Business Email Compromise (BEC): Warum klassische E-Mail-Sicherheit nicht reicht
Business Email Compromise gehört zu den finanziell folgenschwersten Bedrohungen in der heutigen Welt der Cybersicherheit. Allein im Jahr 2023, so die Zahlen des FBI, haben solche Angriffe Verluste von über 2,5 Milliarden US-Dollar verursacht. Das Tückische daran: BEC-Angriffe lassen sich kaum mit klassischen Indikatoren erkennen – es braucht weder Malware noch infizierte Links oder verdächtige Anhänge. Genau diese scheinbare Schlichtheit macht die Methode so gefährlich.
In diesem Beitrag gehen wir auf die besonderen Merkmale von Business Email Compromise ein, stellen den Unterschied zu herkömmlichen Phishing-Angriffen heraus und erklären, warum selbst bewährte Sicherheitsmaßnahmen an dieser Stelle oft ins Leere laufen.
Business Email Compromise: Definition und Abgrenzung
BEC beschreibt eine raffinierte Form von Social Engineering, bei der Angreifer sich als vermeintlich vertrauenswürdige Personen ausgeben. Sie schlüpfen in die Rolle von Führungskräften, Lieferanten oder Geschäftspartnern, um Mitarbeiter zu Überweisungen, zur Herausgabe sensibler Informationen oder anderen Handlungen zu bewegen.
Der Knackpunkt: Anders als bei „normalen“ E-Mail-Bedrohungen fehlen technische Anzeichen wie Malware oder verdächtige Anhänge. Das macht die Erkennung um ein Vielfaches schwieriger.
Die Täter reichen von Einzeltätern bis hin zu komplexen, international vernetzten Gruppen. Das FBI unterscheidet fünf typische Varianten von Business Email Compromise – alle mit demselben Ziel: Geldfluss in die eigenen Taschen, geschickt verpackt in Täuschungsmanöver.
Unternehmen – egal welcher Größe – stehen damit vor einer echten Herausforderung. Klassische E-Mail-Sicherheitslösungen, auf die man sich jahrelang verlassen hat, greifen hier schlicht zu kurz.
Unterschied zwischen BEC und Phishing
Der große Unterschied zwischen Business Email Compromise und klassischem Phishing liegt in der Herangehensweise. Während Phishing breit gestreut wird, oft automatisiert, setzen BEC-Angriffe auf eine handverlesene Auswahl an Zielen mit maßgeschneiderten Nachrichten.
Ein Phishing-Angriff „wirft das Netz weit aus“. BEC-Angreifer dagegen zielen direkt auf Personen mit Finanzbefugnissen oder Zugang zu besonders sensiblen Daten.
Diese punktgenaue Vorgehensweise macht ihre Mails glaubwürdiger – sie wirken oft erstaunlich echt, weil sie auf echte Projekte, aktuelle Abläufe oder sogar den Sprachstil der angeblich schreibenden Person zugeschnitten sind.
Business Email Compromise im Unternehmenskontext
Die Dimension wird klar, wenn man die Zahlen ansieht: In der ersten Jahreshälfte 2021 entfielen ganze 23 % aller gemeldeten Sicherheitsvorfälle auf BEC. Die Gesamtschäden der letzten zehn Jahre summieren sich auf ca 50 Milliarden Euro – ein Spitzenwert unter den Cyberbedrohungen.
Und das betrifft nicht nur direkte Geldverluste. Firmen müssen zusätzlich mit Folgekosten kämpfen:
- Wiederherstellung nach Datenpannen
- Bußgelder durch Behörden bei Datenlecks
- Unterbrechungen im laufenden Betrieb während der Krisenbewältigung
E-Mail-Kontenübernahme (EAC) als Vorstufe
Email Account Compromise (EAC) ist eng mit BEC verknüpft und oft der Einstieg. Dabei übernehmen Angreifer ein echtes E-Mail-Konto.
Der Unterschied zu BEC: Während BEC nur eine Identität imitiert, besitzen EAC-Angreifer tatsächlich Zugriff auf die echte Identität einer Person. Damit können sie aus scheinbar völlig vertrauenswürdiger Position agieren.
Typischerweise legen sie nach einer erfolgreichen Übernahme E-Mail-Regeln an, verstecken ihre Spuren und sichern sich so dauerhaften Zugang. Besonders gefährlich: Solche kompromittierten Konten umgehen gängige Authentifizierungsmechanismen wie SPF, DKIM oder DMARC, da sie von echten Quellen verschickt werden.
Typische Formen von BEC laut FBI
Das FBI nennt fünf Hauptarten von Business Email Compromise, jede mit eigener Vorgehensweise:
CEO-Fraud: Ausnutzung von Hierarchien
Angreifer geben sich als Geschäftsführer oder Führungskraft aus und setzen Mitarbeiter – meist aus der Finanzabteilung – unter Druck. Die Nachrichten wirken dringlich und vertraulich, wodurch Prüfungen umgangen werden.
Gefälschte Rechnungen und Zahlungsaufforderungen
Kriminelle imitieren bekannte Lieferanten und schleusen falsche Rechnungen ein, bei denen lediglich die Bankverbindung manipuliert wurde. Besonders gefährdet sind Branchen mit vielen Lieferanten. Daraus hat sich der Trend „Vendor Email Compromise“ entwickelt, der in den letzten Jahren stark zulegte.
Anwalt-Imitation unter Geheimhaltungsdruck
Hier treten Angreifer als Anwälte auf und nutzen den Druck großer Unternehmensereignisse wie Fusionen. Die Kombination aus Dringlichkeit und angeblicher Geheimhaltung macht diese Angriffe besonders überzeugend.
Datenabfluss über HR-Abteilungen
Die Personalabteilung wird ins Visier genommen, weil sie Zugang zu hochsensiblen Mitarbeiterdaten hat. Die gestohlenen Infos dienen dann als Grundlage für spätere Betrugsformen, etwa CEO-Fraud.
Warendiebstahl über Fake-Bestellungen
Angreifer geben sich als Geschäftspartner aus und bestellen Waren auf Rechnung. Erst wenn die Zahlungen ausbleiben, fliegt der Betrug auf. Betroffen sind u. a. Lebensmittel-, Agrar- und Baustoffbranche – einzelne Schäden können hier schnell hohe Schadenssummen beobachten.
Ablauf eines Business Email Compromise
BEC-Angriffe folgen in der Regel einem klar strukturierten Muster:
- Zielauswahl: Die Täter durchforsten Webseiten, LinkedIn-Profile und soziale Medien, um Schlüsselpersonen zu identifizieren. Diese Vorbereitungsphase kann sich über Wochen ziehen.
- Social Engineering & Identitätsfälschung: Die gesammelten Infos werden genutzt, um Vertrauen aufzubauen. Schreibstil, Projekte, sogar Urlaubstermine fließen in die Fälschungen ein.
- Domain-Spoofing & Fake-Domains: Täuschend ähnliche Domains wie „microsft.com“ oder „microsoft-login.com“ werden registriert, die kaum von echten Adressen zu unterscheiden sind. Homoglyphen-Angriffe (z. B. mit dem griechischen „ο“) machen das noch raffinierter.
- Nutzung kompromittierter Konten (EAC): Wenn echte Konten übernommen werden, haben Angreifer Zugriff auf Mails, Kontakte und Prozesse. Dadurch können sie extrem glaubwürdige Nachrichten verfassen.
- Finanzielle Ausnutzung: Am Ende steht die manipulierte Überweisung oder Herausgabe von Zugangsdaten. Das Geld wird sofort weitergeleitet, um Spuren zu verwischen. Oft nutzen Täter die Gelegenheit auch für tiefere Infiltrationen im Netzwerk.
Warum klassische E-Mail-Sicherheit scheitert
Herkömmliche E-Mail-Schutzsysteme sind schlicht nicht für diese Art Angriffe gemacht. Im Folgenden schildern wir, warum klassische Methoden u. U. unzureichend absichern.
Secure Email Gateways (SEGs)
Sie erkennen Spam, Malware oder verdächtige Links – aber nicht textbasierte Täuschungen. Genau darauf setzen BEC-Angriffe.
DMARC-Umgehung
Auch DMARC hilft nur bedingt. Kompromittierte echte Konten bestehen die Prüfungen problemlos. Zudem haben viele der Global 2000-Unternehmen noch immer keine konsequenten DMARC-Richtlinien.
Volumenproblem
BEC läuft bewusst mit niedriger Schlagzahl – zu wenig, um von Algorithmen als Muster erkannt zu werden.
Menschlicher Faktor
Viele Mitarbeiter klicken innerhalb von 10 Minuten auf bösartige Mails. Nur wenige melden sie weiter. Schulungen allein reichen also nicht – Aufmerksamkeit lässt nach.
Sicherheit neu denken
Business Email Compromise zeigt: Klassische Sicherheitsansätze müssen neu gedacht werden. Diese Angriffe nutzen menschliche Schwächen, nicht technische Lücken.
Drei Kernpunkte:
- Nur Technik reicht nicht – der Mensch ist die größte Schwachstelle.
- DMARC und Co. schützen nicht, wenn echte Konten kompromittiert sind.
- BEC-Angriffe laufen so unauffällig, dass sie in automatischen Systemen fast unsichtbar bleiben.
Unternehmen brauchen daher eine Kombination aus Technik, Schulung und strengen Prozessen. Verhaltensbasierte Analysen, klare Regeln für Finanztransaktionen und regelmäßige Übungen sind entscheidend. Das zeigt auch der Fall eines regionalen Energieversorgers, der Opfer eines BEC-Angriffs geworden ist.
Fakt ist: BEC ist kein Trend, der wieder verschwindet. Angriffe werden raffinierter, die Schäden größer. Wer sich schützen will, muss seine Verteidigungsstrategie laufend anpassen – technisch wie organisatorisch.
FAQs – Weitere Fragen zu Business Email Compromise
Was sind typische Anzeichen für Business Email Compromise?
Typisch für BEC ist ein ungewöhnliches Verhalten in E-Mail-Konten – etwa neue Weiterleitungsregeln oder verdächtige Aktivitäten.
Welche Taktiken nutzen Angreifer eines Business Email Compromise?
Angreifer geben sich gezielt als Chefs, Lieferanten oder Partner aus – sie nutzen also vor allem Spear-Phishing als Einfallstor.
Welche Details werden bei einem BEC manipuliert?
Häufig werden Signaturen, Kontodaten, Telefonnummern oder Rechnungsinformationen manipuliert und verwertet.
Warum scheitern klassische Sicherheitslösungen beim BEC?
Weil Business Email Compromise ohne Malware oder verdächtige Links auskommt und oft über kompromittierte echte Konten läuft, reichen „klassische“ Sicherheitsmaßnahmen oft nicht aus.
Wie können Unternehmen sich vor Business Email Compromise schützen?
Nur mit einem Mix aus Technik, klaren Prozessen und geschulten Mitarbeitern gelingt ein guter Schutz vor BEC. Dazu gehören auch Überprüfungsverfahren bei Finanztransaktionen, Sicherheitsaudits und moderne E-Mail-Analysen.
Weitere spannende Beiträge
-
- News
Was tun bei einem DDoS-Angriff? Leitfaden für Unternehmen
Zum BeitragEin Distributed Denial of Service (DDoS)-Angriff kann den Geschäftsbetrieb innerhalb weniger Minuten zum Stillstand bringen. Diese Attacken zielen darauf ab, Server und Netzwerke zu überlasten, indem sie mit einer Vielzahl gleichzeitiger Anfragen förmlich überschwemmt werden. In betroffenen Unternehmen herrscht oftmals Ratlosigkeit – was passiert gerade, wie lange dauert der Ausfall an? Hier erfahren Sie die […]
-
- News
Digitale Spuren auf Smartphones: Mobile Forensik in der Praxis
Zum BeitragSmartphones haben sich zu digitalen Schatzkammern entwickelt, die eine Vielzahl forensisch relevanter Daten enthalten. Die Geräte speichern fast alle Aktivitäten ihrer Nutzer und sind damit eine der größten ungeschützten Angriffsflächen für Unternehmen. Dieser Artikel beschreibt die forensisch relevanten digitalen Spuren auf Smartphones, bewährte Verfahren zur Datensicherung und -analyse sowie die Gewährleistung der gerichtlichen Verwertbarkeit. Darüber hinaus […]
-
- News
Cyberangriff – was tun? Die wichtigsten Schritte im Überblick
Zum BeitragCyberbedrohungen haben sich in den letzten Jahren dramatisch verschärft. Cyberangriffe nehmen rasant zu, und treffen Unternehmen aller Größenordnungen. Studien zeigen, dass inzwischen fast jedes Unternehmen in Deutschland Zielscheibe von Cyberkriminellen geworden ist. Wenn Ihr Unternehmen betroffen ist, zählt jede Minute. Hier erfahren Sie, was bei einem Cyberangriff zu tun ist. Wir zeigen, was bei einem […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
