. Ein Produkt kann Social Engineering einschliessen, ausschliessen oder nur über einen Zusatz mit eigener Limite decken. Manche Bedingungen verlangen definierte Kontrollschritte. Wurde eine vereinbarte Rückbestätigung oder Kollektivfreigabe umgangen, kann dies die Leistung beeinflussen.
Der Schweizerische Versicherungsverband weist darauf hin, dass Cyberprodukte unterschiedlich ausgestaltet sind. Ein konkretes Schweizer Marktbeispiel ist die separate Vertrauensschadenversicherung der AXA, die Social-Engineering-Schäden beschreibt. Daraus lässt sich nicht auf andere Anbieter oder den eigenen Vertrag schliessen.
CFO-Kontrollmatrix gegen Social Engineering
Die wirksamsten Kontrollen sind einfach, beweisbar und gelten ohne Ausnahme. Passen Sie Schwellenwerte und Rollen an Ihr Unternehmen an.
| Risikosituation | Verbindliche Kontrolle | Verantwortlich | Nachweis |
|---|---|---|---|
| neue oder geänderte IBAN | Rückbestätigung über eine bereits bekannte Nummer; Änderung und Zahlung getrennt freigeben | Stammdaten + Kreditoren | Rückrufnotiz und Freigabelog |
| dringende oder geheime Zahlung | kein Sonderweg; Vier-Augen-Freigabe und Rückruf beim Auftraggeber | CFO + zweite freigebende Person | zwei technische Freigaben |
| Anweisung von CEO/VR | dieselben Limiten und Kontrollen wie für alle anderen | CFO/VR-Präsidium | dokumentierte Policy ohne Ausnahme |
| Auslandszahlung oder ungewöhnlicher Empfänger | definierte Eskalationsschwelle und unabhängige Plausibilitätsprüfung | Treasury/CFO | Prüfliste und Genehmigung |
| Rechnung mit neuen Zahlungsdaten | Abgleich mit Vertrag/Bestellung; Lieferant über bekannten Kanal kontaktieren | Einkauf + Kreditoren | geprüfter Stammdatensatz |
| Auftrag per E-Mail, Chat, Telefon oder Video | Identität über einen zweiten, bekannten Kanal verifizieren | empfangende Person | Rückruf-/Bestätigungsvermerk |
| Führungsperson nicht erreichbar | festgelegte Stellvertretung nutzen; Kontrolle nie überspringen | Linienführung | Stellvertretungsfreigabe |
| externe E-Mail wirkt intern | externe Absender kennzeichnen; Domain und Reply-to prüfen | IT + empfangende Person | Mail-Gateway-Regel/Prüfvermerk |
| neues Mitglied im Finanzteam | Zahlungsregeln und CEO-Fraud-Szenario im Onboarding üben | CFO + HR | Schulungsnachweis |
| Verdacht oder Fehlversuch | Zahlung stoppen, intern melden, Indikatoren sichern und BACS-Meldung prüfen | alle + Security | Vorfallsnummer und Protokoll |
Drei Regeln, die auf jede Zeile gehören
- Zweiter Kanal: Nie die Telefonnummer, Adresse oder den Link aus der verdächtigen Nachricht zur Bestätigung verwenden.
- Vier Augen: Die zweite Person prüft Inhalt und Empfänger unabhängig; ein blosses Weiterklicken ist keine Kontrolle.
- Keine Chef-Ausnahme: Dringlichkeit und Hierarchie erhöhen die Prüfung, sie setzen sie nicht ausser Kraft.
Das entspricht den aktuellen BACS-Empfehlungen zu Vier-Augen-Prinzip, separater Verifizierung, ausnahmslosen Prozessen und Kennzeichnung externer E-Mails.
Was in den Versicherungsvergleich gehört
Lassen Sie CEO-Fraud nicht nur mit der Frage «Social Engineering eingeschlossen?» bestätigen. Beschreiben Sie konkrete Szenarien und verlangen Sie eine schriftliche Zuordnung:
- gefälschte CEO-E-Mail ohne gehacktes Konto;
- echtes, kompromittiertes Microsoft-365- oder Google-Workspace-Konto;
- Deepfake-Anruf oder WhatsApp-Nachricht;
- manipulierte Lieferantenrechnung oder neue IBAN;
- interne Veruntreuung durch eine angestellte Person;
- Überweisung trotz eingehaltenem Vier-Augen-Prinzip;
- Überweisung bei Verletzung eines vereinbarten Kontrollschritts;
- Kosten für Bankrückholung, Forensik, Rechtsberatung und Kommunikation.
Vergleichen Sie je Szenario Ereignisdefinition, versicherte Personen, Gesamtlimite, Sublimit, Selbstbehalt, Rückwärtsdeckung, Entdeckungszeitraum, Sicherheitsvorgaben und Kostenfreigabe. Der Policenvergleich zeigt, wie mehrere Sparten gemeinsam geprüft werden.
Häufige Fragen
Ist CEO-Fraud immer ein Cyberangriff?
Nein. Ein Betrug kann allein durch Täuschung und einen intakten Zahlungsprozess erfolgen, ohne dass ein IT-Konto technisch kompromittiert wurde. Umgekehrt kann Business Email Compromise ein echtes gehacktes Konto und damit zusätzlich einen Cybervorfall umfassen.
Deckt eine Cyberversicherung den überwiesenen Betrag?
Nicht automatisch. Direkte Vermögensverluste aus Täuschung benötigen häufig einen ausdrücklichen Betrugs- oder Social-Engineering-Baustein und können einem eigenen Sublimit oder Kontrollanforderungen unterliegen.
Reicht ein telefonischer Rückruf?
Nur wenn die Nummer aus einer unabhängigen, bereits bekannten Quelle stammt und die rückbestätigende Person den konkreten Auftrag verifiziert. Ein Anruf auf die Nummer in der verdächtigen Nachricht bestätigt nur den Angreifer.
Was ist wichtiger: Technik oder Schulung?
Beides unterstützt, aber der verbindliche Freigabeprozess ist die letzte finanzielle Barriere. E-Mail-Kennzeichnung, MFA und Filter helfen; Vier-Augen-Freigabe und unabhängige Rückbestätigung verhindern, dass eine überzeugende Nachricht allein zur Zahlung führt.
Offizielle und primäre Quellen
- BACS: CEO-Betrug – Merkmale, Sofort- und Präventionsmassnahmen
- BACS: «Dringende Überweisung» – CEO-Betrug für KMU, 27. Januar 2026
- Schweizerischer Versicherungsverband: Cyberversicherungsleistungen und Produktunterschiede
- AXA Schweiz: Marktbeispiel Vertrauensschadenversicherung mit Social Engineering
Inhaltlich geprüft am 18. Juli 2026. Die genannten Sparten sind eine Orientierung, keine Deckungszusage. Massgebend sind der Einzelfall und die vollständigen aktuellen Vertragsunterlagen.