Es ist 17:30 Uhr, fast Feierabend. Plötzlich klingelt das Telefon – die Stimme am anderen Ende klingt vertraut und dringlich: „Können Sie das noch schnell erledigen? Es ist wirklich wichtig und vertraulich.“ Oder es erscheint spontan eine Einladung zu einem Video-Meeting, in dem Sie Ihren Chef sehen. Natürlich helfen Sie gerne. Genau auf diesen Moment haben es moderne Betrüger abgesehen: die Chef-Masche 2.0 mit KI-generierten Stimmen und täuschend echten Deepfake-Videos.

Wenn KI-Betrug zur realen Bedrohung wird

Was nach Science-Fiction klingt, ist längst Realität geworden. Ein aufsehenerregender Fall aus Hongkong zeigt, wie perfide diese neue Betrugsmasche funktioniert: Eine Mitarbeiterin überwies 25 Millionen US-Dollar, nachdem sie in einem Video-Meeting von vermeintlichen Vorgesetzten dazu aufgefordert wurde. Die Deepfake-Videos waren so überzeugend, dass sie keinen Zweifel hegte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor dieser Entwicklung: KI-Tools machen es Betrügern heute möglich, Stimmen und Videos täuschend echt zu imitieren. Gleichzeitig bekannte Maschen wie CEO-Fraud und Vishing (Voice-Phishing) werden durch diese Technologie erheblich gefährlicher.

Als IT-Berater für kleine Unternehmen in Willich, Viersen, Mönchengladbach, Krefeld und Düsseldorf erlebe ich täglich, wie sehr diese Entwicklung Geschäftsinhaber beschäftigt. Die gute Nachricht: Sie brauchen keine komplizierte Technik, um sich zu schützen – klare, einfache Regeln reichen oft schon aus.

Die Entwicklung der Chef-Masche: Von E-Mail zu Deepfake

Früher kamen betrügerische Anweisungen meist per E-Mail: „Bitte sofort überweisen, streng vertraulich.“ Heute hören Sie die vertraute Stimme Ihres Chefs oder sehen ihn im Video-Meeting. Das macht die Sache so gefährlich: Unser Bauchgefühl signalisiert „echt“, obwohl es das nicht ist.

Die Psychologie hinter dem Betrug bleibt jedoch unverändert:

• Zeitdruck: „Das muss heute noch raus“
• Autorität: Die Anweisung kommt vom Chef
• Geheimhaltung: „Sprechen Sie mit niemandem darüber“

Kombiniert mit ein paar internen Details, die Betrüger aus LinkedIn-Profilen, Ihrer Website oder Pressemitteilungen sammeln, entsteht eine Drucksituation, in der viele Menschen „aus dem Bauch heraus“ entscheiden – und genau dann wird es teuer.

Der Ablauf der modernen Chef-Masche

1. Vorbereitung

Betrüger sammeln systematisch Informationen über Ihr Unternehmen:

• Organigramm und Zuständigkeiten
• Aktuelle Projekte und Geschäftspartner
• Typische Zahlungsbeträge
• Interne Abläufe und Gewohnheiten

2. Erster Kontakt

Der Betrug beginnt oft mit einem Anruf (die Telefonnummer kann gefälscht sein), gefolgt von einer E-Mail oder einem spontanen Video-Meeting.

3. Druckaufbau

Jetzt wird es kritisch: „Das muss sofort erledigt werden“, „Es ist hochvertraulich“ oder „Nur Sie können das machen“ sind typische Formulierungen.

4. Zahlungsaufforderung

Das Ziel: Überweisung auf eine unbekannte IBAN, oft ins Ausland, oder bei kleineren Beträgen auch Geschenkkarten.

5. Spurenverwischung

Nach der Zahlung tauchen die Betrüger ab – und niemand will etwas gewusst haben.

Besondere Risikosituationen in kleinen Unternehmen

Buchhaltung und Assistenz

Sie sind die erste Anlaufstelle für Zahlungen und Notfälle – und damit Hauptziel der Betrüger.

Vertretungssituationen

Wenn die Geschäftsführung im Termin ist und Verantwortung delegiert wird, nutzen Betrüger diese Gelegenheit.

Feierabend und Home-Office

Um 17:30 Uhr oder im Home-Office ist die Aufmerksamkeit oft geringer – perfekt für Betrugsversuche.

Lieferantenstammdaten

„Neue Bankverbindung“ ist der Klassiker unter den Betrugsmaschen und verursacht oft die größten Schäden.

Fünf einfache Schutzregeln, die 90% der Betrugsversuche verhindern

1. Rückruf über bekannte Nummern

Die wichtigste Regel überhaupt: Rufen Sie niemals über die in einer verdächtigen E-Mail angegebene Nummer zurück. Verwenden Sie ausschließlich im Adressbuch gespeicherte Kontakte, bekannte Durchwahlen oder bestehende Chat-Verläufe. Keine Rückmeldung? Dann erfolgt keine Zahlung.

2. Vier-Augen-Prinzip mit klaren Limits

Definieren Sie feste Betrags- und Zeitgrenzen:

• Ab 1.000 Euro: Immer zwei Freigaben erforderlich
• Auslands-IBAN: Grundsätzlich zwei Unterschriften
• Nach 17 Uhr: Keine außergewöhnlichen Zahlungen

3. Internes Codewort-System

Vereinbaren Sie ein einfaches Codewort oder eine Passphrase im Team: „Welche Farbe hat unser Firmenordner?“ Echte Chefs kennen die Antwort, Betrüger nicht. Wechseln Sie das Codewort alle drei Monate.

4. Standard-Check bei neuen Bankdaten

Entwickeln Sie einen festen Ablauf für Bankdaten-Änderungen:

• Schriftliche Bestätigung der neuen IBAN anfordern
• Rückruf beim bisherigen Ansprechpartner
• Kurzer Check gegen offizielle Firmenangaben (Website, Geschäftspapiere)

5. Kultur des freundlichen „Nein“

Erlauben und ermutigen Sie Ihr Team ausdrücklich zur höflichen Verweigerung: „Ich folge unserem Sicherheitsprozess und rufe Sie über die mir bekannte Nummer zurück.“ Druck oder Geheimhaltungsaufforderungen sollten sofort alle Alarmglocken läuten lassen.

Technische Schutzmaßnahmen ohne Overkill

E-Mail-Sicherheit optimieren

• SPF/DKIM/DMARC einrichten: Diese Standards erschweren das Fälschen von Absenderadressen erheblich
• Microsoft 365 nutzen: Anti-Phishing-Regeln aktivieren, externe Absender markieren, Safe Links und Safe Attachments einschalten

Meeting-Sicherheit

• Lobby-Funktion aktivieren: Unbekannte Teilnehmer müssen warten
• Teilnehmer prüfen: Namen und E-Mail-Adressen vor Meetingbeginn kontrollieren
• Auf Deepfake-Anzeichen achten: Verzögerte Lippenbewegungen, starrer Blick, unnatürliche Reaktionen

Telefonie absichern

Nummern-Spoofing (das Fälschen der Anrufer-ID) ist technisch trivial. Trainieren Sie Ihr Team, niemals der angezeigten Nummer zu vertrauen.

Zahlungsprozesse, die Betrug unattraktiv machen

Freigabe-Matrix etablieren

• Bis 1.000 Euro: Eine Freigabe, nur Inland, nur bekannte Empfänger
• 1.001 bis 10.000 Euro: Zwei Freigaben, SEPA-Raum, verpflichtender Rückruf beim Empfänger
• Über 10.000 Euro oder Ausland: Mindestens zwei Freigaben, Rückruf plus 30-Minuten-Bedenkzeit

Bankdaten-Änderungen systematisch behandeln

1. Änderungsanfrage dokumentieren (Ticket oder Notiz anlegen)
2. Offizieller Rückruf beim bisherigen Ansprechpartner
3. Neue IBAN gegen Stammdaten und Verträge abgleichen
4. Erst dann Buchhaltungssystem aktualisieren

Eskalationsregeln definieren

• Bei Druck oder Geheimhaltungsaufforderungen: Sofort Teamleitung und Geschäftsführung über einen zweiten Kanal informieren
• Verdächtige E-Mails an die IT weiterleiten – niemals antworten

Mitarbeiterschulung, die wirklich funktioniert

Vergessen Sie mehrstündige Sicherheitsseminare. Effektiver sind kurze, regelmäßige Trainingseinheiten:

Praktische Rollenspiele

Eine Person spielt den betrügerischen Anrufer, die andere übt das höfliche aber bestimmte Abwehren. Das prägt sich ein und nimmt die Hemmschwelle.

Mini-Quiz mit Realitätsbezug

Fünf Minuten, fünf Fragen zu echten Betrugsversuchen – kurz und prägnant.

Positive Verstärkung

Wer einen Betrugsversuch korrekt abwehrt oder meldet, erhält sichtbare Anerkennung. Das stärkt die Sicherheitskultur nachhaltig.

Deepfakes erkennen: Worauf Sie achten sollten

Auch wenn die Qualität stetig steigt, gibt es noch Erkennungsmerkmale:

• Lippen-Synchronisation: Minimal verzögert zur Stimme
• Blickverhalten: Oft starr, wenig spontanes Blinzeln
• Audio-Details: Atmung und Raumklang passen nicht zur Person
• Ausreden: „Die Kamera ist heute schlecht, ich bin unterwegs“ kombiniert mit Zeitdruck

Wichtig: Verlassen Sie sich bei kritischen Entscheidungen niemals nur auf das, was Sie sehen oder hören – folgen Sie immer Ihrem Sicherheitsprozess.

Regionale Besonderheiten: Schutz im Rheinland

Die Polizei NRW warnt regelmäßig vor der Chef-Masche in all ihren Varianten. Für Unternehmen in unserem Raum – von Willich über Viersen und Mönchengladbach bis Krefeld und Düsseldorf – ist ein regionaler Blick hilfreich:

• Welche Auslandsgeschäfte sind bei uns typisch?
• Zu welchen Zeiten arbeiten wir normalerweise?
• Wer sind unsere Hauptlieferanten und -kunden?

Bauen Sie Ihre Schutzmaßnahmen auf diese Gegebenheiten auf. Und ganz wichtig: Erstatten Sie Anzeige – auch bei versuchtem Betrug. Das hilft der Polizei, Muster zu erkennen und andere zu warnen.

7-Punkte-Checkliste für verdächtige Zahlungsanweisungen

Bevor Sie eine ungewöhnliche Zahlung durchführen, prüfen Sie:

1. Kenne ich den Absender persönlich und habe ich ihn über eine bekannte Nummer verifiziert?
2. Passt die Zahlung zu unseren definierten Limits (Betrag/Zeit/Land)?
3. Ist die IBAN neu oder unbekannt? → Standard-Check durchführen
4. Gibt es Zeitdruck oder Geheimhaltungsaufforderungen? → Sofort Sicherheitsprozess aktivieren
5. Haben wir alle erforderlichen Freigaben eingeholt?
6. Liegen ordnungsgemäße Belege vor (Bestellung/Vertrag/Rechnung)?
7. Fühlt sich etwas „komisch“ an? → Stoppen und Kollegen hinzuziehen

Fünf rote Flaggen, die sofort alle Alarmglocken läuten lassen sollten:

• Neue oder unbekannte IBAN
• Neue E-Mail-Domain des angeblichen Absenders
• Ungewohnte Uhrzeit der Anfrage
• Starkes Drängen und Zeitdruck
• Formulierungen wie „Nur Sie dürfen das wissen“

Ihr Schutz beginnt heute

Die Chef-Masche 2.0 mit KI-generierten Inhalten ist real und gefährlich. Aber sie ist nicht unbesiegbar. Mit klaren Regeln, durchdachten Prozessen und einer starken Sicherheitskultur machen Sie Ihr Unternehmen zu einem unattraktiven Ziel für Betrüger.

Die wichtigste Erkenntnis: Nicht Technik schlägt Trick, sondern Team und Taktik. Beginnen Sie mit den fünf Grundregeln und bauen Sie systematisch auf. Ihre Mitarbeiter sind Ihr stärkster Schutz – wenn Sie ihnen die richtigen Werkzeuge an die Hand geben.

Falls Sie Unterstützung beim Einrichten von Sicherheitsprozessen, Freigabe-Workflows oder dem Schutz Ihrer Microsoft 365-Umgebung benötigen: Als IT-Berater im Raum Willich, Viersen, Mönchengladbach, Krefeld und Düsseldorf helfe ich Ihnen gerne dabei – pragmatisch, verständlich und direkt vor Ort. Oft bringt bereits ein 60-minütiger Praxis-Check erhebliche Klarheit und konkrete Verbesserungen.

Lassen Sie nicht zu, dass Betrüger mit modernster Technik Ihr hart erarbeitetes Geld stehlen. Der Schutz beginnt mit Ihrem ersten Schritt – heute.