Business E-Mail Compromise (BEC): Angriff mit fatalen Folgen

Ein Unternehmen kämpft aktuell verzweifelt darum, eine größere Summe Geld von einer Bank im Ausland zurückzuholen. Der Grund ist Business E-Mail Compromise (BEC) – eine perfide Betrugsmasche, die leider immer häufiger vorkommt und verheerende Folgen haben kann. Auslöser war ein zuvor erfolgreicher Angriff auf die E-Mail-Kommunikation – wir geben einen Überblick über BEC.

Der Ablauf aus technischer Sicht

Business E-Mail Compromise ist eine Betrugsmasche, mit der Angreifer gezielt Daten eines Unternehmens abgreifen, um damit – zunächst unbemerkt – Forderungen zu stellen. Aus technischer Sicht entspricht der Ablauf vom Zugriff bis zum Geldtransfer oftmals ungefähr dem folgenden Beispiel des eingangs erwähnten Unternehmens:

1. Initialer Zugriff: Die Angreifer verschaffen sich über kompromittierte Zugangsdaten Zugriff auf mehrere E-Mail-Konten des Unternehmens.
2. Reconnaissance: Wochenlang analysieren sie unauffällig E-Mail-Verkehr und Geschäftsprozesse – gezielt auf offene Forderungen und Zahlungen.
3. Domain-Spoofing: Eine täuschend ähnliche Domain wird registriert – oft mit einem kleinen Buchstabendreher oder einer alternativen TLD (.com statt .de).
4. Fake-Identität: Die Angreifer imitieren eine bekannte Ansprechperson des Unternehmens und versenden von der Fake-Domain eine täuschend echte E-Mail – inkl. „aktualisierter“ Bankverbindung.
5. Zahlung: Der Schuldner überweist – in gutem Glauben – die sechsstellige Summe an das Konto der Angreifer. Geld weg, Schaden enorm.

Warum BEC so gefährlich ist

Das betroffene Unternehmen steht vor einem finanziellen Desaster. Und auch der Gläubiger, dem das Ganze furchtbar leid tut, möchte verständlicherweise seine Forderung auf seine „echte“ Bankverbindung erfüllt wissen. Die Gefahr liegt in der relativen Unauffälligkeit:

• Die E-Mails stammen scheinbar aus dem bekannten Kontext
• Die Kommunikation wirkt authentisch, weil reale interne Infos genutzt wurden
• Technische Schutzmaßnahmen fehlen oft oder greifen zu spät
• Rückversicherungen erfolgen selten bei bekannten Kommunikationspartnern

Prävention ist entscheidend

Die größte Schwachstelle in der IT-Sicherheit ist oft nicht die Technik allein – sondern der Mensch dahinter. Genau das machen sich Cyberkriminelle bei Business E-Mail Compromise zunutze. Echte Sicherheit entsteht erst durch ein Zusammenspiel aus Technik, Prozessen und geschultem Verhalten:

• Multi-Faktor-Authentifizierung (MFA) konsequent aktivieren
• Anomalie-Erkennung in Mailflows (z. B. neue Domains, Sprachmuster)
• Security Awareness Trainings für Mitarbeitende
• Zahlungsprozesse absichern (manuelle Freigaben bei Kontoänderungen)
• Forensik & Incident Response frühzeitig einbinden

Erkenntnisse durch forensische Analysen

Dieser Fall war besonders fatal: Der Zeitraum des BEC in dem betroffenen Unternehmen weitete sich aus, betrug fast zwei Monate und führte zu einer weiteren, dann glücklicherweise fehlgeschlagenen Überweisung. Das Unternehmen ging nicht einmal davon aus, überhaupt betroffen zu sein. Es verließ sich auf die Dienste von Microsoft 365 – erst eine forensische Analyse und die gezielte Recherche im Darknet nach dem Unternehmen ergaben den eindeutigen Hinweis, dass unter anderem E-Mail-Adressen und Passwörter sowie ein Instagram-Account kompromittiert wurden. Und erst dann konnten Gegenmaßnahmen eingeleitet werden.

Man sieht: Cyberkriminalität ist nicht nur ein IT-Thema – sie ist ein Business-Risiko.