Phishing & Social Engineering

CXOs wurden im vergangenen Jahr viel häufiger Opfer von Phishing als andere

Laut einer internationalen Studie von Ivanti aus dem Jahr 2023 ist die Wahrscheinlichkeit, Opfer von Phishing-Angriffen zu werden, bei F\u00fchrungskr\u00e4ften viermal h\u00f6her als bei durchschnittlichen Mitarbeitern. Die Studie zeigt: CXOs klickten h\u00e4ufiger auf betr\u00fcgerische Links und \u00fcberwiesen in Einzelf\u00e4llen sogar Geld an Angreifer.

Warum F\u00fchrungskr\u00e4fte besonders gef\u00e4hrdet sind

F\u00fchrungskr\u00e4fte sind f\u00fcr Angreifer aus mehreren Gr\u00fcnden hochwertige Ziele:

Privilegierte Zug\u00e4nge: CEOs, CFOs und CIOs haben Zugriff auf strategische Dokumente, Finanzfreigaben und Administrations-Portale. Ein kompromittierter CEO-Account \u00f6ffnet T\u00fcren, die ein Standard-Account nicht \u00f6ffnet
Entscheidungsbefugnis: F\u00fchrungskr\u00e4fte k\u00f6nnen Zahlungen freigeben, Vertr\u00e4ge unterzeichnen und strategische Informationen weitergeben \u2014 ohne R\u00fcckfrage bei anderen
\u00d6ffentliche Sichtbarkeit: LinkedIn-Profile, Konferenz-Auftritte, Pressemitteilungen und Unternehmenswebsites liefern Angreifern das Material f\u00fcr hochgradig personalisiertes Spear-Phishing
Zeitdruck und Informationsflut: C-Level-Entscheider erhalten hunderte E-Mails t\u00e4glich und treffen Entscheidungen unter Zeitdruck \u2014 ideale Bedingungen f\u00fcr Social Engineering

Das Paradox: Bewusstsein ohne Verhalten

Die Ivanti-Studie offenbart ein bemerkenswertes Paradox: F\u00fchrungskr\u00e4fte wenden sich 2,5-mal h\u00e4ufiger an die IT-Sicherheitsabteilung als durchschnittliche Mitarbeiter. Sie wissen also, dass Cyberbedrohungen existieren. Trotzdem ist jede dritte F\u00fchrungskraft im vergangenen Jahr Opfer eines Phishing-Angriffs geworden.

Die Erkl\u00e4rung: Wissen \u00fcber Bedrohungen \u00fcbersetzt sich nicht automatisch in sicheres Verhalten. Unter Zeitdruck, bei Reisen oder in ungew\u00f6hnlichen Situationen fallen auch sensibilisierte Personen auf gut gemachtes Social Engineering herein. Die Ivanti-Studie zeigt explizit, dass F\u00fchrungskr\u00e4fte bei der t\u00e4glichen digitalen Hygiene nachl\u00e4ssiger sind als andere Mitarbeiter.

CEO-Fraud und Business Email Compromise

Die gezielte Ansprache von F\u00fchrungskr\u00e4ften hat einen eigenen Namen: Whaling \u2014 die Jagd auf den gro\u00dfen Fisch. In Kombination mit Business Email Compromise (BEC) geh\u00f6rt Whaling zu den finanziell sch\u00e4dlichsten Angriffsformen. Laut dem FBI Internet Crime Report 2023 verursachte BEC Sch\u00e4den von \u00fcber 2,9 Milliarden US-Dollar allein in den USA.

Moderne Whaling-Angriffe nutzen zunehmend Deepfake-Audio und -Video: Angreifer klonen Stimmen von Gesch\u00e4ftsf\u00fchrern aus \u00f6ffentlich verf\u00fcgbaren Aufnahmen und setzen sie f\u00fcr telefonische Freigaben oder Videokonferenzen ein. Der bekannteste Fall: Ein Finanzangestellter in Hongkong \u00fcberwies 2024 25 Millionen US-Dollar, nachdem er in einer Videokonferenz von Deepfake-Versionen seiner Kollegen und seines CFO \u00fcberzeugt wurde.

Handlungsempfehlungen

F\u00fcr das Security-Awareness-Programm:

Separate Trainings f\u00fcr F\u00fchrungskr\u00e4fte: Standard-Awareness-Trainings reichen f\u00fcr C-Level nicht aus. Die Angriffsszenarien sind ausgefeilter und erfordern spezifische Inhalte
Realistische Simulationen: Phishing-Simulationen f\u00fcr F\u00fchrungskr\u00e4fte m\u00fcssen den Anspruch echter Spear-Phishing-Kampagnen widerspiegeln \u2014 personalisiert, kontextbezogen, zeitkritisch
Deepfake-Awareness: F\u00fchrungskr\u00e4fte m\u00fcssen wissen, dass Audio und Video f\u00e4lschbar sind. Jede Freigabe-Anforderung per Telefon oder Video erfordert eine Out-of-Band-Verifikation

F\u00fcr technische Schutzma\u00dfnahmen:

Privileged Access Management: C-Level-Accounts als hochprivilegiert behandeln \u2014 mit zus\u00e4tzlicher MFA, Conditional Access und Session-Monitoring
Zahlungsfreigabe-Prozesse h\u00e4rten: Vier-Augen-Prinzip f\u00fcr alle Transaktionen \u00fcber einem definierten Schwellenwert, mit verpflichtender R\u00fcckbestätigung \u00fcber einen zweiten Kanal
SIEM-basiertes VIP-Monitoring: Erh\u00f6hte \u00dcberwachung f\u00fcr C-Level-Accounts \u2014 ungew\u00f6hnliche Login-Muster, Inbox-Rule-\u00c4nderungen und Mail-Weiterleitungen als hochprioritäre Alerts

Juliane Heinen

Führungskräfte wissen um die Gefahr — und fallen trotzdem herein

Whaling-Angriffe auf C-Level sind finanziell die schädlichste Form von Phishing — und werden durch Deepfakes noch gefährlicher. Die Ivanti-Studie bestätigt, was wir bei NEOSEC in der Praxis sehen: Führungskräfte sind sich der Bedrohung bewusst, aber ihr Verhalten ändert sich nicht ausreichend. Zeitdruck, Reisen und die schiere Menge an Kommunikation schaffen ideale Bedingungen für Social Engineering. Unser Ansatz für den Schutz von C-Level-Accounts: • VIP-Monitoring im SIEM: Erhöhte Überwachung für Führungskräfte-Accounts — ungewöhnliche Login-Muster, Inbox-Rule-Änderungen und Weiterleitungen als hochprioritäre Alerts • Conditional Access: C-Level-Accounts nur von verwalteten, konformen Geräten und aus genehmigten Regionen zugreifbar • Zahlungsfreigabe-Prozesse: Technische Durchsetzung des Vier-Augen-Prinzips für alle Transaktionen über einem Schwellenwert Wie gut sind Ihre Führungskräfte geschützt? Wir zeigen es Ihnen — mit einer realistischen Simulation.

Ivanti — 2023 Cybersecurity Status Report
FBI — Internet Crime Report 2023

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?