BAllgemein

Business Email Compromise (BEC)

Gezielte Übernahme/Imitation von Geschäfts-E-Mails für Zahlungsbetrug.

Business Email Compromise (BEC) ist eine Betrugsmasche, bei der Angreifer geschäftliche E-Mail-Kommunikation gezielt übernehmen oder täuschend echt imitieren, um Zahlungen umzuleiten oder vertrauliche Informationen zu erlangen. Typisch ist eine vermeintlich „dringende“ Zahlungsanweisung an die Buchhaltung, z. B. mit geänderter IBAN. BEC ist besonders gefährlich, weil es weniger auf Malware als auf Social Engineering und glaubwürdige Prozesse setzt.

Was bedeutet Business Email Compromise (BEC)?

Der Begriff bedeutet wörtlich „Kompromittierung von Geschäfts-E-Mails“. Gemeint ist entweder (1) die Übernahme eines echten E-Mail-Kontos (z. B. CEO, Vertrieb, Buchhaltung) oder (2) das Vortäuschen einer legitimen Absenderadresse per Domain-ähnlichen Schreibweisen (Typosquatting) oder manipulierten Absenderfeldern. Ziel ist fast immer finanzieller Schaden (Rechnungs- und Zahlungsbetrug) oder Datendiebstahl (z. B. Personal- oder Kundendaten).

Wie funktioniert BEC in der Praxis?

  • Informationssammlung: Angreifer recherchieren Rollen, Lieferanten, Projekte und Zahlungsabläufe (Website, LinkedIn, geleakte Daten, frühere E-Mail-Verläufe).
  • Zugang oder Imitation: Zugriff durch Phishing, gestohlene Passwörter, fehlende MFA – oder Nachbau einer ähnlichen Domain (z. B. „firma-gmbh.de“ statt „firma-gmbh.de“ mit vertauschtem Zeichen).
  • Timing & Manipulation: Die Nachricht kommt passend zu echten Vorgängen („Rechnung ist überfällig“, „neue Bankverbindung“, „bitte heute noch überweisen“).
  • Auszahlung: Geld geht auf Konten von „Money Mules“ und wird schnell weitertransferiert; Rückholung ist oft nur in den ersten Stunden realistisch.

Typische BEC-Szenarien für KMU

  • CEO-Fraud: „Ich bin in einem Termin – überweise sofort 18.450 €.“
  • Rechnungsbetrug (Invoice Fraud): Echte Lieferantenrechnung wird abgefangen/umgeleitet, IBAN wird geändert.
  • Payroll-/HR-Betrug: Aufforderung, Gehaltsdaten zu ändern oder Lohnsteuer-/Personalunterlagen zu senden.
  • Mandats-/Anwaltsbetrug: „Vertrauliche Transaktion“ mit Zahlungsdruck und Geheimhaltung.

Warum ist BEC wichtig (IT-Sicherheit & DSGVO)?

BEC verursacht nicht nur direkte Vermögensschäden, sondern kann auch einen Datenschutzvorfall auslösen, wenn personenbezogene Daten (z. B. Mitarbeiterlisten, Kundendaten, Rechnungsadressen) abgeflossen sind. Dann können Melde- und Dokumentationspflichten nach DSGVO relevant werden (u. a. interne Nachweisführung; ggf. Meldung an die Aufsichtsbehörde und Benachrichtigung Betroffener, abhängig vom Risiko). Für KMU ist außerdem kritisch: Viele Versicherungen und Banken erwarten „Stand der Technik“-Schutzmaßnahmen (z. B. MFA, Vier-Augen-Prinzip) – sonst drohen Leistungskürzungen oder schwierige Rückabwicklung.

Wie können sich KMU konkret schützen?

  • Technik: MFA für E-Mail, starke Passwörter/Passkeys, Geräte- und Login-Überwachung, Spam-/Phishing-Filter, sowie E-Mail-Authentifizierung (SPF, DKIM, DMARC).
  • Prozesse: Immer zweite Freigabe bei Zahlungen, feste „Callback“-Regel bei IBAN-Änderungen (Rückruf über bekannte Nummer, nicht aus der E-Mail), klare Vertretungsregeln.
  • Awareness: Kurze, regelmäßige Schulungen mit Beispielen aus dem eigenen Alltag; Warnzeichen (Druck, Geheimhaltung, abweichender Ton, neue Bankverbindung).
  • Incident Response: Notfallplan: Bank sofort kontaktieren (Recall/Freeze), Passwörter ändern, Sessions beenden, Beweise sichern, Strafanzeige, Datenschutzprüfung und Dokumentation.

Was kostet Schutz vor BEC?

Viele Maßnahmen sind günstig umsetzbar: MFA und Basisschutz sind oft in Microsoft 365/Google Workspace enthalten. Zusätzliche E-Mail-Security, Security-Awareness oder Managed Services kosten typischerweise je nach Umfang ab ca. zweistellig pro Nutzer/Monat. Teuer wird meist nicht die Prävention, sondern der Schaden (Überweisung, Ausfallzeiten, Rechts- und Forensikkosten).

Zahlen & Fakten

0 von 4
Angriffe per E-MailBei Business Email Compromise erfolgen die meisten Betrugsversuche über kompromittierte oder täuschend imitierte Geschäftskonten, was besonders für KMU ohne starke Freigabeprozesse riskant ist.
0,0 €+
typischer EinzelschadenSchon ein einzelner erfolgreicher BEC-Vorfall kann für mittelständische Unternehmen schnell zu fünfstelligen bis sechsstelligen Verlusten durch Fehlüberweisungen führen.
0 Stunden
kritisches ZeitfensterWird ein BEC-Fall nicht innerhalb eines Tages erkannt, sinken die Chancen deutlich, fehlgeleitete Zahlungen noch über Banken oder Zahlungsdienstleister zurückzuholen.

Anwendungsfälle in der Praxis

Finanzen
Zahlungsfreigaben im Finanzbereich mit Vier-Augen-Prinzip absichern
Ein KMU im Großhandel nutzt BEC-Schutz, um E-Mails mit geänderten Bankverbindungen oder dringenden Überweisungsanfragen automatisch zu markieren. Vor der Auszahlung wird jede Änderung per Rückruf an bekannte Ansprechpartner und durch eine zweite interne Freigabe geprüft, sodass Zahlungsbetrug im Tagesgeschäft deutlich erschwert wird.

Bist du auf Business Email Compromise (BEC) vorbereitet?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du klare Regeln, wie Zahlungsanweisungen per E-Mail geprüft und freigegeben werden?
Werden Änderungen von Bankverbindungen oder Zahlungsdaten immer über einen zweiten Kanal verifiziert?
Sind Mitarbeitende für gefälschte oder imitierte Geschäfts-E-Mails regelmäßig sensibilisiert und geschult?
Setzt du technische Schutzmaßnahmen wie SPF, DKIM und DMARC für eure E-Mail-Domains ein?
Gibt es bei euch einen definierten Prozess, um verdächtige Zahlungsanfragen oder BEC-Vorfälle sofort zu melden und einzudämmen?

Sind deine Zahlungsfreigaben und E-Mail-Prozesse wirklich vor Business Email Compromise geschützt?

BEC-Angriffe funktionieren oft nicht wegen fehlender Tools, sondern wegen unklarer Abläufe, zu vieler Systeme und fehlender Kontrollmechanismen. Mit dem Tech-Gutachten analysiere ich in zwei Wochen, wie eure E-Mail-, Freigabe- und Tool-Prozesse aktuell aufgestellt sind und wo konkrete Schwachstellen für Zahlungsbetrug entstehen. Du bekommst ein klares Bild darüber, welche Systeme und Prozesse riskant sind, was vereinfacht werden sollte und welche Maßnahmen wirklich sinnvoll sind. So triffst du fundierte Entscheidungen, bevor aus einer gefälschten Geschäftsführer-Mail ein echter finanzieller Schaden wird.

Häufig gestellte Fragen

Was ist Business Email Compromise (BEC)?
BEC ist ein gezielter E-Mail-Betrug, bei dem Angreifer echte Firmenkonten übernehmen oder Absender täuschend echt nachahmen, um Zahlungen umzuleiten oder Daten zu stehlen. Besonders häufig sind gefälschte Zahlungsanweisungen und geänderte Bankverbindungen.