Szenario CEO-Fraud: Wenn die Geschäftsführung per E-Mail Geld anweist

Dienstag, 09:14 Uhr: Eine E-Mail, die alles ändert

Sandra Hoffmann arbeitet seit acht Jahren in der Buchhaltung der Krüger Haustechnik GmbH, einem Sanitär- und Heizungsinstallateur mit 65 Mitarbeitern in Dortmund. Sie kennt die Abläufe, kennt die Kunden, kennt die Eigenheiten der Geschäftsführung. Wenn Chef Michael Krüger eine Rechnung bezahlt haben will, schreibt er meistens eine knappe Mail mit dem Betreff „Bitte überweisen" und hängt die Rechnung an.

Am Dienstagmorgen um 09:14 Uhr öffnet Sandra eine E-Mail, die auf den ersten Blick genau so aussieht:

Von: Michael Krüger michael.krueger@krueger-haustechnik.de Betreff: Dringende Überweisung - Vertraulich

„Hallo Sandra, ich brauche deine Hilfe bei einer dringenden Angelegenheit. Wir stehen kurz vor dem Abschluss einer Übernahme, und ich benötige eine diskrete Überweisung über 47.500 EUR an unseren Berater. Die Bankverbindung findest du unten. Bitte wickle das heute noch ab und sprich vorerst mit niemandem darüber, da die Verhandlungen vertraulich sind. Ich bin den ganzen Tag in Meetings und schlecht erreichbar, aber du kannst mir per Mail Rückmeldung geben. Danke für deine Zuverlässigkeit! Beste Grüße, Michael"

Darunter steht eine IBAN bei einer litauischen Bank und der Verwendungszweck „Beratungshonorar Q1/2026".

Sandra liest die Mail, und ihr erster Impuls ist, die Überweisung vorzubereiten. Der Ton klingt nach ihrem Chef, die Absenderadresse sieht korrekt aus, und Übernahmegespräche sind tatsächlich nichts Ungewöhnliches, denn Michael Krüger hat im letzten Jahr einen kleineren Wettbewerber übernommen. Die Bitte um Vertraulichkeit passt zu seiner Art bei geschäftlichen Transaktionen.

Aber irgendetwas fühlt sich nicht richtig an.

Wie CEO-Fraud funktioniert: Die Anatomie eines Angriffs

Bevor wir weitergehen, lohnt es sich, den Mechanismus hinter diesem Angriff zu verstehen. CEO-Fraud, auch als Business Email Compromise (BEC) bekannt, ist keine technisch aufwendige Attacke. Es braucht keine Malware, keine Exploits, keine Verschlüsselung. Der gesamte Angriff beruht auf menschlicher Psychologie und sorgfältiger Recherche.

Phase 1: Aufklärung

Wochen vor der eigentlichen E-Mail hat der Angreifer Informationen über die Krüger Haustechnik GmbH gesammelt. Die Quellen sind frei zugänglich:

• Handelsregister: Geschäftsführer Michael Krüger, Stammkapital, Unternehmensgegenstand
• LinkedIn: Michael Krügers Profil, seine Kontakte, seine Beiträge über die Firmenübernahme im letzten Jahr
• Unternehmenswebsite: Teamseite mit Fotos und Namen, Sandra Hoffmann als Ansprechpartnerin für Rechnungen
• Impressum: E-Mail-Format (vorname.nachname@krueger-haustechnik.de)
• Xing und Social Media: Michael Krüger postet am Wochenende Bilder von einer Messe, ist also beruflich aktiv und eingebunden

Der Angreifer weiß jetzt: Wer ist der Chef, wer ist für Finanzen zuständig, wie sieht das E-Mail-Format aus, und welche geschäftlichen Themen aktuell sind. Diese Informationen reichen, um eine glaubwürdige E-Mail zu konstruieren.

Phase 2: Technische Vorbereitung

Der Angreifer registriert eine Domain, die der echten zum Verwechseln ähnlich sieht. In diesem Fall: krueger-haustechnik.de wird zu krueger-haustechnjk.de (ein kleines „j" statt „i") oder krueger-haustechnik.com (andere TLD). Die E-Mail-Adresse michael.krueger@krueger-haustechnjk.de sieht in einem E-Mail-Client, der die vollständige Adresse nicht prominent anzeigt, identisch aus.

In raffinierteren Fällen kompromittiert der Angreifer tatsächlich das E-Mail-Konto des Geschäftsführers, etwa über Credential Stuffing (gestohlene Passwörter aus anderen Datenlecks) oder Phishing. Dann kommt die Mail tatsächlich vom echten Account, was die Erkennung erheblich erschwert.

Phase 3: Der Angriff

Der Zeitpunkt ist bewusst gewählt. Dienstagmorgen, kurz nach 9 Uhr, wenn der Arbeitstag gerade begonnen hat und die Aufmerksamkeit noch zwischen Kaffee und den ersten Aufgaben schwankt. Die E-Mail enthält die klassischen psychologischen Hebel:

• Autorität: Die Mail kommt vom Chef. Wer widerspricht dem Chef?
• Dringlichkeit: „Heute noch" schafft Zeitdruck, der kritisches Denken unterdrückt
• Vertraulichkeit: „Sprich mit niemandem darüber" isoliert das Opfer und verhindert, dass Kollegen die Sache hinterfragen
• Schmeichelei: „Danke für deine Zuverlässigkeit" aktiviert den Wunsch, dem Vertrauen gerecht zu werden
• Unerreichbarkeit: „Bin den ganzen Tag in Meetings" blockiert den naheliegendsten Überprüfungsweg: Einfach mal anrufen

Phase 4: Geld bewegen

Wenn die Überweisung durchgeht, wird das Geld auf dem Empfängerkonto innerhalb von Stunden auf weitere Konten verteilt und über Kryptowährungsbörsen oder Geldwäschenetzwerke gewaschen. Nach 24 bis 48 Stunden ist eine Rückholung nahezu unmöglich.

Dienstag, 09:22 Uhr: Der Moment der Entscheidung

Zurück zu Sandra. Sie hat die Mail gelesen, die IBAN-Nummer aufgeschrieben und das Online-Banking geöffnet. Aber das nagende Gefühl lässt nicht nach. Drei Dinge irritieren sie:

Erstens: Michael Krüger schreibt normalerweise „Hallo Sandra, mach mal bitte..." und nicht „Ich brauche deine Hilfe bei einer dringenden Angelegenheit." Der Ton ist höflicher als üblich, fast eine Spur zu formell.

Zweitens: Bei der letzten Übernahme lief die Zahlung über den Steuerberater und die Hausbank, nicht über eine direkte Überweisung auf ein unbekanntes Konto.

Drittens: Litauen? Die Krüger Haustechnik hat keine Geschäftsbeziehungen ins Baltikum.

Sandra beschließt, das zu tun, was ihr in der letzten Security-Awareness-Schulung beigebracht wurde: Sie greift zum Telefon und ruft Michael Krüger auf seiner bekannten Mobilnummer an. Nicht auf die Nummer, die in der E-Mail steht (dort steht keine), sondern auf die Nummer, die sie in ihren Kontakten gespeichert hat.

Michael geht nach dem dritten Klingeln ran. „Sandra? Nee, ich hab dir keine Mail geschickt. Welche Übernahme? Wir übernehmen gerade gar nichts. Zeig mir die Mail, wenn ich nachher im Büro bin."

Sandra hat gerade 47.500 Euro gerettet.

Was wäre passiert, wenn Sandra überwiesen hätte?

Spielen wir das alternative Szenario durch, denn genau das passiert in deutschen Unternehmen hunderte Male pro Jahr. Das BKA beziffert den jährlichen Schaden durch CEO-Fraud in Deutschland auf einen dreistelligen Millionenbetrag, die Dunkelziffer liegt deutlich höher, weil viele Fälle aus Scham nicht gemeldet werden.

Die ersten Minuten nach der Überweisung

Sandra hätte die Überweisung um 09:30 Uhr ausgeführt. Die Krüger Haustechnik nutzt eine regionale Volksbank, die SEPA-Überweisungen in der Regel innerhalb weniger Stunden ausführt. Spätestens am Nachmittag wäre das Geld auf dem litauischen Konto.

Um 14:00 Uhr kommt Michael Krüger ins Büro. Sandra erwähnt beiläufig die Überweisung. Michael wird blass.

Sofortmaßnahme 1: Bank kontaktieren (Minute 0 bis 15)

Michael und Sandra rufen sofort die Volksbank an, die Geschäftskunden-Hotline, nicht die allgemeine Nummer. Sie verlangen eine Rückrufanfrage (Recall) der Überweisung. Bei SEPA-Überweisungen gibt es ein standardisiertes Verfahren, den sogenannten SEPA Recall, bei dem die sendende Bank die empfangende Bank bittet, die Gutschrift rückgängig zu machen.

Die Chancen stehen unterschiedlich:

• Innerhalb der ersten Stunde: Gute Chancen, wenn die empfangende Bank kooperiert und das Geld noch auf dem Konto liegt
• Innerhalb von 24 Stunden: Geringe Chancen, da professionelle Betrüger das Geld sofort weiterbewegen
• Nach 48 Stunden: Nahezu aussichtslos

In diesem Szenario sind seit der Überweisung bereits viereinhalb Stunden vergangen. Die Bank setzt den Recall ab, aber die Wahrscheinlichkeit einer Rückholung ist gering.

Sofortmaßnahme 2: Strafanzeige (Stunde 1 bis 2)

Michael erstattet Strafanzeige bei der Polizei, idealerweise direkt bei der Zentralstelle Cybercrime der zuständigen Staatsanwaltschaft. Die Anzeige enthält: die betrügerische E-Mail (als Beweismittel), die Überweisungsdaten, die Header der E-Mail (die IT-Abteilung oder ein externer Dienstleister kann diese extrahieren) und alle weiteren Kommunikation mit dem Angreifer.

Die Strafanzeige hat zwei Funktionen: Sie ermöglicht die strafrechtliche Verfolgung (auch wenn die Erfolgsquote bei internationalem Betrug gering ist) und sie ist Voraussetzung für die Meldung an die Versicherung.

Sofortmaßnahme 3: Interne Eskalation (parallel)

Michael informiert den Steuerberater und den Unternehmensanwalt. Falls die Krüger Haustechnik eine Cyber-Versicherung oder eine Vertrauensschadenversicherung hat, wird der Schaden dort gemeldet. Solche Versicherungen decken CEO-Fraud-Schäden häufig ab, allerdings nur, wenn der Vorfall zeitnah gemeldet und die vereinbarten Sicherheitsmaßnahmen eingehalten wurden. Wenn die Versicherung feststellt, dass kein Vier-Augen-Prinzip existierte, obwohl es vertraglich zugesichert war, kann sie die Leistung kürzen oder verweigern.

Die unangenehmen Fragen danach

In den Tagen nach dem Vorfall muss sich die Geschäftsführung unbequeme Fragen stellen:

• Warum konnte eine einzelne Person eine Überweisung von 47.500 Euro ohne Gegenzeichnung ausführen?
• Warum gab es keinen Prozess, der bei ungewöhnlichen Empfängerkonten eine zusätzliche Prüfung verlangt?
• Warum hatte Sandra keine klare Handlungsanweisung für den Fall, dass sie eine verdächtige Zahlungsanweisung erhält?
• Warum zeigt das E-Mail-System keine Warnung an, wenn eine E-Mail von einer externen Domain kommt, die der eigenen ähnelt?

Die Erkennungsmerkmale im Detail

Sandra hat den Betrug erkannt, weil sie auf ihr Bauchgefühl gehört hat. Aber sich auf Bauchgefühl zu verlassen, ist keine Sicherheitsstrategie. Die folgenden Merkmale sollten bei jeder Zahlungsanweisung eine Prüfung auslösen:

Sprachliche Auffälligkeiten

CEO-Fraud-Mails werden häufig von nicht-muttersprachlichen Angreifern verfasst oder aus dem Englischen übersetzt. Selbst mit KI-Unterstützung schleichen sich Formulierungen ein, die vom üblichen Schreibstil der imitierten Person abweichen. Wer regelmäßig E-Mails von seinem Chef liest, entwickelt ein Gespür für dessen Sprachrhythmus. Abweichungen davon sind ein erstes Warnsignal.

Achte auf: ungewöhnlich höfliche oder formelle Sprache, Formulierungen die nach Übersetzungssoftware klingen, fehlende firmeninterne Begriffe oder Abkürzungen, die der echte Absender normalerweise verwendet.

Technische Merkmale

Die Absenderadresse ist das offensichtlichste Prüfkriterium, wird aber am häufigsten übersehen, weil viele E-Mail-Clients nur den Anzeigenamen darstellen und die tatsächliche Adresse verbergen. Trainiere deine Mitarbeiter, die vollständige Absenderadresse anzuzeigen und zu prüfen.

Weitere technische Hinweise: Die E-Mail kommt von einer externen Domain (auch wenn sie fast identisch aussieht), die Mail hat keine DKIM-Signatur oder besteht die DMARC-Prüfung nicht, der Reply-To-Header weicht von der Absenderadresse ab (häufig bei gefälschten Mails), oder die Mail enthält keine firmeninterne Signatur bzw. eine leicht veränderte Version.

Prozessuale Auffälligkeiten

Der stärkste Indikator ist nicht die E-Mail selbst, sondern die Abweichung vom normalen Geschäftsprozess. Wenn dein Chef normalerweise Rechnungen per ERP-Workflow freigibt und plötzlich eine manuelle Überweisung per E-Mail anweist, ist das eine Anomalie, die geprüft werden muss. Wenn die Zahlung an einen unbekannten Empfänger geht, auf ein Konto in einem Land, mit dem keine Geschäftsbeziehung besteht, ist das ein weiteres Warnsignal. Und wenn die Anweisung mit der Bitte verbunden ist, den normalen Freigabeprozess zu umgehen, ist das fast immer ein Betrugsversuch.

Der Vertraulichkeits-Trick

Die Aufforderung zur Geheimhaltung ist das tückischste Element des CEO-Fraud. Sie nutzt die natürliche Loyalität und Verschwiegenheit von Mitarbeitern aus und verhindert gleichzeitig das wirksamste Gegenmittel: mit jemandem darüber sprechen. Mache deinen Mitarbeitern klar, dass keine legitime Geschäftstransaktion erfordert, dass sie mit ihren Vorgesetzten oder der zweiten zeichnungsberechtigten Person nicht darüber sprechen dürfen. Wenn jemand Verschwiegenheit als Bedingung für eine Zahlung stellt, ist das praktisch immer ein Betrugsversuch.

Prävention: Die drei Säulen

CEO-Fraud lässt sich nicht mit einer einzelnen Maßnahme verhindern. Du brauchst eine Kombination aus technischen, organisatorischen und menschlichen Schutzschichten.

Säule 1: Technische Maßnahmen

E-Mail-Authentifizierung (SPF, DKIM, DMARC): Diese drei Protokolle stellen sicher, dass E-Mails, die vorgeben, von deiner Domain zu kommen, tatsächlich von deinen autorisierten Mailservern stammen. SPF definiert, welche Server E-Mails in deinem Namen senden dürfen, DKIM signiert E-Mails kryptografisch, und DMARC legt fest, was mit E-Mails passiert, die die Prüfungen nicht bestehen. Eine korrekt konfigurierte DMARC-Policy mit p=reject verhindert, dass Angreifer E-Mails mit deiner exakten Domain fälschen können.

Aber: DMARC schützt nicht gegen Look-alike-Domains (krueger-haustechnjk.de). Dafür brauchst du zusätzliche Maßnahmen.

External-Mail-Banner: Konfiguriere dein E-Mail-System so, dass bei jeder E-Mail, die von außerhalb der Organisation kommt, ein gut sichtbarer Warnhinweis angezeigt wird. Zum Beispiel: „Diese E-Mail stammt von einem externen Absender. Prüfe die Absenderadresse sorgfältig." Dieser Banner ist simpel, aber erstaunlich effektiv, weil er den automatischen Vertrauensreflex unterbricht.

Lookalike-Domain-Monitoring: Dienste wie dnstwist oder kommerzielle Brand-Protection-Tools überwachen neu registrierte Domains, die deiner ähneln. So erfährst du frühzeitig, wenn jemand krueger-haustechnjk.de registriert, und kannst präventiv handeln.

Säule 2: Organisatorische Kontrollen

Vier-Augen-Prinzip für Überweisungen: Keine Überweisung über einem definierten Schwellwert (zum Beispiel 5.000 Euro) darf von einer einzelnen Person freigegeben werden. Es braucht immer zwei unabhängige Freigaben, idealerweise von Personen, die nicht im selben Büro sitzen und nicht über denselben Kommunikationskanal erreichbar sind.

Telefonische Rückbestätigung: Bei jeder Zahlungsanweisung, die per E-Mail kommt und vom normalen Prozess abweicht, ist ein telefonischer Rückruf beim Auftraggeber Pflicht. Und zwar auf einer bekannten, zuvor verifizierten Telefonnummer, nicht auf einer Nummer, die in der E-Mail steht.

Definierte Freigabe-Limits: Staffele die Freigabeberechtigungen nach Betrag. Bis 2.000 Euro reicht eine Freigabe, bis 10.000 Euro zwei Freigaben, darüber drei Freigaben inklusive Geschäftsführung. Dokumentiere diese Limits schriftlich und prüfe die Einhaltung regelmäßig.

Neue Bankverbindungen absichern: Wenn ein bestehender Lieferant plötzlich eine neue Bankverbindung mitteilt, muss diese über einen separaten Kanal (Telefon, persönlicher Kontakt) verifiziert werden, bevor die erste Zahlung auf das neue Konto erfolgt. Dieses Verfahren verhindert auch die verwandte Betrugsmasche „Payment Redirection Fraud".

Säule 3: Awareness und Schulung

Regelmäßige Schulungen: Mindestens zweimal pro Jahr sollten alle Mitarbeiter, die mit Zahlungen zu tun haben, eine Schulung zum Thema CEO-Fraud erhalten. Ein systematisches Security-Awareness-Programm verankert das Wissen nachhaltig. Die Schulung sollte reale Beispiele zeigen, die Erkennungsmerkmale vermitteln und das korrekte Verhalten bei Verdacht einüben.

Simulierte Angriffe: Phishing-Simulationen und CEO-Fraud-Simulationen sind das effektivste Trainingsformat, weil sie reale Situationen nachbilden. Wenn Sandra regelmäßig Test-Mails erhält und dabei lernt, auf die Merkmale zu achten, wird sie auch den echten Angriff erkennen.

Klare Eskalationswege: Jeder Mitarbeiter muss wissen, an wen er sich wenden kann, wenn ihm eine Zahlungsanweisung verdächtig vorkommt. Und er muss wissen, dass er dafür nicht bestraft wird, auch wenn sich der Verdacht als unbegründet herausstellt. Eine Unternehmenskultur, in der Nachfragen als Misstrauen gegenüber dem Chef interpretiert wird, ist der beste Nährboden für CEO-Fraud.

Die Chef-Ansage: Michael Krüger sollte in einer Teambesprechung klar sagen: „Wenn ihr eine ungewöhnliche Zahlungsanweisung von mir bekommt, ruft mich an. Immer. Auch wenn die Mail sagt, ich sei nicht erreichbar. Ich werde euch nie für Vorsicht kritisieren, aber ich werde euch fragen, warum ihr 47.000 Euro überwiesen habt, ohne nachzufragen." Diese Ansage vom Chef persönlich ist wirksamer als jede Schulungsfolie.

Varianten des CEO-Fraud

Die klassische Variante mit der gefälschten Chef-Mail ist nur eine Spielart. Angreifer passen ihre Methoden ständig an:

Lieferanten-Variante

Statt den Chef zu imitieren, gibt sich der Angreifer als bestehender Lieferant aus und teilt eine „neue Bankverbindung" mit. Die E-Mail kommt scheinbar vom Ansprechpartner des Lieferanten und bezieht sich auf eine tatsächliche offene Rechnung (die Information stammt aus einem kompromittierten E-Mail-Konto des Lieferanten oder aus öffentlich zugänglichen Informationen).

Anwalts-Variante

Der Angreifer gibt sich als Anwalt oder Notar aus, der im Zusammenhang mit einer Unternehmenstransaktion (Übernahme, Grundstückskauf, Rechtsstreit) eine dringende Zahlung veranlassen muss. Die Autorität der Anwaltsrolle und die angebliche Vertraulichkeit der Transaktion erhöhen den Druck.

IT-Support-Variante

Eine neuere Variante kombiniert CEO-Fraud mit technischem Social Engineering: Ein Anrufer gibt sich als IT-Support aus und überzeugt einen Mitarbeiter, eine Fernzugriffssoftware zu installieren. Über den Fernzugriff wird dann das Online-Banking manipuliert oder eine Überweisung direkt ausgelöst.

Deepfake-Variante

Die jüngste und beunruhigendste Entwicklung nutzt KI-generierte Stimmen oder Videos. Ein Anruf, der klingt wie der Chef, oder ein kurzes Video in einer Teams-Nachricht, das aussieht wie der Chef. Diese Fälle sind noch selten, aber die Technologie wird zugänglicher. Das macht den telefonischen Rückruf auf der bekannten Nummer umso wichtiger, denn du rufst an, nicht der Angreifer.

Die Kosten eines erfolgreichen CEO-Fraud

Die direkten finanziellen Verluste sind nur ein Teil des Schadens. Für die Krüger Haustechnik hätte ein erfolgreicher Angriff folgende Konsequenzen:

Direkter finanzieller Verlust: 47.500 Euro, die mit hoher Wahrscheinlichkeit nicht zurückgeholt werden können.

Versicherungskosten: Die Selbstbeteiligung der Vertrauensschadenversicherung beträgt oft 10 bis 20 Prozent des Schadens, dazu kommen steigende Prämien nach einem Schadensfall.

Prozesskosten: Anwalt, Strafanzeige, eventuell zivilrechtliche Auseinandersetzungen mit der Bank.

Interne Kosten: Arbeitszeit für Aufarbeitung, neue Sicherheitsmaßnahmen, Schulungen.

Reputationsschaden: Wenn der Vorfall bekannt wird (etwa durch eine Datenschutzmeldung oder Presseberichte), leidet das Vertrauen von Kunden und Partnern.

Psychologische Belastung: Sandra würde sich Vorwürfe machen, obwohl sie Opfer eines professionellen Betrugs geworden wäre. Diese persönliche Belastung wird oft unterschätzt.

Der Maßnahmenplan nach dem Szenario

Michael Krüger nimmt den Vorfall (auch wenn Sandra den Betrug rechtzeitig erkannt hat) zum Anlass, die Sicherheitsmaßnahmen zu überarbeiten:

Sofort umgesetzt

• External-Mail-Banner für alle eingehenden externen E-Mails aktiviert
• Vier-Augen-Prinzip für alle Überweisungen über 3.000 Euro eingeführt
• Rückruf-Pflicht bei ungewöhnlichen Zahlungsanweisungen als verbindliche Arbeitsanweisung dokumentiert
• Neue Bankverbindungen müssen telefonisch beim Lieferanten verifiziert werden

Innerhalb von vier Wochen

• SPF, DKIM und DMARC für die Firmen-Domain konfiguriert (DMARC mit Policy „quarantine", nach drei Monaten auf „reject" umstellen)
• Security-Awareness-Schulung für die gesamte Buchhaltung und alle Mitarbeiter mit Zeichnungsberechtigung
• Freigabe-Limits schriftlich dokumentiert und im ERP-System hinterlegt

Innerhalb von drei Monaten

• Lookalike-Domain-Monitoring eingerichtet
• Erste CEO-Fraud-Simulation durchgeführt
• Regelmäßiger Schulungsrhythmus (halbjährlich) festgelegt
• Notfall-Prozedur für den Fall einer durchgeführten betrügerischen Überweisung dokumentiert (wen anrufen, in welcher Reihenfolge, welche Informationen bereithalten)

Was dieser Fall lehrt

CEO-Fraud gehört zu den Angriffen, die sich mit relativ einfachen Mitteln verhindern lassen. Kein teures Security-Tool, keine komplexe Infrastruktur. Die wirksamsten Gegenmaßnahmen sind organisatorischer Natur: ein funktionierendes Vier-Augen-Prinzip, eine Rückruf-Pflicht und eine Unternehmenskultur, in der Nachfragen nicht als Misstrauen, sondern als Sorgfalt gilt.

Sandra hat richtig gehandelt, weil sie drei Dinge hatte: ein geschultes Auge für Auffälligkeiten, den Mut zur Nachfrage und die Telefonnummer ihres Chefs im Kopf. Dass das keine Selbstverständlichkeit ist, zeigen die Schadensstatistiken.

Und noch etwas zeigt dieser Fall: Die beste technische Sicherheitslösung nützt nichts, wenn der Mensch am Ende des Prozesses unter Druck eine falsche Entscheidung trifft. CEO-Fraud ist ein Angriff auf Menschen, nicht auf Systeme. In ISMS Lite lassen sich Freigabeprozesse, Schulungsnachweise und Incident-Response-Abläufe 500 Euro pro Jahr dokumentieren und nachverfolgen, ohne Seat-Lizenzen, damit Social Engineering ins Leere läuft. Die Verteidigung muss deshalb auch beim Menschen ansetzen: mit Wissen, mit klaren Prozessen und mit der ausdrücklichen Erlaubnis, skeptisch zu sein.

Weiterführende Artikel

• Social Engineering im Unternehmen: Methoden, Beispiele und Gegenmaßnahmen
• Phishing erkennen und melden: Praxisguide für Mitarbeiter und IT
• Sicherheitsvorfälle erkennen und melden: Der richtige Prozess
• Security-Awareness-Programm aufbauen: Von der Pflichtübung zur Sicherheitskultur
• E-Mail-Sicherheit: SPF, DKIM und DMARC richtig konfigurieren