Business Email Compromise (BEC) ist eine der finanziell verheerendsten Cyberangriffe, denen ein Unternehmen ausgesetzt sein kann, und zugleich eine der am wenigsten verstandenen. Im Gegensatz zu Ransomware, die sich lautstark bemerkbar macht, verläuft BEC im Verborgenen, oft über Wochen oder Monate hinweg, und nutzt dabei eher das Vertrauen als die Technologie aus, um Geld und Daten zu stehlen.
Laut dem „Kaseya State of the MSP Report 2026“ geben 44 % der MSPs an, dass mindestens 10 % ihrer Kunden im Jahr 2025 Opfer eines Cyberangriffs wurden, wobei BEC durchweg zu den häufigsten und kostspieligsten Angriffsarten zählt, die hinter diesen Vorfällen stehen.
Das Internet Crime Complaint Center (IC3) des FBI stuft BEC regelmäßig als eine der kostspieligsten Kategorien der Cyberkriminalität ein. Das FBI hat seinen BEC-Ratgeber mit dem Titel „The $55 Billion Scam“ versehen, was die kumulierten weltweiten Verluste von Oktober 2013 bis Dezember 2023 widerspiegelt. Im Jahr 2024 führten BEC-Beschwerden allein in den USA bei 21.442 gemeldeten Vorfällen zu bereinigten Verlusten in Höhe von 2,77 Milliarden Dollar. Der Angriff funktioniert, weil er täuschend einfach ist: keine Malware, keine Verschlüsselung, kein technischer Exploit, nur eine überzeugende E-Mail von jemandem, dem Sie vertrauen.
Stoppen Sie BEC-Angriffe, bevor sie Ihnen Schaden zufügen
Kaseya INKY jede E-Mail mit den Kommunikationsmustern Ihres Unternehmens und kennzeichnet Identitätsdiebstahlversuche sowie ungewöhnliche Anfragen, die herkömmliche Filter umgehen.
Was ist „Business Email Compromise“?
BEC ist eine Betrugsmasche, bei der ein Angreifer eine seriös wirkende E-Mail nutzt – sei es von einem kompromittierten Konto, einer gefälschten Domain oder einem nachahmenden Kontakt –, um eine Person mit Zugriff auf Finanzdaten oder sensible Informationen dazu zu verleiten, eine schädliche Handlung vorzunehmen. Bei dieser Handlung handelt es sich in der Regel um eine betrügerische Zahlung, die Übermittlung sensibler Daten oder die Preisgabe von Zugangsdaten, die weiteren Zugriff ermöglicht.
Was BEC von gewöhnlichem Phishing unterscheidet, sind die Zielgruppe und das Ziel. Beim Massen-Phishing wird ein breites Netz nach Zugangsdaten ausgeworfen. BEC zielt auf bestimmte Personen innerhalb einer bestimmten Organisation ab und ist darauf ausgelegt, einen unmittelbaren finanziellen Gewinn zu erzielen, typischerweise in Form einer Überweisung, des Kaufs von Geschenkkarten, der Umleitung von Gehaltszahlungen oder der Änderung von Zahlungskontodaten.
BEC wird manchmal auch als „Email Account Compromise“ (EAC) bezeichnet, wenn der Angriff die tatsächliche Kompromittierung eines echten Kontos beinhaltet und nicht nur Spoofing oder Identitätsbetrug. Beide Begriffe beschreiben dieselbe Bedrohungskategorie und dasselbe finanzielle Risiko.
So funktionieren BEC-Angriffe
BEC-Angriffe folgen einem strukturierten Vorgehen. Die Angreifer recherchieren zunächst die Zielorganisation und identifizieren über LinkedIn, Unternehmenswebsites und soziale Medien wichtige Mitarbeiter in den Bereichen Finanzen, Buchhaltung, Personalwesen und der Führungsetage. Sie erstellen ein Beziehungsgeflecht: Wer berichtet an wen, wer genehmigt Zahlungen, wer ist befugt, Zahlungsdetails zu ändern?
Der erste Zugriff kann über Phishing erfolgen, bei dem ein echtes E-Mail-Konto kompromittiert wird, oder durch Domain-Spoofing, bei dem eine E-Mail-Adresse erstellt wird, die optisch der echten ähnelt (zum Beispiel [email protected] statt [email protected]). Sobald sie Zugang zu einem legitimen Konto haben, überwachen Angreifer die E-Mails oft wochenlang unbemerkt, um Kommunikationsmuster, laufende Geschäfte und den Sprachstil der imitierten Person kennenzulernen, bevor sie den Betrug starten.
Der Angriff selbst besteht oft aus einer einzigen, zum richtigen Zeitpunkt versendeten E-Mail: „Bitte aktualisieren Sie die Bankverbindung für die Rechnung von Smith mit den folgenden Angaben“ oder „Können Sie dringend eine Überweisung für diese Akquisition vornehmen? Ich bin den ganzen Tag in Besprechungen.“ Die Kombination aus scheinbarer Autorität, Dringlichkeit und konkretem Kontext lässt die Anfrage glaubwürdig erscheinen. Die Zeitspanne zwischen dem Versand der E-Mail und der Aufdeckung des Betrugs reicht oft aus, damit Gelder unwiederbringlich überwiesen werden.
Die fünf BEC-Szenarien
Das FBI unterscheidet fünf Hauptarten von BEC-Angriffen:
Bei einem CEO-Betrug gibt sich der Täter als leitender Angestellter aus, um einen Mitarbeiter dazu zu drängen, eine betrügerische Überweisung vorzunehmen oder vertrauliche Informationen preiszugeben. Die Anfrage erfolgt in der Regel dann, wenn der betreffende leitende Angestellte auf Reisen ist oder aus anderen Gründen nicht zur Überprüfung zur Verfügung steht.
Bei einer Kontoübernahme wird ein geschäftliches E-Mail-Konto tatsächlich missbraucht, um von Lieferanten oder Kunden des Kontoinhabers betrügerische Zahlungen zu erwirken. Im Gegensatz zur Identitätsfälschung stammt die E-Mail tatsächlich von dem echten Konto.
Bei diesem Betrugsmodell geben sich die Täter als Verkäufer oder Lieferant aus und fordern eine Zahlung auf ein neues Bankkonto an, um so eine tatsächlich erwartete Zahlung abzufangen.
Bei der Vortäuschung einer Anwaltstätigkeit gibt sich der Täter als Rechtsbeistand aus, um vertrauliche Informationen oder dringende Zahlungen im Zusammenhang mit einer anhängigen Rechtsangelegenheit zu erpressen, wobei er die Machtverhältnisse innerhalb des Rechtsverhältnisses ausnutzt.
Datendiebstahl zielt auf die Personal- oder Finanzabteilung ab, um an Steuerunterlagen von Mitarbeitern, Gehaltsdaten oder personenbezogene Daten zu gelangen. Dies ist oft eher ein Vorläufer für weiteren Betrug oder Identitätsdiebstahl als eine unmittelbare Geldüberweisung.
Warum BEC so schwer zu erkennen ist
BEC umgeht die meisten herkömmlichen Sicherheitsmaßnahmen, da es sich eher auf Social Engineering als auf Malware stützt. E-Mail-Sicherheitsfilter erkennen eine Nachricht, die von einem legitimen, kompromittierten Konto stammt, nicht. Weder Anhänge noch bösartige Links lösen den Endgeräteschutz aus. Die Kommunikation sieht in jeder technischen Hinsicht wie eine normale geschäftliche E-Mail aus.
Die Herausforderung bei der Erkennung liegt im Bereich des Verhaltens: Es muss erkannt werden, dass eine Anfrage nicht mit dem normalen Geschäftsprozess übereinstimmt, dass die Dringlichkeit ungewöhnlich ist oder dass eine Änderung der Zahlungsanweisung über einen untypischen Kanal eingeht. Dies sind menschliche Beurteilungen, keine technischen, weshalb BEC selbst in technisch hochentwickelten Umgebungen weiterhin wirksam bleibt.
Durch KI-gestützte BEC-Angriffe wird dies immer schwieriger. Angreifer nutzen mittlerweile KI, um E-Mails zu generieren, die den Schreibstil einer Person exakt nachahmen, wobei sie sich auf den tatsächlichen Kontext aus überwachten E-Mail-Verläufen beziehen. Die Anzeichen, die einem aufmerksamen Leser früher vielleicht aufgefallen wären – leicht ungewöhnliche Formulierungen oder allgemeine Sprachwendungen –, fehlen bei modernen BEC-Versuchen zunehmend.
So schützen Sie sich vor BEC
E-Mail-Authentifizierung. DMARC-, DKIM- und SPF-Richtlinien verhindern Domain-Spoofing. Eine auf „Ablehnen“ eingestellte DMARC-Richtlinie verhindert, dass Angreifer E-Mails versenden, die scheinbar von Ihrer Domain stammen. Dies bekämpft zwar den Vektor der Identitätsfälschung, nicht jedoch den Vektor der Kontoübernahme, weshalb mehrschichtige Kontrollmaßnahmen erforderlich sind.
KI-gestützte E-Mail-Sicherheit. Lösungen wie Inky, die in Kaseya 365 enthalten sind, nutzen KI, um Kommunikationsmuster in E-Mails zu analysieren und Auffälligkeiten zu erkennen: Nachrichten von neuen Absendern, die sich als Führungskräfte ausgeben, Anfragen, die von den üblichen Kommunikationsmustern abweichen, oder Merkmale, die bekannten BEC-Profilen entsprechen. Im Gegensatz zu signaturbasierten Filtern erkennt die Verhaltensanalyse auch kontextuell ungewöhnliche Anfragen, selbst wenn diese aus legitim erscheinenden Quellen stammen.
Prozesskontrollen für Finanztransaktionen. Die wirksamste BEC-Abwehrmaßnahme gegen Zahlungsbetrug ist eine manuelle Prozesskontrolle: eine externe Verifizierung per Telefon unter einer bekannten Nummer – nicht unter der in der verdächtigen E-Mail angegebenen Nummer –, bevor Änderungen an Zahlungsanweisungen oder größere Überweisungen ausgeführt werden. Keine Autorisierung von Finanztransaktionen, die einen festgelegten Schwellenwert überschreiten, ausschließlich per E-Mail.
Mitarbeiterschulungen. Mitarbeiter in der Finanzabteilung und Assistenten der Geschäftsleitung, die primären Ziele von BEC, benötigen spezifische Schulungen zu BEC-Szenarien und den Überprüfungsverfahren, die sie befolgen sollten, wenn sie ungewöhnliche Zahlungsaufforderungen erhalten. Allgemeine Schulungen zur Sensibilisierung für Phishing decken die BEC-spezifischen Vorgehensweisen der Angreifer nicht ab.
Überwachung des Dark Web. Gesteuerte Anmeldedaten, die eine Kontoübernahme im Rahmen von BEC ermöglichen, tauchen oft in Dark-Web-Foren auf, bevor Angreifer sie nutzen. Dark Web ID, verfügbar über Kaseya, überwacht kontinuierlich Anmeldedaten aus Ihrer Domain und liefert Frühwarnungen, sodass Passwörter zurückgesetzt werden können, bevor Konten missbraucht werden.
MFA für alle E-Mail-Konten. Bei BEC-Angriffen zur Kontoübernahme ist der Zugriff auf das kompromittierte Konto erforderlich. MFA verhindert, dass gestohlene Anmeldedaten diesen Zugriff ermöglichen. Selbst wenn ein Angreifer das Passwort durch Phishing oder Credential Stuffing in Erfahrung bringt, kann er sich ohne den zweiten Faktor nicht anmelden.
Erfahren Sie, wie Kaseya 365 BEC mithilfe von KI-gestützter E-Mail-Sicherheit und Dark-Web-Überwachung bekämpft.
Das Wichtigste in Kürze
- BEC gehört gemessen an den finanziellen Gesamtverlusten zu den kostspieligsten Formen der Cyberkriminalität und verursacht jährlich Schäden in Milliardenhöhe, die eher auf Betrug als auf technische Schwachstellen zurückzuführen sind. Die vom FBI ermittelte Gesamtsumme für den Zeitraum von 2013 bis 2023 beläuft sich auf 55 Milliarden US-Dollar.
- BEC umgeht technische Sicherheitsmaßnahmen, da es statt Malware oder bösartigen Anhängen vertrauenswürdige Konten oder überzeugende Identitätsfälschungen nutzt.
- Die wirksamsten Schutzmaßnahmen verbinden technische Kontrollmechanismen (DMARC, KI-gestützte E-Mail-Sicherheit, MFA) mit prozessbezogenen Kontrollmechanismen (Out-of-Band-Verifizierung bei Finanztransaktionen) und gezielten Mitarbeiterschulungen.
- KI erschwert die Erkennung von BEC, indem sie kontextbezogene, realistische Fälschungen erzeugt. Zur Erkennung ist zunehmend die Erkennung von Verhaltensabweichungen erforderlich, statt einer Inhaltsanalyse.
