BAllgemein

Business Email Compromise (BEC)

Gezielte Übernahme/Imitation von Geschäfts-E-Mails für Zahlungsbetrug.

Business Email Compromise (BEC) ist eine Betrugsmasche, bei der Angreifer geschäftliche E-Mail-Kommunikation gezielt übernehmen oder täuschend echt imitieren, um Zahlungen umzuleiten oder vertrauliche Informationen zu erlangen. Typisch ist eine vermeintlich „dringende“ Zahlungsanweisung an die Buchhaltung, z. B. mit geänderter IBAN. BEC ist besonders gefährlich, weil es weniger auf Malware als auf Social Engineering und glaubwürdige Prozesse setzt.

Was bedeutet Business Email Compromise (BEC)?

Der Begriff bedeutet wörtlich „Kompromittierung von Geschäfts-E-Mails“. Gemeint ist entweder (1) die Übernahme eines echten E-Mail-Kontos (z. B. CEO, Vertrieb, Buchhaltung) oder (2) das Vortäuschen einer legitimen Absenderadresse per Domain-ähnlichen Schreibweisen (Typosquatting) oder manipulierten Absenderfeldern. Ziel ist fast immer finanzieller Schaden (Rechnungs- und Zahlungsbetrug) oder Datendiebstahl (z. B. Personal- oder Kundendaten).

Wie funktioniert BEC in der Praxis?

  • Informationssammlung: Angreifer recherchieren Rollen, Lieferanten, Projekte und Zahlungsabläufe (Website, LinkedIn, geleakte Daten, frühere E-Mail-Verläufe).
  • Zugang oder Imitation: Zugriff durch Phishing, gestohlene Passwörter, fehlende MFA – oder Nachbau einer ähnlichen Domain (z. B. „firma-gmbh.de“ statt „firma-gmbh.de“ mit vertauschtem Zeichen).
  • Timing & Manipulation: Die Nachricht kommt passend zu echten Vorgängen („Rechnung ist überfällig“, „neue Bankverbindung“, „bitte heute noch überweisen“).
  • Auszahlung: Geld geht auf Konten von „Money Mules“ und wird schnell weitertransferiert; Rückholung ist oft nur in den ersten Stunden realistisch.

Typische BEC-Szenarien für KMU

  • CEO-Fraud: „Ich bin in einem Termin – überweise sofort 18.450 €.“
  • Rechnungsbetrug (Invoice Fraud): Echte Lieferantenrechnung wird abgefangen/umgeleitet, IBAN wird geändert.
  • Payroll-/HR-Betrug: Aufforderung, Gehaltsdaten zu ändern oder Lohnsteuer-/Personalunterlagen zu senden.
  • Mandats-/Anwaltsbetrug: „Vertrauliche Transaktion“ mit Zahlungsdruck und Geheimhaltung.

Warum ist BEC wichtig (IT-Sicherheit & DSGVO)?

BEC verursacht nicht nur direkte Vermögensschäden, sondern kann auch einen Datenschutzvorfall auslösen, wenn personenbezogene Daten (z. B. Mitarbeiterlisten, Kundendaten, Rechnungsadressen) abgeflossen sind. Dann können Melde- und Dokumentationspflichten nach DSGVO relevant werden (u. a. interne Nachweisführung; ggf. Meldung an die Aufsichtsbehörde und Benachrichtigung Betroffener, abhängig vom Risiko). Für KMU ist außerdem kritisch: Viele Versicherungen und Banken erwarten „Stand der Technik“-Schutzmaßnahmen (z. B. MFA, Vier-Augen-Prinzip) – sonst drohen Leistungskürzungen oder schwierige Rückabwicklung.

Wie können sich KMU konkret schützen?

  • Technik: MFA für E-Mail, starke Passwörter/Passkeys, Geräte- und Login-Überwachung, Spam-/Phishing-Filter, sowie E-Mail-Authentifizierung (SPF, DKIM, DMARC).
  • Prozesse: Immer zweite Freigabe bei Zahlungen, feste „Callback“-Regel bei IBAN-Änderungen (Rückruf über bekannte Nummer, nicht aus der E-Mail), klare Vertretungsregeln.
  • Awareness: Kurze, regelmäßige Schulungen mit Beispielen aus dem eigenen Alltag; Warnzeichen (Druck, Geheimhaltung, abweichender Ton, neue Bankverbindung).
  • Incident Response: Notfallplan: Bank sofort kontaktieren (Recall/Freeze), Passwörter ändern, Sessions beenden, Beweise sichern, Strafanzeige, Datenschutzprüfung und Dokumentation.

Was kostet Schutz vor BEC?

Viele Maßnahmen sind günstig umsetzbar: MFA und Basisschutz sind oft in Microsoft 365/Google Workspace enthalten. Zusätzliche E-Mail-Security, Security-Awareness oder Managed Services kosten typischerweise je nach Umfang ab ca. zweistellig pro Nutzer/Monat. Teuer wird meist nicht die Prävention, sondern der Schaden (Überweisung, Ausfallzeiten, Rechts- und Forensikkosten).